Скидка на мультилицензию
База данных угроз Вредоносное ПО ФИНАЛЬНЫЙ ДРАФТ Задняя дверь

ФИНАЛЬНЫЙ ДРАФТ Задняя дверь

К Mezo году в Вредоносное ПО, Расширенная постоянная угроза (APT), Бэкдоры году
Перевести на:

Злоумышленник, известный под псевдонимом Jewelbug, с июля 2025 года усилил свою активность в отношении европейских правительственных организаций, одновременно продолжая активные операции против целей в Юго-Восточной Азии и Южной Америке. Исследователи отслеживают эту группу как Ink Dragon, также известную в более широком сообществе специалистов по безопасности как CL-STA-0049, Earth Alux и REF7707. Считается, что этот субъект связан с Китаем и демонстрирует устойчивую активность как минимум с марта 2023 года.

Множество идентичностей, один скоординированный кластер

Кампании Ink Dragon отражают зрелый и дисциплинированный подход к проникновению. Их операторы сочетают в себе сильные навыки разработки программного обеспечения с отработанными оперативными сценариями, часто используя встроенные утилиты платформы для маскировки вредоносной активности под легитимные корпоративные телеметрические данные. Этот продуманный метод значительно повышает скрытность и усложняет обнаружение.

Масштаб, цели и текущее влияние

Кампания продолжается и уже затронула несколько десятков жертв. Пострадавшие организации включают государственные учреждения и телекоммуникационные компании в Европе, Азии и Африке. Широкий охват пострадавших подчеркивает как масштабируемость инфраструктуры злоумышленника, так и его стратегический интерес к высокодоходным сетям.

Ранняя диагностика и ключевые семейства вредоносных программ

Информация об Ink Dragon стала известна общественности в феврале 2025 года, когда исследователи задокументировали использование ею бэкдора FINALDRAFT, также известного как Squidoor. Это вредоносное ПО поддерживает как Windows, так и Linux. Совсем недавно группа была связана с длительным, пятимесячным вторжением в российскую компанию, предоставляющую ИТ-услуги, что подчеркивает ее способность поддерживать долгосрочный, скрытый доступ.

Первоначальный доступ и доставка полезной нагрузки

Ink Dragon обычно проникает в систему, используя уязвимости веб-приложений, доступных из интернета. Эти уязвимости используются для развертывания веб-оболочек, которые затем служат точками запуска для дополнительных инструментов, таких как VARGEIT и Cobalt Strike. Эти полезные нагрузки поддерживают связь между командным пунктом и центром управления, внутреннюю разведку, горизонтальное перемещение, обход средств защиты и кражу данных.

Злоупотребление облачными и легитимными сервисами.

Среди вторичных бэкдоров этой группы — NANOREMOTE, который использует API Google Drive для обмена файлами между зараженными хостами и инфраструктурой, контролируемой злоумышленниками. Выбор инструментов, по-видимому, является преднамеренным и ситуативным, что говорит о том, что операторы адаптируют развертывание к среде жертвы и отдают предпочтение методам, имитирующим обычные, доверенные схемы трафика.

Эксплуатация ViewState и захват инфраструктуры управления и контроля

Один из ключевых приемов в арсенале Ink Dragon заключается в использовании слабых или неправильно управляемых машинных ключей ASP.NET. Используя уязвимости десериализации ViewState в серверах IIS и SharePoint, злоумышленник устанавливает собственный модуль ShadowPad IIS Listener. Это превращает скомпрометированные серверы в активные компоненты сети управления злоумышленника, позволяя ему перенаправлять трафик и команды, а также значительно повышая отказоустойчивость.

От локального взлома до глобальной сети ретрансляции

Эта архитектура позволяет направлять трафик не только вглубь организации, но и через совершенно отдельные сети жертв. В результате один скомпрометированный сервер может незаметно стать посредником в более широкой многоуровневой инфраструктуре. Сам модуль прослушивания поддерживает удаленное выполнение команд, предоставляя операторам прямой контроль над разведкой и подготовкой полезной нагрузки.

Тактика постэксплуатации и повышения привилегий

Помимо использования ViewState, Ink Dragon применил уязвимости ToolShell в SharePoint для развертывания веб-оболочек. После первоначального взлома злоумышленник обычно выполняет несколько действий для закрепления доступа и повышения привилегий:

  • Использование ключей IIS для получения локальных административных учетных данных и перемещения по сети через туннели RDP.
  • Обеспечение постоянного присутствия с помощью запланированных задач и вредоносных сервисов.
  • Создание дампа памяти LSASS и извлечение разделов реестра для повышения привилегий.
  • Изменение правил брандмауэра хоста для разрешения исходящего трафика и преобразования систем в узлы ретрансляции ShadowPad.

Расширенное повторное использование учетных данных и компрометация домена

По меньшей мере в одном из наблюдавшихся случаев злоумышленники обнаружили отключенную, но активную сессию RDP, принадлежащую администратору домена, аутентифицированному с помощью сетевой аутентификации с резервным вариантом NTLMv2. Поскольку сессия оставалась отключенной, но не завершенной, конфиденциальные учетные данные сохранялись в памяти LSASS. Получив доступ на уровне SYSTEM, Ink Dragon извлек токен и повторно использовал его для выполнения аутентифицированных операций SMB, записи в административные общие ресурсы и извлечения файлов NTDS.dit и разделов реестра.

Модульная экосистема сохранения данных

Вместо того чтобы полагаться на один единственный бэкдор, Ink Dragon использует набор специализированных компонентов для обеспечения долговременного доступа. Среди обнаруженных инструментов можно выделить следующие:

  • Загрузчик ShadowPad для расшифровки и выполнения основного модуля ShadowPad в памяти.
  • CDBLoader, который использует уязвимости консольного отладчика Microsoft для выполнения шеллкода и загрузки зашифрованных полезных нагрузок.
  • LalsDumper для извлечения памяти LSASS
  • 032Loader для расшифровки и запуска дополнительных полезных нагрузок
  • FINALDRAFT — это модернизированный инструмент удалённого администрирования, использующий Outlook и Microsoft Graph для управления и контроля.

Эволюция FINALDRAFT

Группа недавно внедрила новый вариант FINALDRAFT, разработанный для большей скрытности и более быстрой утечки данных. Он внедряет передовые методы уклонения, поддерживает многоступенчатую доставку полезной нагрузки и позволяет осуществлять скрытое горизонтальное перемещение. Команды доставляются в виде закодированных документов, помещенных в почтовый ящик жертвы, которые имплантат извлекает, расшифровывает и выполняет с помощью модульной системы управления.

Пересечение с другими субъектами угроз.

Следователи также обнаружили следы другой группы, связанной с Китаем, REF3927, также известной как RudePanda, в нескольких средах, взломанных Ink Dragon. Доказательств координации между ними нет, и предполагается, что совпадение обусловлено тем, что обе группы использовали схожие первоначальные пути доступа, а не делили инфраструктуру или операции.

Новая модель угроз для защитников

Ink Dragon стирает традиционную грань между зараженными хостами и инфраструктурой управления. Каждая скомпрометированная система становится функциональным узлом в сети, контролируемой злоумышленником, которая расширяется с каждой новой жертвой. Для защитников это означает, что сдерживание не может быть сосредоточено исключительно на отдельных системах. Эффективное нарушение требует выявления и демонтажа всей цепочки ретрансляторов. Использование ShadowPad в Ink Dragon, ориентированное на ретрансляторы, представляет собой одну из наиболее зрелых реализаций, наблюдавшихся на сегодняшний день, фактически превращая сети жертв в основу долгосрочных, многоорганизационных шпионских кампаний.

В тренде

Вредоносная программа EtherRAT

Инструменты удаленного администрирования, Расширенная постоянная угроза (APT)
Недавно обнаруженная мошенническая кампания, связанная с северокорейскими операторами, предположительно использует критическую уязвимость React2Shell (RSC) для развертывания ранее неизвестного...

Наиболее просматриваемые

Загрузка...