FINALDRAFT ब्याकडोर

सामान्यतया ज्वेलबग भनेर चिनिने खतरा अभिनेताले जुलाई २०२५ देखि युरोपेली सरकारी संस्थाहरूमा आफ्नो ध्यान केन्द्रित गरेको छ, जबकि अझै पनि दक्षिणपूर्वी एसिया र दक्षिण अमेरिकामा लक्षित लक्ष्यहरू विरुद्ध सक्रिय अपरेशनहरू कायम राखेको छ। अनुसन्धानकर्ताहरूले यो गतिविधि क्लस्टरलाई इन्क ड्र्यागनको रूपमा ट्र्याक गर्छन्, जुन समूहलाई व्यापक सुरक्षा समुदायमा CL-STA-0049, Earth Alux, र REF7707 को रूपमा पनि चिनिन्छ। अभिनेतालाई चीन-पङ्क्तिबद्ध मानिएको छ र कम्तिमा मार्च २०२३ देखि निरन्तर गतिविधि प्रदर्शन गरेको छ।

बहु पहिचान, एक समन्वित समूह

इन्क ड्र्यागनको अभियानहरूले परिपक्व र अनुशासित घुसपैठ क्षमतालाई प्रतिबिम्बित गर्दछ। यसका सञ्चालकहरूले दोहोरिने अपरेशनल प्लेबुकहरूसँग बलियो सफ्टवेयर इन्जिनियरिङ सीपहरू संयोजन गर्छन्, प्रायः निर्मित प्लेटफर्म उपयोगिताहरूमा भर पर्छन् जसले गर्दा दुर्भावनापूर्ण गतिविधिलाई वैध उद्यम टेलिमेट्रीमा मिसाउन सकिन्छ। यो जानाजानी गरिएको ट्रेडक्राफ्टले चोरीलाई उल्लेखनीय रूपमा बढाउँछ र पत्ता लगाउन जटिल बनाउँछ।

कार्यक्षेत्र, लक्ष्य, र निरन्तर प्रभाव

अभियान सक्रिय छ र पहिले नै धेरै दर्जन पीडितहरूलाई असर गरिसकेको छ। प्रभावित संस्थाहरूले युरोप, एसिया र अफ्रिकाभरि सरकारी एजेन्सीहरू र दूरसञ्चार प्रदायकहरूलाई फैलाउँछन्। पीडितहरूको चौडाइले अभिनेताको पूर्वाधारको स्केलेबिलिटी र उच्च-मूल्य नेटवर्कहरूमा यसको रणनीतिक रुचि दुवैलाई जोड दिन्छ।

प्रारम्भिक दृश्यता र प्रमुख मालवेयर परिवारहरू

इन्क ड्र्यागनको बारेमा सार्वजनिक अन्तर्दृष्टि फेब्रुअरी २०२५ मा देखा पर्‍यो, जब अनुसन्धानकर्ताहरूले यसको FINALDRAFT ब्याकडोर, जसलाई स्क्विडूर पनि भनिन्छ, प्रयोगको दस्तावेजीकरण गरे। यो मालवेयरले विन्डोज र लिनक्स दुवै वातावरणलाई समर्थन गर्दछ। हालसालै, समूहलाई रूसी आईटी सेवा प्रदायक विरुद्ध लामो समयसम्म पाँच महिनाको घुसपैठसँग जोडिएको थियो, जसले दीर्घकालीन, गोप्य पहुँच कायम राख्ने यसको क्षमतालाई हाइलाइट गर्दछ।

प्रारम्भिक पहुँच र पेलोड डेलिभरी

इन्क ड्र्यागनले सामान्यतया कमजोर, इन्टरनेट-मुखी वेब अनुप्रयोगहरूको शोषण गरेर प्रवेश प्राप्त गर्दछ। यी कमजोरीहरूलाई वेब शेलहरू तैनाथ गर्न दुरुपयोग गरिन्छ, जुन त्यसपछि VARGEIT र कोबाल्ट स्ट्राइक जस्ता अतिरिक्त उपकरणहरूको लागि प्रक्षेपण बिन्दुको रूपमा काम गर्दछ। यी पेलोडहरूले कमाण्ड-एन्ड-नियन्त्रण सञ्चार, आन्तरिक जासूसी, पार्श्व आन्दोलन, प्रतिरक्षाबाट बच्न, र डेटा चोरीलाई समर्थन गर्दछ।

क्लाउड र वैध सेवाहरूको दुरुपयोग

समूहको माध्यमिक ब्याकडोरहरू मध्ये NANOREMOTE हो, जसले संक्रमित होस्टहरू र आक्रमणकारी-नियन्त्रित पूर्वाधार बीच फाइलहरू आदानप्रदान गर्न Google ड्राइभ API को लाभ उठाउँछ। उपकरण चयन जानाजानी र परिस्थितिगत देखिन्छ, जसले सुझाव दिन्छ कि अपरेटरहरूले पीडित वातावरणमा तैनातीहरू अनुकूलित गर्छन् र सामान्य, विश्वसनीय ट्राफिक ढाँचाहरू जस्तै प्रविधिहरूलाई समर्थन गर्छन्।

भ्यूस्टेट शोषण र C2 पूर्वाधार अपहरण

इन्क ड्र्यागनको प्लेबुकमा एउटा परिभाषित प्रविधि भनेको कमजोर वा अव्यवस्थित ASP.NET मेसिन कुञ्जीहरूको शोषण गर्नु हो। IIS र SharePoint सर्भरहरूमा ViewState deserialization त्रुटिहरूको दुरुपयोग गरेर, अभिनेताले अनुकूलन ShadowPad IIS Lisener मोड्युल स्थापना गर्दछ। यसले सम्झौता गरिएका सर्भरहरूलाई आक्रमणकारीको कमाण्ड-एन्ड-कन्ट्रोल नेटवर्कको सक्रिय घटकहरूमा रूपान्तरण गर्दछ, तिनीहरूलाई प्रोक्सी ट्राफिक र आदेशहरूमा सक्षम बनाउँछ र उल्लेखनीय रूपमा लचिलोपन बढाउँछ।

स्थानीय उल्लंघनबाट विश्वव्यापी रिले नेटवर्कसम्म

यो वास्तुकलाले ट्राफिकलाई एउटै संस्थामा मात्र नभई पूर्ण रूपमा छुट्टै पीडित नेटवर्कहरूमा पनि पठाउन अनुमति दिन्छ। फलस्वरूप, एउटा सम्झौता गरिएको सर्भर फराकिलो, बहु-स्तरीय पूर्वाधारमा चुपचाप मध्यस्थकर्ता बन्न सक्छ। श्रोता मोड्युलले आफैंले रिमोट कमाण्ड कार्यान्वयनलाई समर्थन गर्दछ, जसले अपरेटरहरूलाई पुनर्जागरण र पेलोड स्टेजिङको लागि प्रत्यक्ष नियन्त्रण दिन्छ।

शोषणपछिको र विशेषाधिकार वृद्धि रणनीतिहरू

ViewState दुरुपयोगभन्दा बाहिर, Ink Dragon ले वेब शेलहरू तैनाथ गर्न ToolShell SharePoint कमजोरीहरूलाई हतियार बनाएको छ। प्रारम्भिक सम्झौता पछि, अभिनेताले सामान्यतया पहुँच स्थापित गर्न र विशेषाधिकारहरू बढाउन धेरै कार्यहरू गर्दछ:

• स्थानीय प्रशासनिक प्रमाणपत्रहरू प्राप्त गर्न र RDP सुरुङहरू मार्फत पार्श्व रूपमा सार्न IIS मेसिन कुञ्जीहरूको उपयोग गर्दै
• निर्धारित कार्यहरू र दुर्भावनापूर्ण सेवाहरू मार्फत दृढता स्थापित गर्दै
• विशेषाधिकार बढाउन LSASS मेमोरी डम्प गर्दै र रजिस्ट्री हाइभ्स निकाल्दै
• आउटबाउन्ड ट्राफिकलाई अनुमति दिन र प्रणालीहरूलाई ShadowPad रिले नोडहरूमा रूपान्तरण गर्न होस्ट फायरवाल नियमहरू परिवर्तन गर्दै।

उन्नत प्रमाणपत्र पुन: प्रयोग र डोमेन सम्झौता

कम्तिमा एउटा अवलोकन गरिएको अवस्थामा, आक्रमणकारीहरूले NTLMv2 फलब्याकको साथ नेटवर्क स्तर प्रमाणीकरण मार्फत प्रमाणित डोमेन प्रशासकसँग सम्बन्धित विच्छेदन गरिएको तर सक्रिय RDP सत्र पहिचान गरे। सत्र लग अफ गरिएको तर समाप्त नभएको कारणले गर्दा, संवेदनशील प्रमाण सामग्री LSASS मेमोरीमा रह्यो। SYSTEM-स्तर पहुँच प्राप्त गरेपछि, Ink Dragon ले टोकन निकाल्यो र प्रमाणित SMB सञ्चालनहरू सञ्चालन गर्न, प्रशासनिक शेयरहरूमा लेख्न, र NTDS.dit र रजिस्ट्री हाइभहरू एक्सफिल्टरेट गर्न पुन: प्रयोग गर्‍यो।

एक मोड्युलर पर्सिस्टन्स इकोसिस्टम

एउटै ब्याकडोरमा भर पर्नुको सट्टा, इन्क ड्र्यागनले दीर्घकालीन पहुँच कायम राख्न विशेष कम्पोनेन्टहरूको संग्रह प्रयोग गर्दछ। अवलोकन गरिएको उपकरणहरूमा समावेश छन्:

• मेमोरीमा ShadowPad कोर मोड्युल डिक्रिप्ट र कार्यान्वयन गर्न ShadowPad लोडर

• CDBLoader, जसले शेलकोड कार्यान्वयन गर्न र एन्क्रिप्टेड पेलोडहरू लोड गर्न माइक्रोसफ्टको कन्सोल डिबगरको दुरुपयोग गर्दछ।

• LSASS मेमोरी निकाल्नको लागि लाल डम्पर

• ०३२ अतिरिक्त पेलोडहरू डिक्रिप्ट गर्न र चलाउनको लागि लोडर

• FINALDRAFT, एक आधुनिक रिमोट प्रशासन उपकरण जसले कमाण्ड-एन्ड-कन्ट्रोलको लागि आउटलुक र माइक्रोसफ्ट ग्राफको दुरुपयोग गर्दछ।

फाइनल ड्राफ्टको विकास

समूहले हालै ठूलो चोरी र छिटो डेटा एक्सफिल्टरेशनको लागि डिजाइन गरिएको नयाँ FINALDRAFT संस्करण तैनाथ गरेको छ। यसले उन्नत चोरी विधिहरू प्रस्तुत गर्दछ, बहु-चरण पेलोड डेलिभरीलाई समर्थन गर्दछ, र गुप्त पार्श्व आन्दोलनलाई सक्षम बनाउँछ। आदेशहरू पीडितको मेलबक्समा राखिएको एन्कोड गरिएको कागजातहरूको रूपमा डेलिभर गरिन्छ, जुन इम्प्लान्टले मोड्युलर कमाण्ड फ्रेमवर्क मार्फत पुन: प्राप्त गर्दछ, डिक्रिप्ट गर्दछ र कार्यान्वयन गर्दछ।

अन्य खतरा अभिनेताहरूसँग ओभरल्याप गर्नुहोस्

अन्वेषकहरूले इन्क ड्र्यागनले सम्झौता गरेका धेरै वातावरणहरूमा अर्को चीन-पङ्क्तिबद्ध समूह, REF3927, जसलाई रुडपान्डा पनि भनिन्छ, को निशानहरू पनि पहिचान गरेका छन्। दुई बीच समन्वयको कुनै प्रमाण छैन, र ओभरल्याप दुवै अभिनेताहरूले पूर्वाधार वा सञ्चालनहरू साझा गर्नुको सट्टा समान प्रारम्भिक पहुँच भेक्टरहरूको शोषणबाट उत्पन्न भएको विश्वास गरिन्छ।

रक्षकहरूको लागि नयाँ खतरा मोडेल

इन्क ड्र्यागनले संक्रमित होस्टहरू र कमाण्ड पूर्वाधार बीचको परम्परागत रेखालाई धमिलो पार्छ। प्रत्येक सम्झौता गरिएको प्रणाली आक्रमणकारी-नियन्त्रित जालमा एक कार्यात्मक नोड बन्छ जुन प्रत्येक नयाँ पीडितसँग विस्तार हुन्छ। डिफेन्डरहरूको लागि, यसको अर्थ कन्टेनमेन्ट व्यक्तिगत प्रणालीहरूमा मात्र ध्यान केन्द्रित गर्न सक्दैन। प्रभावकारी अवरोधको लागि सम्पूर्ण रिले शृङ्खला पहिचान र विघटन आवश्यक छ। इन्क ड्र्यागनको छायाँप्याडको रिले-केन्द्रित प्रयोगले अहिलेसम्म अवलोकन गरिएको सबैभन्दा परिपक्व कार्यान्वयनहरू मध्ये एकलाई प्रतिनिधित्व गर्दछ, जसले प्रभावकारी रूपमा पीडित नेटवर्कहरूलाई दीर्घकालीन, बहु-संगठनात्मक जासूसी अभियानहरूको मेरुदण्डमा परिणत गर्दछ।