FINALDRAFT Pintu Belakang
Aktor ancaman yang biasanya dirujuk sebagai Jewelbug telah memperhebatkan tumpuannya terhadap organisasi kerajaan Eropah sejak Julai 2025, sambil masih mengekalkan operasi aktif terhadap sasaran di Asia Tenggara dan Amerika Selatan. Penyelidik menjejaki kluster aktiviti ini sebagai Ink Dragon, sebuah kumpulan yang juga dikenali dalam komuniti keselamatan yang lebih luas sebagai CL-STA-0049, Earth Alux dan REF7707. Aktor ini dinilai bersekutu dengan China dan telah menunjukkan aktiviti yang berterusan sekurang-kurangnya sejak Mac 2023.
Isi kandungan
Pelbagai Identiti, Satu Gugusan Terkoordinasi
Kempen Ink Dragon mencerminkan keupayaan pencerobohan yang matang dan berdisiplin. Pengendalinya menggabungkan kemahiran kejuruteraan perisian yang kukuh dengan buku panduan operasi yang boleh diulang, kerap bergantung pada utiliti platform terbina dalam untuk menggabungkan aktiviti berniat jahat ke dalam telemetri perusahaan yang sah. Kemahiran perdagangan yang disengajakan ini meningkatkan kerahsiaan dengan ketara dan merumitkan pengesanan.
Skop, Sasaran dan Impak Berterusan
Kempen ini masih aktif dan telah pun menjejaskan beberapa dozen mangsa. Organisasi yang terjejas merangkumi agensi kerajaan dan penyedia telekomunikasi di seluruh Eropah, Asia dan Afrika. Keluasan mangsa menggariskan kebolehskalaan infrastruktur pelaku dan kepentingan strategiknya dalam rangkaian bernilai tinggi.
Keterlihatan Awal dan Keluarga Perisian Hasad Utama
Wawasan awam tentang Ink Dragon muncul pada Februari 2025, apabila para penyelidik mendokumentasikan penggunaan pintu belakang FINALDRAFT, juga dikenali sebagai Squidoor. Perisian hasad ini menyokong persekitaran Windows dan Linux. Baru-baru ini, kumpulan itu dikaitkan dengan pencerobohan berpanjangan selama lima bulan terhadap penyedia perkhidmatan IT Rusia, yang menonjolkan keupayaannya untuk mengekalkan akses rahsia jangka panjang.
Akses Awal dan Penghantaran Muatan
Ink Dragon biasanya mendapat kemasukan dengan mengeksploitasi aplikasi web yang terdedah kepada internet. Kelemahan ini disalahgunakan untuk menggunakan cangkerang web, yang kemudiannya berfungsi sebagai titik pelancaran untuk perkakasan tambahan seperti VARGEIT dan Cobalt Strike. Muatan ini menyokong komunikasi arahan dan kawalan, peninjauan dalaman, pergerakan sisi, pengelakan pertahanan dan kecurian data.
Penyalahgunaan Awan dan Perkhidmatan Sah
Antara pintu belakang sekunder kumpulan itu ialah NANOREMOTE, yang memanfaatkan API Google Drive untuk bertukar fail antara hos yang dijangkiti dan infrastruktur yang dikawal oleh penyerang. Pemilihan alat kelihatan disengajakan dan situasional, menunjukkan bahawa pengendali menyesuaikan penggunaan dengan persekitaran mangsa dan mengutamakan teknik yang menyerupai corak trafik biasa yang dipercayai.
Eksploitasi ViewState dan Rampasan Infrastruktur C2
Satu teknik penentuan dalam buku panduan Ink Dragon melibatkan pengeksploitasian kekunci mesin ASP.NET yang lemah atau salah urus. Dengan menyalahgunakan kelemahan penyahsirilan ViewState dalam pelayan IIS dan SharePoint, pelakon memasang modul Pendengar IIS ShadowPad tersuai. Ini mengubah pelayan yang terjejas menjadi komponen aktif rangkaian arahan dan kawalan penyerang, membolehkan mereka menggunakan trafik dan arahan proksi dan meningkatkan daya tahan dengan ketara.
Daripada Pelanggaran Tempatan kepada Rangkaian Relay Global
Seni bina ini membolehkan trafik dihalakan bukan sahaja lebih jauh ke dalam satu organisasi tetapi juga merentasi rangkaian mangsa yang berasingan sepenuhnya. Hasilnya, satu pelayan yang dikompromi boleh menjadi perantara secara senyap dalam infrastruktur berbilang lapisan yang lebih luas. Modul pendengar itu sendiri menyokong pelaksanaan arahan jarak jauh, memberikan pengendali kawalan langsung untuk peninjauan dan pementasan muatan.
Taktik Pasca-Eksploitasi dan Eskalasi Keistimewaan
Selain penyalahgunaan ViewState, Ink Dragon telah menggunakan kelemahan ToolShell SharePoint untuk menggunakan cangkerang web. Berikutan kompromi awal, pelaku biasanya melakukan beberapa tindakan untuk mengukuhkan akses dan meningkatkan keistimewaan:
- Memanfaatkan kunci mesin IIS untuk mendapatkan kelayakan pentadbiran tempatan dan bergerak secara lateral melalui terowong RDP
- Mewujudkan kegigihan melalui tugasan berjadual dan perkhidmatan berniat jahat
- Membuang memori LSASS dan mengekstrak sarang pendaftaran untuk meningkatkan keistimewaan
- Mengubah peraturan tembok api hos untuk membenarkan trafik keluar dan menukar sistem kepada nod geganti ShadowPad
Penggunaan Semula Kredensial Lanjutan dan Kompromi Domain
Dalam sekurang-kurangnya satu kes yang diperhatikan, penyerang mengenal pasti sesi RDP yang terputus sambungan tetapi aktif milik Pentadbir Domain yang disahkan melalui Pengesahan Tahap Rangkaian dengan sandaran NTLMv2. Oleh kerana sesi tersebut kekal dilog keluar tetapi tidak ditamatkan, bahan kelayakan sensitif kekal dalam memori LSASS. Selepas mendapat akses tahap SISTEM, Ink Dragon mengekstrak token tersebut dan menggunakannya semula untuk menjalankan operasi SMB yang disahkan, menulis kepada perkongsian pentadbiran dan mengeluarkan NTDS.dit dan sarang pendaftaran.
Ekosistem Kegigihan Modular
Daripada bergantung pada satu pintu belakang, Ink Dragon menggunakan koleksi komponen khusus untuk mengekalkan akses jangka panjang. Peralatan yang diperhatikan termasuk:
- ShadowPad Loader untuk menyahsulit dan melaksanakan modul teras ShadowPad dalam memori
- CDBLoader, yang menyalahgunakan penyahpepijat konsol Microsoft untuk melaksanakan kod shell dan memuatkan muatan yang disulitkan
- LalsDumper untuk mengekstrak memori LSASS
- 032Loader untuk menyahsulit dan menjalankan muatan tambahan
- FINALDRAFT, alat pentadbiran jarak jauh moden yang menyalahgunakan Outlook dan Microsoft Graph untuk arahan dan kawalan
Evolusi FINALDRAFT
Kumpulan ini baru-baru ini telah menggunakan varian FINALDRAFT baharu yang direka untuk penyembunyian yang lebih baik dan penyusupan data yang lebih pantas. Ia memperkenalkan kaedah pengelakan lanjutan, menyokong penghantaran muatan berbilang peringkat dan membolehkan pergerakan sisi rahsia. Arahan dihantar sebagai dokumen yang dikodkan yang diletakkan di dalam peti mel mangsa, yang akan diambil, dinyahsulit dan dilaksanakan oleh implan melalui rangka kerja arahan modular.
Bertindih Dengan Pelakon Ancaman Lain
Penyiasat juga telah mengenal pasti kesan kumpulan lain yang bersekutu dengan China, REF3927, juga dikenali sebagai RudePanda, dalam beberapa persekitaran yang dikompromikan oleh Ink Dragon. Tiada bukti penyelarasan antara kedua-duanya, dan pertindihan itu dipercayai berpunca daripada kedua-dua pelaku yang mengeksploitasi vektor akses awal yang serupa dan bukannya berkongsi infrastruktur atau operasi.
Model Ancaman Baharu untuk Pembela
Ink Dragon mengaburkan garisan tradisional antara hos yang dijangkiti dan infrastruktur arahan. Setiap sistem yang dikompromi menjadi nod berfungsi dalam jaringan yang dikawal penyerang yang berkembang dengan setiap mangsa baharu. Bagi pihak pembela, ini bermakna pembendungan tidak boleh tertumpu semata-mata pada sistem individu. Gangguan yang berkesan memerlukan pengenalpastian dan pembongkaran keseluruhan rantaian geganti. Penggunaan ShadowPad yang berpusatkan geganti oleh Ink Dragon mewakili salah satu pelaksanaan paling matang yang diperhatikan setakat ini, dengan berkesan menjadikan rangkaian mangsa itu sendiri sebagai tulang belakang kempen pengintipan berbilang organisasi jangka panjang.
