Zadné vrátka FINALDRAFT
Hroziaci aktér bežne označovaný ako Jewelbug sa od júla 2025 zintenzívnil na európske vládne organizácie a zároveň pokračoval v aktívnych operáciách proti cieľom v juhovýchodnej Ázii a Južnej Amerike. Výskumníci sledujú tento klaster aktivít ako Ink Dragon, skupinu známu v širšej bezpečnostnej komunite aj ako CL-STA-0049, Earth Alux a REF7707. Predpokladá sa, že tento aktér je spojený s Čínou a preukazuje trvalú aktivitu minimálne od marca 2023.
Obsah
Viaceré identity, jeden koordinovaný klaster
Kampane spoločnosti Ink Dragon odrážajú zrelú a disciplinovanú schopnosť vniknutia. Jej operátori kombinujú silné zručnosti v oblasti softvérového inžinierstva s opakovateľnými operačnými postupmi a často sa spoliehajú na vstavané nástroje platformy, aby prepojili škodlivú aktivitu s legitímnou podnikovou telemetriou. Toto zámerné remeslo výrazne zvyšuje utajenie a komplikuje detekciu.
Rozsah, ciele a prebiehajúci vplyv
Kampaň je stále aktívna a už postihla niekoľko desiatok obetí. Dotknuté organizácie zahŕňajú vládne agentúry a poskytovateľov telekomunikačných služieb v celej Európe, Ázii a Afrike. Šírka obetí podčiarkuje škálovateľnosť infraštruktúry aktéra a jeho strategický záujem o siete s vysokou hodnotou.
Včasná viditeľnosť a kľúčové rodiny škodlivého softvéru
Verejný pohľad na Ink Dragon sa objavil vo februári 2025, keď výskumníci zdokumentovali jeho používanie zadných vrátok FINALDRAFT, známeho aj ako Squidoor. Tento malvér podporuje prostredia Windows aj Linux. Nedávno bola skupina spojená s dlhodobým, päťmesačným narušením proti ruskému poskytovateľovi IT služieb, čo zdôraznilo jej schopnosť udržiavať si dlhodobý, tajný prístup.
Počiatočný prístup a doručenie užitočného zaťaženia
Ink Dragon sa zvyčajne dostáva do systému zneužívaním zraniteľných webových aplikácií s pripojením na internet. Tieto slabiny sa zneužívajú na nasadenie webových shellov, ktoré potom slúžia ako štartovacie body pre ďalšie nástroje, ako napríklad VARGEIT a Cobalt Strike. Tieto užitočné zaťaženia podporujú komunikáciu velenia a riadenia, vnútorný prieskum, laterálny pohyb, obchádzanie obrany a krádež údajov.
Zneužívanie cloudu a legitímnych služieb
Medzi sekundárne zadné vrátka skupiny patrí NANOREMOTE, ktorý využíva rozhranie Google Drive API na výmenu súborov medzi infikovanými hostiteľmi a infraštruktúrou ovládanou útočníkom. Výber nástrojov sa javí ako zámerný a situačný, čo naznačuje, že operátori prispôsobujú nasadenie prostrediu obete a uprednostňujú techniky, ktoré sa podobajú bežným a dôveryhodným vzorcom prevádzky.
Zneužívanie ViewState a únos infraštruktúry C2
Definujúcou technikou v stratégii Ink Dragon je zneužívanie slabých alebo nesprávne spravovaných kľúčov strojov ASP.NET. Zneužívaním chýb deserializácie ViewState na serveroch IIS a SharePoint útočník nainštaluje vlastný modul ShadowPad IIS Listener. To transformuje napadnuté servery na aktívne komponenty siete velenia a riadenia útočníka, čo mu umožňuje proxy prevádzku a príkazy a výrazne zvyšuje odolnosť.
Od lokálneho narušenia ku globálnej reléovej sieti
Táto architektúra umožňuje smerovanie prevádzky nielen hlbšie do jednej organizácie, ale aj cez úplne samostatné siete obetí. V dôsledku toho sa jeden napadnutý server môže nenápadne stať sprostredkovateľom v širšej, viacvrstvovej infraštruktúre. Samotný modul poslucháča podporuje vzdialené vykonávanie príkazov, čo operátorom poskytuje priamu kontrolu nad prieskumom a prideľovaním užitočného zaťaženia.
Taktiky po zneužití a eskalácii privilégií
Okrem zneužívania ViewState spoločnosť Ink Dragon využila zraniteľnosti SharePointu v ToolShell na nasadenie webových shellov. Po počiatočnom napadnutí útočník zvyčajne vykoná niekoľko akcií na upevnenie prístupu a zvýšenie privilégií:
- Využitie kľúčov počítačov IIS na získanie lokálnych administrátorských poverení a laterálny presun cez tunely RDP
- Zabezpečenie perzistencie prostredníctvom naplánovaných úloh a škodlivých služieb
- Výpis pamäte LSASS a extrahovanie podregistrov na zvýšenie privilégií
- Úprava pravidiel brány firewall hostiteľa s cieľom povoliť odchádzajúcu prevádzku a premeniť systémy na reléové uzly ShadowPad
Pokročilé opätovné použitie poverení a ohrozenie domény
V najmenej jednom pozorovanom prípade útočníci identifikovali odpojenú, ale aktívnu reláciu RDP patriacu správcovi domény overenému prostredníctvom overovania na úrovni siete s núdzovým protokolom NTLMv2. Keďže relácia zostala odhlásená, ale neukončená, citlivý materiál s povereniami pretrvával v pamäti LSASS. Po získaní prístupu na úrovni SYSTEM Ink Dragon extrahoval token a opätovne ho použil na vykonávanie overených operácií SMB, zápis do zdieľaných administrátorských zložiek a exfiltráciu súboru NTDS.dit a podregistrov.
Modulárny ekosystém perzistencie
Namiesto spoliehania sa na jediné zadné vrátka využíva Ink Dragon súbor špecializovaných komponentov na udržanie dlhodobého prístupu. Medzi pozorované nástroje patria:
- Zavádzač ShadowPad na dešifrovanie a spustenie jadra modulu ShadowPad v pamäti
- CDBLoader, ktorý zneužíva ladiaci program konzoly od spoločnosti Microsoft na spúšťanie shellcode a načítavanie šifrovaných dátových dát
- LalsDumper na extrakciu pamäte LSASS
- 032Loader na dešifrovanie a spúšťanie ďalších dátových súborov
- FINALDRAFT, modernizovaný nástroj na vzdialenú správu, ktorý zneužíva Outlook a Microsoft Graph na ovládanie a ovládanie.
Vývoj FINALDRAFTu
Skupina nedávno nasadila nový variant FINALDRAFT navrhnutý pre väčšiu nenápadnosť a rýchlejší únik údajov. Zavádza pokročilé metódy úniku, podporuje viacstupňové doručovanie užitočného zaťaženia a umožňuje skrytý laterálny pohyb. Príkazy sa doručujú ako zakódované dokumenty umiestnené v poštovej schránke obete, ktoré implantát načíta, dešifruje a vykoná prostredníctvom modulárneho systému príkazov.
Prekrývanie s inými aktérmi hrozieb
Vyšetrovatelia tiež identifikovali stopy ďalšej skupiny spojenej s Čínou, REF3927, známej aj ako RudePanda, v niekoľkých prostrediach napadnutých spoločnosťou Ink Dragon. Neexistujú žiadne dôkazy o koordinácii medzi týmito dvoma skupinami a predpokladá sa, že prekrývanie pramení z toho, že obaja aktéri využívajú podobné počiatočné prístupové vektory, a nie zdieľajú infraštruktúru alebo operácie.
Nový model hrozieb pre obrancov
Ink Dragon stiera tradičnú hranicu medzi infikovanými hostiteľmi a veliteľskou infraštruktúrou. Každý napadnutý systém sa stáva funkčným uzlom v sieti ovládanej útočníkom, ktorá sa rozširuje s každou novou obeťou. Pre obrancov to znamená, že obmedzenie sa nemôže sústrediť výlučne na jednotlivé systémy. Účinné narušenie si vyžaduje identifikáciu a demontáž celého reléového reťazca. Použitie ShadowPadu v Ink Dragon, zamerané na relé, predstavuje jednu z najvyspelejších implementácií, aké boli doteraz pozorované, a efektívne premieňa samotné siete obetí na chrbticu dlhodobých špionážnych kampaní s viacerými organizáciami.
