Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware FINALDRAFT Achterdeur

FINALDRAFT Achterdeur

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:

De dreigingsactor die algemeen bekend staat als Jewelbug heeft zich sinds juli 2025 steeds meer gericht op Europese overheidsorganisaties, terwijl hij tegelijkertijd actief blijft opereren tegen doelen in Zuidoost-Azië en Zuid-Amerika. Onderzoekers volgen deze activiteitengroep als Ink Dragon, een groep die in de bredere veiligheidsgemeenschap ook bekend staat als CL-STA-0049, Earth Alux en REF7707. De actor wordt beschouwd als gelieerd aan China en is sinds ten minste maart 2023 aanhoudend actief.

Meerdere identiteiten, één gecoördineerd geheel.

De campagnes van Ink Dragon getuigen van een volwassen en gedisciplineerde inbraakcapaciteit. De operators combineren sterke software-engineeringvaardigheden met herhaalbare operationele draaiboeken en maken vaak gebruik van ingebouwde platformtools om kwaadaardige activiteiten te vermengen met legitieme telemetriegegevens van bedrijven. Deze weloverwogen werkwijze vergroot de onzichtbaarheid aanzienlijk en bemoeilijkt detectie.

Omvang, doelstellingen en blijvende impact

De campagne is nog steeds actief en heeft al tientallen slachtoffers gemaakt. Onder de getroffen organisaties bevinden zich overheidsinstanties en telecomproviders in Europa, Azië en Afrika. De grote verscheidenheid aan slachtoffers onderstreept zowel de schaalbaarheid van de infrastructuur van de dader als diens strategische belang bij waardevolle netwerken.

Vroege detectie en belangrijke malwarefamilies

In februari 2025 kwam er publieke informatie over Ink Dragon naar buiten toen onderzoekers documenteerden dat de groep gebruikmaakte van de FINALDRAFT-backdoor, ook wel bekend als Squidoor. Deze malware is geschikt voor zowel Windows- als Linux-omgevingen. Meer recent werd de groep in verband gebracht met een langdurige inbraak van vijf maanden bij een Russische IT-dienstverlener, wat hun vermogen om langdurig en heimelijk toegang te behouden aantoont.

Initiële toegang en levering van de gegevens

Ink Dragon verkrijgt doorgaans toegang door kwetsbare, internetgerichte webapplicaties te exploiteren. Deze zwakke punten worden misbruikt om webshells te installeren, die vervolgens dienen als lanceerpunten voor aanvullende tools zoals VARGEIT en Cobalt Strike. Deze payloads ondersteunen command-and-control-communicatie, interne verkenning, laterale verplaatsing, het omzeilen van verdedigingsmechanismen en datadiefstal.

Misbruik van cloud- en legitieme diensten

Een van de secundaire backdoors van de groep is NANOREMOTE, dat gebruikmaakt van de Google Drive API om bestanden uit te wisselen tussen geïnfecteerde hosts en door de aanvallers beheerde infrastructuur. De keuze van de tools lijkt weloverwogen en situationeel, wat suggereert dat de beheerders de implementaties afstemmen op de omgeving van het slachtoffer en technieken gebruiken die lijken op normale, vertrouwde verkeerspatronen.

ViewState-exploitatie en kaping van C2-infrastructuur

Een bepalende techniek in het draaiboek van Ink Dragon is het exploiteren van zwakke of slecht beheerde ASP.NET-machinesleutels. Door gebruik te maken van ViewState-deserialisatiefouten in IIS- en SharePoint-servers installeert de aanvaller een aangepaste ShadowPad IIS Listener-module. Hierdoor worden gecompromitteerde servers actieve componenten van het command-and-control-netwerk van de aanvaller, waardoor ze verkeer en commando's kunnen proxyen en de weerbaarheid aanzienlijk wordt vergroot.

Van lokale inbreuk naar wereldwijd relaynetwerk

Deze architectuur maakt het mogelijk om verkeer niet alleen dieper binnen één organisatie te routeren, maar ook over volledig gescheiden slachtoffernetwerken. Hierdoor kan één gecompromitteerde server ongemerkt een tussenpersoon worden in een bredere, meerlaagse infrastructuur. De luistermodule zelf ondersteunt het uitvoeren van commando's op afstand, waardoor operators directe controle hebben over verkenning en het klaarzetten van de payload.

Tactieken na exploitatie en privilege-escalatie

Naast het misbruik van ViewState heeft Ink Dragon ook gebruikgemaakt van ToolShell SharePoint-kwetsbaarheden om webshells te implementeren. Na de eerste inbreuk voert de aanvaller doorgaans verschillende acties uit om de toegang te verstevigen en de bevoegdheden te verhogen:

  • Gebruikmaken van IIS-machinesleutels om lokale beheerdersreferenties te verkrijgen en zich lateraal te verplaatsen via RDP-tunnels.
  • Het creëren van persistentie via geplande taken en kwaadwillige services.
  • Het geheugen van LSASS dumpen en registerhives extraheren om privileges te verhogen.
  • De firewallregels van de host aanpassen om uitgaand verkeer toe te staan en systemen om te zetten in ShadowPad-relaisnodes.

Geavanceerd hergebruik van inloggegevens en domeincompromis

In ten minste één geval identificeerden de aanvallers een verbroken maar actieve RDP-sessie van een domeinbeheerder die was geauthenticeerd via netwerkauthenticatie met NTLMv2-terugval. Omdat de sessie was afgemeld maar niet beëindigd, bleef gevoelige inloginformatie in het LSASS-geheugen bewaard. Nadat Ink Dragon toegang op systeemniveau had verkregen, extraheerde het de token en hergebruikte deze om geauthenticeerde SMB-bewerkingen uit te voeren, naar beheerdersshares te schrijven en NTDS.dit en registerbestanden te exfiltreren.

Een modulair ecosysteem voor persistentie

In plaats van te vertrouwen op één enkele achterdeur, gebruikt Ink Dragon een verzameling gespecialiseerde componenten om langdurige toegang te garanderen. De waargenomen tools omvatten:

  • ShadowPad Loader voor het decoderen en uitvoeren van de ShadowPad-kernmodule in het geheugen.
  • CDBLoader, dat misbruik maakt van Microsofts consoledebugger om shellcode uit te voeren en versleutelde payloads te laden.
  • LalsDumper voor het extraheren van LSASS-geheugen
  • 032Loader voor het decoderen en uitvoeren van extra payloads
  • FINALDRAFT, een gemoderniseerde tool voor beheer op afstand die Outlook en Microsoft Graph misbruikt voor command-and-control-functionaliteit.

Evolutie van FINALDRAFT

De groep heeft onlangs een nieuwe FINALDRAFT-variant ingezet, ontworpen voor meer stealth en snellere data-exfiltratie. Deze variant introduceert geavanceerde ontwijkingsmethoden, ondersteunt de aflevering van payloads in meerdere fasen en maakt heimelijke laterale verplaatsing mogelijk. Commando's worden afgeleverd als gecodeerde documenten in de mailbox van het slachtoffer, die het implantaat vervolgens ophaalt, decodeert en uitvoert via een modulair commando-framework.

Overlap met andere bedreigingsactoren

Onderzoekers hebben ook sporen gevonden van een andere aan China gelieerde groep, REF3927, ook bekend als RudePanda, in verschillende omgevingen die door Ink Dragon zijn gecompromitteerd. Er is geen bewijs van coördinatie tussen de twee, en de overlap wordt vermoedelijk veroorzaakt doordat beide actoren vergelijkbare initiële toegangsmethoden hebben gebruikt, in plaats van dat ze dezelfde infrastructuur of werkwijzen delen.

Een nieuw dreigingsmodel voor verdedigers

Ink Dragon vervaagt de traditionele grens tussen geïnfecteerde hosts en commandostructuur. Elk gecompromitteerd systeem wordt een functioneel knooppunt in een door de aanvaller gecontroleerd netwerk dat met elk nieuw slachtoffer groeit. Voor verdedigers betekent dit dat de bestrijding zich niet alleen op individuele systemen kan richten. Effectieve verstoring vereist het identificeren en ontmantelen van de gehele relay-keten. Ink Dragons relay-centrische gebruik van ShadowPad is een van de meest geavanceerde implementaties die tot nu toe zijn waargenomen, waardoor de netwerken van de slachtoffers zelf de ruggengraat vormen van langdurige, multi-organisatorische spionagecampagnes.

Trending

Meest bekeken

Bezig met laden...