Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra FINALDRAFT aizmugurējās durvis

FINALDRAFT aizmugurējās durvis

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT), Aizmugures durvis. gadā
Tulkot uz:

Draudu izpildītājs, ko parasti dēvē par Jewelbug, kopš 2025. gada jūlija ir pastiprinājis savu uzmanību uz Eiropas valdības organizācijām, vienlaikus joprojām turpinot aktīvas operācijas pret mērķiem Dienvidaustrumāzijā un Dienvidamerikā. Pētnieki izseko šo aktivitāšu klasteri kā Ink Dragon — grupu, kas plašākā drošības aprindās pazīstama arī kā CL-STA-0049, Earth Alux un REF7707. Tiek lēsts, ka šis dalībnieks ir saistīts ar Ķīnu un ir demonstrējis ilgstošu aktivitāti vismaz kopš 2023. gada marta.

Vairākas identitātes, viens koordinēts klasteris

Ink Dragon kampaņas atspoguļo nobriedušu un disciplinētu ielaušanās spēju. Tās operatori apvieno spēcīgas programmatūras inženierijas prasmes ar atkārtojamām operacionālām rokasgrāmatām, bieži paļaujoties uz iebūvētiem platformas utilītprogrammām, lai ļaunprātīgu darbību iekļautu likumīgā uzņēmuma telemetrijā. Šī apzinātā tirdzniecības metode ievērojami palielina slepenību un sarežģī atklāšanu.

Darbības joma, mērķi un pastāvīgā ietekme

Kampaņa joprojām ir aktīva un jau ir skārusi vairākus desmitus upuru. Skarto organizāciju vidū ir valdības aģentūras un telekomunikāciju pakalpojumu sniedzēji visā Eiropā, Āzijā un Āfrikā. Upuru skaita plašums uzsver gan dalībnieka infrastruktūras mērogojamību, gan tā stratēģisko interesi par augstas vērtības tīklos.

Agrīna redzamība un galvenās ļaunprogrammatūras saimes

Publiskā informācija par Ink Dragon parādījās 2025. gada februārī, kad pētnieki dokumentēja tā FINALDRAFT aizmugurējās durvis, kas pazīstamas arī kā Squidoor. Šī ļaunprogrammatūra atbalsta gan Windows, gan Linux vidi. Pavisam nesen grupa tika saistīta ar ilgstošu, piecu mēnešu ilgu ielaušanos Krievijas IT pakalpojumu sniedzējā, kas apliecināja tās spēju uzturēt ilgtermiņa, slepenu piekļuvi.

Sākotnējā piekļuve un derīgās kravas piegāde

Ink Dragon parasti iekļūst tīklā, izmantojot neaizsargātas, internetam piekļūstamas tīmekļa lietojumprogrammas. Šīs ievainojamības tiek ļaunprātīgi izmantotas, lai izvietotu tīmekļa apvalkus, kas pēc tam kalpo kā palaišanas punkti papildu rīkiem, piemēram, VARGEIT un Cobalt Strike. Šīs vērtuma slodzes atbalsta vadības un kontroles sakarus, iekšējo izlūkošanu, sānu kustību, aizsardzības apiešanu un datu zādzības.

Mākoņa un likumīgu pakalpojumu ļaunprātīga izmantošana

Starp grupas sekundārajām aizmugurējām durvīm ir NANOREMOTE, kas izmanto Google Drive API, lai apmainītos ar failiem starp inficētiem resursdatoriem un uzbrucēja kontrolētu infrastruktūru. Rīku izvēle šķiet apzināta un situatīva, kas liecina, ka operatori pielāgo izvietošanu upura videi un dod priekšroku metodēm, kas atgādina normālus, uzticamus datplūsmas modeļus.

ViewState izmantošana un C2 infrastruktūras nolaupīšana

Ink Dragon izstrādātās metodes pamatā ir vāju vai nepareizi pārvaldītu ASP.NET datoratslēgu izmantošana. Ļaunprātīgi izmantojot ViewState deserializācijas trūkumus IIS un SharePoint serveros, lietotājs instalē pielāgotu ShadowPad IIS Listener moduli. Tas pārveido apdraudētos serverus par uzbrucēja komandu un vadības tīkla aktīviem komponentiem, ļaujot tiem pārvaldīt datplūsmu un komandas, kā arī ievērojami palielinot noturību.

No lokāla pārkāpuma līdz globālam releju tīklam

Šī arhitektūra ļauj datplūsmu novirzīt ne tikai dziļāk vienas organizācijas ietvaros, bet arī caur pilnīgi atsevišķiem upuru tīkliem. Tā rezultātā viens kompromitēts serveris var nemanāmi kļūt par starpnieku plašākā, daudzslāņu infrastruktūrā. Pats klausītāja modulis atbalsta attālinātu komandu izpildi, dodot operatoriem tiešu kontroli pār izlūkošanu un vērtuma sagatavošanu.

Pēcekspluatācijas un privilēģiju eskalācijas taktika

Papildus ViewState ļaunprātīgai izmantošanai Ink Dragon ir ierocis ToolShell SharePoint ievainojamības, lai izvietotu tīmekļa čaulas. Pēc sākotnējās kompromitēšanas dalībnieks parasti veic vairākas darbības, lai nostiprinātu piekļuvi un paplašinātu privilēģijas:

  • IIS datora atslēgu izmantošana, lai iegūtu lokālos administratora akreditācijas datus un pārvietotos laterāli, izmantojot RDP tuneļus
  • Pastāvības nodrošināšana, izmantojot ieplānotus uzdevumus un ļaunprātīgus pakalpojumus
  • LSASS atmiņas izmešana un reģistra stropu izvilkšana, lai paaugstinātu privilēģijas
  • Mainīt resursdatora ugunsmūra noteikumus, lai atļautu izejošo datplūsmu un pārveidotu sistēmas par ShadowPad releja mezgliem

Paplašināta akreditācijas datu atkārtota izmantošana un domēna kompromitēšana

Vismaz vienā novērotajā gadījumā uzbrucēji identificēja atvienotu, bet aktīvu RDP sesiju, kas piederēja domēna administratoram, kurš autentificēts, izmantojot tīkla līmeņa autentifikāciju ar NTLMv2 rezerves kopiju. Tā kā sesija palika atslēgta, bet netika pārtraukta, sensitīvs akreditācijas materiāls saglabājās LSASS atmiņā. Pēc SISTĒMAS līmeņa piekļuves iegūšanas Ink Dragon izvilka marķieri un atkārtoti izmantoja to, lai veiktu autentificētas SMB darbības, rakstītu administratīvajos koplietojumos un izfiltrētu NTDS.dit un reģistra stropus.

Modulāra noturības ekosistēma

Tā vietā, lai paļautos uz vienu aizmugurējo durvīm, Ink Dragon izmanto specializētu komponentu kopumu, lai nodrošinātu ilgtermiņa piekļuvi. Novērotie rīki ietver:

  • ShadowPad Loader ShadowPad pamatmoduļa atšifrēšanai un izpildei atmiņā
  • CDBLoader, kas ļaunprātīgi izmanto Microsoft konsoles atkļūdotāju, lai izpildītu apvalkkodu un ielādētu šifrētus vērtumus
  • LalsDumper LSASS atmiņas ieguvei
  • 032Loader papildu vērtslodžu atšifrēšanai un palaišanai
  • FINALDRAFT — modernizēts attālās administrēšanas rīks, kas ļaunprātīgi izmanto Outlook un Microsoft Graph komandu un vadības nolūkos.

FINALDRAFT evolūcija

Grupa nesen ir ieviesusi jaunu FINALDRAFT variantu, kas paredzēts labākai slepenībai un ātrākai datu izvilkšanai. Tas ievieš uzlabotas izvairīšanās metodes, atbalsta daudzpakāpju lietderīgās slodzes piegādi un nodrošina slepenu sānu pārvietošanos. Komandas tiek piegādātas kā kodēti dokumenti, kas ievietoti upura pastkastītē, kurus implants izgūst, atšifrē un izpilda, izmantojot modulāru komandu sistēmu.

Pārklāšanās ar citiem draudu dalībniekiem

Izmeklētāji ir identificējuši arī citas ar Ķīnu saistītas grupas REF3927, kas pazīstama arī kā RudePanda, pēdas vairākās vidēs, kuras apdraudēja Ink Dragon. Nav pierādījumu par abu pušu koordināciju, un tiek uzskatīts, ka pārklāšanās rodas no tā, ka abi dalībnieki izmanto līdzīgus sākotnējos piekļuves vektorus, nevis koplieto infrastruktūru vai darbības.

Jauns apdraudējuma modelis aizstāvjiem

Ink Dragon sapludina tradicionālo robežu starp inficētajiem resursdatoriem un komandu infrastruktūru. Katra apdraudētā sistēma kļūst par funkcionālu mezglu uzbrucēja kontrolētā tīklā, kas paplašinās ar katru jaunu upuri. Aizstāvjiem tas nozīmē, ka ierobežošana nevar koncentrēties tikai uz atsevišķām sistēmām. Efektīvai pārtraukšanai ir jāidentificē un jāizjauc visa retranslācijas ķēde. Ink Dragon uz retranslāciju orientētā ShadowPad izmantošana ir viena no līdz šim novērotajām nobriedušākajām ieviešanas metodēm, efektīvi pārvēršot pašus upuru tīklus par ilgtermiņa, daudzu organizāciju spiegošanas kampaņu mugurkaulu.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
30,272
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...