Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware FINALDRAFT Backdoor

FINALDRAFT Backdoor

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT), Ușile din spate
Tradu in:

Actorul hacker, denumit în mod obișnuit Jewelbug, și-a intensificat atenția asupra organizațiilor guvernamentale europene din iulie 2025, menținând în același timp operațiuni active împotriva țintelor din Asia de Sud-Est și America de Sud. Cercetătorii urmăresc acest grup de activități ca Ink Dragon, un grup cunoscut și în comunitatea de securitate mai largă sub numele de CL-STA-0049, Earth Alux și REF7707. Actorul este evaluat ca fiind aliniat cu China și a demonstrat o activitate susținută cel puțin din martie 2023.

Identități multiple, un grup coordonat

Campaniile Ink Dragon reflectă o capacitate de intruziune matură și disciplinată. Operatorii săi combină abilități solide de inginerie software cu strategii operaționale repetabile, bazându-se frecvent pe utilitare integrate în platformă pentru a combina activități rău intenționate cu telemetrie legitimă a întreprinderii. Această tehnică deliberată crește semnificativ ascunderea și complică detectarea.

Domeniu de aplicare, obiective și impact continuu

Campania rămâne activă și a afectat deja câteva zeci de victime. Organizațiile afectate includ agenții guvernamentale și furnizori de telecomunicații din Europa, Asia și Africa. Numărul mare de victime subliniază atât scalabilitatea infrastructurii actorului, cât și interesul său strategic pentru rețelele de mare valoare.

Vizibilitate timpurie și principalele familii de programe malware

Informații publice despre Ink Dragon au apărut în februarie 2025, când cercetătorii au documentat utilizarea backdoor-ului FINALDRAFT, cunoscut și sub numele de Squidoor. Acest malware este compatibil atât cu mediile Windows, cât și cu cele Linux. Mai recent, grupul a fost asociat cu o intruziune prelungită, de cinci luni, împotriva unui furnizor de servicii IT rus, evidențiind capacitatea sa de a menține acces secret pe termen lung.

Acces inițial și livrarea sarcinii utile

Ink Dragon pătrunde de obicei prin exploatarea aplicațiilor web vulnerabile, conectate la internet. Aceste puncte slabe sunt utilizate în mod abuziv pentru a implementa shell-uri web, care servesc apoi drept puncte de lansare pentru instrumente suplimentare, cum ar fi VARGEIT și Cobalt Strike. Aceste sarcini utile suportă comunicații de comandă și control, recunoaștere internă, mișcare laterală, ocolirea apărării și furtul de date.

Abuzul de cloud și servicii legitime

Printre backdoor-urile secundare ale grupului se numără NANOREMOTE, care utilizează API-ul Google Drive pentru a face schimb de fișiere între gazdele infectate și infrastructura controlată de atacatori. Selecția instrumentelor pare deliberată și situațională, sugerând că operatorii adaptează implementările la mediul victimei și favorizează tehnici care seamănă cu modele de trafic normale, de încredere.

Exploatarea ViewState și deturnarea infrastructurii C2

O tehnică definitorie din strategia Ink Dragon implică exploatarea cheilor mașinilor ASP.NET slabe sau gestionate greșit. Abuzând de defectele de deserializare ViewState din serverele IIS și SharePoint, atacatorul instalează un modul personalizat ShadowPad IIS Listener. Acesta transformă serverele compromise în componente active ale rețelei de comandă și control a atacatorului, permițându-i să transmită traficul și comenzile prin proxy și crescând semnificativ rezistența.

De la o breșă locală la o rețea globală de retransmisie

Această arhitectură permite ca traficul să fie direcționat nu doar mai adânc într-o singură organizație, ci și prin rețele complet separate ale victimelor. Drept urmare, un server compromis poate deveni în mod silențios un intermediar într-o infrastructură mai largă, cu mai multe straturi. Modulul de ascultare în sine acceptă executarea comenzilor de la distanță, oferind operatorilor control direct pentru recunoaștere și staging-ul sarcinii utile.

Tactici post-exploatare și de escaladare a privilegiilor

Dincolo de abuzul ViewState, Ink Dragon a folosit vulnerabilități ToolShell SharePoint ca armă pentru a implementa shell-uri web. După compromiterea inițială, atacatorul efectuează de obicei mai multe acțiuni pentru a consolida accesul și a escalada privilegiile:

  • Utilizarea cheilor mașinii IIS pentru a obține acreditări administrative locale și a se deplasa lateral prin tuneluri RDP
  • Stabilirea persistenței prin sarcini programate și servicii rău intenționate
  • Eliminarea memoriei LSASS și extragerea secțiunilor de registry pentru a ridica privilegiile
  • Modificarea regulilor firewall-ului gazdă pentru a permite traficul de ieșire și a converti sistemele în noduri de retransmisie ShadowPad

Reutilizarea avansată a acreditărilor și compromiterea domeniului

În cel puțin un caz observat, atacatorii au identificat o sesiune RDP deconectată, dar activă, aparținând unui administrator de domeniu autentificat prin autentificare la nivel de rețea cu soluție NTLMv2. Deoarece sesiunea a rămas deconectată, dar nu a fost încheiată, materialele sensibile ale acreditărilor au persistat în memoria LSASS. După obținerea accesului la nivel de SISTEM, Ink Dragon a extras token-ul și l-a reutilizat pentru a efectua operațiuni SMB autentificate, a scrie în partajări administrative și a exfiltra fișiere NTDS.dit și hive-uri de registry.

Un ecosistem modular de persistență

În loc să se bazeze pe o singură backdoor, Ink Dragon folosește o colecție de componente specializate pentru a menține accesul pe termen lung. Instrumentele observate includ:

  • Încărcător ShadowPad pentru decriptarea și executarea modulului principal ShadowPad în memorie
  • CDBLoader, care abuzează depanatorul consolei Microsoft pentru a executa shellcode și a încărca sarcini utile criptate
  • LalsDumper pentru extragerea memoriei LSASS
  • 032Loader pentru decriptarea și rularea unor sarcini utile suplimentare
  • FINALDRAFT, un instrument modernizat de administrare la distanță care abuzează de Outlook și Microsoft Graph pentru comandă și control

    • Evoluția FINALDRAFT

    Grupul a implementat recent o nouă variantă FINALDRAFT, concepută pentru o mai mare discreție și o exfiltrare mai rapidă a datelor. Aceasta introduce metode avansate de evitare a atacurilor, acceptă livrarea de informații utile în mai multe etape și permite mișcarea laterală sub acoperire. Comenzile sunt livrate sub formă de documente codificate plasate în cutia poștală a victimei, pe care implantul le recuperează, le decriptează și le execută printr-un cadru de comenzi modular.

    Suprapunere cu alți actori amenințători

    Anchetatorii au identificat, de asemenea, urme ale unui alt grup aliniat cu China, REF3927, cunoscut și sub numele de RudePanda, în mai multe medii compromise de Ink Dragon. Nu există dovezi de coordonare între cei doi, iar suprapunerea se crede că provine din faptul că ambii actori exploatează vectori de acces inițiali similari, în loc să partajeze infrastructura sau operațiunile.

    Un nou model de amenințare pentru apărători

    Ink Dragon estompează linia tradițională dintre gazdele infectate și infrastructura de comandă. Fiecare sistem compromis devine un nod funcțional într-o rețea controlată de atacator, care se extinde cu fiecare nouă victimă. Pentru apărători, aceasta înseamnă că izolarea nu se poate concentra exclusiv pe sisteme individuale. Perturbarea eficientă a atacurilor necesită identificarea și demontarea întregului lanț de retransmisii. Utilizarea ShadowPad, centrată pe retransmisii, de către Ink Dragon reprezintă una dintre cele mai mature implementări observate până în prezent, transformând efectiv rețelele victimelor în coloana vertebrală a campaniilor de spionaj pe termen lung, multi-organizaționale.

    Trending

    Cele mai văzute

    Se încarcă...