Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie FINALDRAFT Backdoor

FINALDRAFT Backdoor

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT), Tylne drzwi
Przetłumacz na:

Atakujący, powszechnie znany jako Jewelbug, zintensyfikował swoją działalność na europejskich organizacjach rządowych od lipca 2025 roku, jednocześnie kontynuując aktywne działania przeciwko celom w Azji Południowo-Wschodniej i Ameryce Południowej. Naukowcy śledzą ten klaster aktywności jako Ink Dragon, grupę znaną również w szerszej społeczności bezpieczeństwa jako CL-STA-0049, Earth Alux i REF7707. Ocenia się, że atak ten jest powiązany z Chinami i wykazuje stałą aktywność co najmniej od marca 2023 roku.

Wiele tożsamości, jeden skoordynowany klaster

Kampanie Ink Dragon odzwierciedlają dojrzałe i zdyscyplinowane podejście do włamań. Operatorzy Ink Dragon łączą solidne umiejętności inżynierii oprogramowania z powtarzalnymi schematami operacyjnymi, często wykorzystując wbudowane narzędzia platformy do łączenia złośliwej aktywności z legalnymi danymi telemetrycznymi przedsiębiorstwa. Ta przemyślana strategia znacznie zwiększa poziom ukrycia i komplikuje wykrywanie.

Zakres, cele i ciągły wpływ

Kampania jest nadal aktywna i dotknęła już kilkudziesięciu ofiar. Dotknięte nią organizacje to agencje rządowe i dostawcy usług telekomunikacyjnych w Europie, Azji i Afryce. Szeroki zakres ofiar świadczy zarówno o skalowalności infrastruktury sprawcy, jak i jego strategicznym zainteresowaniu sieciami o wysokiej wartości.

Wczesna widoczność i kluczowe rodziny złośliwego oprogramowania

Publiczne informacje o Ink Dragon pojawiły się w lutym 2025 roku, kiedy badacze udokumentowali wykorzystanie przez niego backdoora FINALDRAFT, znanego również jako Squidoor. To złośliwe oprogramowanie działa zarówno w środowisku Windows, jak i Linux. Niedawno grupa została powiązana z długotrwałym, pięciomiesięcznym włamaniem do rosyjskiego dostawcy usług IT, co dowodzi jej zdolności do utrzymywania długotrwałego, ukrytego dostępu.

Początkowy dostęp i dostarczanie ładunku

Ink Dragon zazwyczaj uzyskuje dostęp do systemu, wykorzystując podatne na ataki aplikacje internetowe. Słabości te są wykorzystywane do wdrażania powłok internetowych, które następnie służą jako punkty startowe dla dodatkowych narzędzi, takich jak VARGEIT i Cobalt Strike. Ładunki te obsługują komunikację w systemie dowodzenia i kontroli, rozpoznanie wewnętrzne, ruch boczny, omijanie zabezpieczeń i kradzież danych.

Nadużywanie usług w chmurze i legalnych usług

Wśród drugorzędnych backdoorów grupy znajduje się NANOREMOTE, który wykorzystuje API Dysku Google do wymiany plików między zainfekowanymi hostami a infrastrukturą kontrolowaną przez atakującego. Dobór narzędzi wydaje się celowy i zależny od sytuacji, co sugeruje, że operatorzy dostosowują wdrożenia do środowiska ofiary i preferują techniki przypominające normalne, zaufane wzorce ruchu.

Wykorzystanie ViewState i przejęcie infrastruktury C2

Kluczową techniką w podręczniku Ink Dragon jest wykorzystanie słabych lub źle zarządzanych kluczy maszyn ASP.NET. Wykorzystując luki w deserializacji ViewState na serwerach IIS i SharePoint, aktor instaluje niestandardowy moduł ShadowPad IIS Listener. Przekształca on zainfekowane serwery w aktywne komponenty sieci poleceń i kontroli atakującego, umożliwiając mu dostęp do ruchu i poleceń proxy oraz znacząco zwiększając odporność.

Od lokalnego naruszenia do globalnej sieci przekaźnikowej

Ta architektura umożliwia kierowanie ruchu nie tylko głębiej w obrębie jednej organizacji, ale także przez całkowicie oddzielne sieci ofiar. W rezultacie jeden zainfekowany serwer może po cichu stać się pośrednikiem w szerszej, wielowarstwowej infrastrukturze. Sam moduł nasłuchujący obsługuje zdalne wykonywanie poleceń, dając operatorom bezpośrednią kontrolę nad rozpoznaniem i przygotowywaniem ładunku.

Taktyki eskalacji uprawnień po eksploatacji

Poza nadużyciami ViewState, Ink Dragon wykorzystał luki w zabezpieczeniach ToolShell SharePoint do wdrażania powłok webowych. Po początkowym ataku, aktor zazwyczaj wykonuje kilka działań w celu utrwalenia dostępu i eskalacji uprawnień:

  • Wykorzystanie kluczy maszynowych IIS do uzyskania lokalnych uprawnień administracyjnych i poruszania się poziomo za pomocą tuneli RDP
  • Ustanawianie trwałości za pomocą zaplanowanych zadań i złośliwych usług
  • Zrzucanie pamięci LSASS i wyodrębnianie gałęzi rejestru w celu podniesienia uprawnień
  • Zmiana reguł zapory hosta w celu zezwolenia na ruch wychodzący i konwersji systemów na węzły przekaźnikowe ShadowPad

Zaawansowane ponowne wykorzystanie poświadczeń i naruszenie domeny

W co najmniej jednym zaobserwowanym przypadku atakujący zidentyfikowali rozłączoną, ale aktywną sesję RDP należącą do administratora domeny uwierzytelnionego za pomocą uwierzytelniania na poziomie sieci z zapasowym protokołem NTLMv2. Ponieważ sesja pozostała wylogowana, ale nie została zakończona, poufne dane uwierzytelniające pozostały w pamięci LSASS. Po uzyskaniu dostępu na poziomie SYSTEM, Ink Dragon wyodrębnił token i wykorzystał go ponownie do przeprowadzania uwierzytelnionych operacji SMB, zapisu w udziałach administracyjnych oraz eksfiltracji plików NTDS.dit i gałęzi rejestru.

Modułowy ekosystem trwałości

Zamiast polegać na pojedynczym backdoorze, Ink Dragon wykorzystuje zestaw wyspecjalizowanych komponentów, aby zapewnić długotrwały dostęp. Obserwowane narzędzia obejmują:

  • Program ładujący ShadowPad do odszyfrowywania i uruchamiania modułu rdzenia ShadowPad w pamięci
  • CDBLoader, który wykorzystuje debugger konsoli firmy Microsoft do wykonywania kodu powłoki i ładowania zaszyfrowanych ładunków
  • LalsDumper do wyodrębniania pamięci LSASS
  • 032Ładowarka do odszyfrowywania i uruchamiania dodatkowych ładunków
  • FINALDRAFT, zmodernizowane narzędzie do zdalnego administrowania, które wykorzystuje Outlooka i Microsoft Graph do wydawania poleceń i kontroli

    • Ewolucja FINALDRAFT

    Grupa wdrożyła niedawno nowy wariant FINALDRAFT, zaprojektowany z myślą o większej skrytości i szybszej eksfiltracji danych. Wprowadza on zaawansowane metody unikania, obsługuje wieloetapowe dostarczanie danych i umożliwia ukryte przemieszczanie się. Polecenia są dostarczane w postaci zaszyfrowanych dokumentów umieszczanych w skrzynce pocztowej ofiary, które implant pobiera, deszyfruje i wykonuje za pośrednictwem modułowej struktury poleceń.

    Nakładanie się z innymi aktorami zagrożeń

    Śledczy zidentyfikowali również ślady innej grupy powiązanej z Chinami, REF3927, znanej również jako RudePanda, w kilku środowiskach zainfekowanych przez Ink Dragon. Nie ma dowodów na koordynację między nimi, a nakładanie się działań prawdopodobnie wynika z faktu, że obaj aktorzy wykorzystują podobne wektory dostępu początkowego, zamiast dzielić infrastrukturę lub operacje.

    Nowy model zagrożeń dla obrońców

    Ink Dragon zaciera tradycyjną granicę między zainfekowanymi hostami a infrastrukturą dowodzenia. Każdy zainfekowany system staje się funkcjonalnym węzłem w kontrolowanej przez atakującego siatce, która rozszerza się z każdą nową ofiarą. Dla obrońców oznacza to, że powstrzymywanie nie może koncentrować się wyłącznie na pojedynczych systemach. Skuteczne zakłócenie wymaga zidentyfikowania i rozmontowania całego łańcucha przekaźników. Wykorzystanie ShadowPad przez Ink Dragon, skoncentrowane na przekaźnikach, stanowi jedną z najbardziej dojrzałych implementacji zaobserwowanych do tej pory, skutecznie przekształcając same sieci ofiar w kręgosłup długoterminowych, wieloorganizacyjnych kampanii szpiegowskich.

    Popularne

    Najczęściej oglądane

    Ładowanie...