Zadnja vrata FINALDRAFT

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Zadnja vrata

Prevedi v:

Akter, ki ga običajno imenujejo Jewelbug, se je od julija 2025 okrepil na evropske vladne organizacije, hkrati pa še vedno aktivno deluje proti tarčam v jugovzhodni Aziji in Južni Ameriki. Raziskovalci spremljajo to skupino aktivnosti kot Ink Dragon, skupino, ki je v širši varnostni skupnosti znana tudi kot CL-STA-0049, Earth Alux in REF7707. Ocenjuje se, da je akter povezan s Kitajsko in je pokazal stalno aktivnost vsaj od marca 2023.

Kazalo

Več identitet, ena usklajena skupina

Kampanje Ink Dragona odražajo zrelo in disciplinirano sposobnost vdora. Njegovi operaterji združujejo močne veščine programskega inženiringa s ponovljivimi operativnimi načrti, pri čemer se pogosto zanašajo na vgrajene pripomočke platforme, da zlonamerne dejavnosti združijo v legitimno poslovno telemetrijo. Ta namerna spretnost znatno poveča prikritost in otežuje odkrivanje.

Obseg, cilji in stalni vpliv

Kampanja je še vedno aktivna in je že prizadela več deset žrtev. Prizadete organizacije vključujejo vladne agencije in ponudnike telekomunikacijskih storitev po vsej Evropi, Aziji in Afriki. Širok spekter žrtev poudarja tako skalabilnost infrastrukture akterja kot njegov strateški interes za omrežja z visoko vrednostjo.

Zgodnja vidnost in ključne družine zlonamerne programske opreme

Javni vpogled v Ink Dragon se je pojavil februarja 2025, ko so raziskovalci dokumentirali njegovo uporabo zadnjih vrat FINALDRAFT, znanih tudi kot Squidoor. Ta zlonamerna programska oprema podpira okolja Windows in Linux. Pred kratkim je bila skupina povezana z dolgotrajnim, petmesečnim vdorom v ruskega ponudnika IT storitev, kar je poudarilo njeno sposobnost ohranjanja dolgoročnega, prikritega dostopa.

Začetni dostop in dostava koristnega tovora

Ink Dragon običajno vstopi v sistem z izkoriščanjem ranljivih spletnih aplikacij, ki so dostopne do interneta. Te slabosti se zlorabljajo za namestitev spletnih lupin, ki nato služijo kot izhodiščne točke za dodatna orodja, kot sta VARGEIT in Cobalt Strike. Ti koristni tovori podpirajo komunikacijo poveljevanja in nadzora, notranje izvidovanje, lateralno gibanje, izogibanje obrambi in krajo podatkov.

Zloraba storitev v oblaku in legitimnih storitev

Med sekundarnimi zadnjimi vrati skupine je NANOREMOTE, ki izkorišča API Google Drive za izmenjavo datotek med okuženimi gostitelji in infrastrukturo, ki jo nadzoruje napadalec. Izbira orodij se zdi premišljena in situacijska, kar kaže na to, da operaterji prilagajajo uvajanje okolju žrtve in dajejo prednost tehnikam, ki so podobne običajnim, zaupanja vrednim vzorcem prometa.

Izkoriščanje ViewState in ugrabitev infrastrukture C2

Opredeljujoča tehnika v priročniku Ink Dragona vključuje izkoriščanje šibkih ali slabo upravljanih ključev stroja ASP.NET. Z zlorabo napak deserializacije ViewState v strežnikih IIS in SharePoint akter namesti prilagojen modul poslušalca ShadowPad IIS. To ogrožene strežnike pretvori v aktivne komponente napadalčevega omrežja za upravljanje in nadzor, kar mu omogoča posredovanje prometa in ukazov ter znatno poveča odpornost.

Od lokalne kršitve do globalnega relejnega omrežja

Ta arhitektura omogoča usmerjanje prometa ne le globlje v eno samo organizacijo, temveč tudi prek popolnoma ločenih omrežij žrtev. Posledično lahko en ogroženi strežnik neopazno postane posrednik v širši, večplastni infrastrukturi. Modul poslušalca sam podpira oddaljeno izvajanje ukazov, kar operaterjem omogoča neposreden nadzor nad izvidovanjem in pripravo koristnega tovora.

Taktike po izkoriščanju in stopnjevanju privilegijev

Poleg zlorabe ViewState je Ink Dragon ranljivosti ToolShell SharePoint izkoriščal tudi za nameščanje spletnih lupin. Po začetni ogrožitvi akter običajno izvede več dejanj za utrditev dostopa in povečanje privilegijev:

Uporaba ključev strežnika IIS za pridobitev lokalnih skrbniških poverilnic in lateralno premikanje prek tunelov RDP
Vzpostavljanje vztrajnosti z načrtovanimi opravili in zlonamernimi storitvami
Izpis pomnilnika LSASS in ekstrahiranje registrskih panjev za dvig privilegijev
Spreminjanje pravil požarnega zidu gostitelja za dovoljenje odhodnega prometa in pretvorbo sistemov v relejna vozlišča ShadowPad

Napredna ponovna uporaba poverilnic in ogrožanje domene

V vsaj enem opazovanem primeru so napadalci prepoznali prekinjeno, a aktivno sejo RDP, ki pripada skrbniku domene, overjenemu prek overjanja na ravni omrežja z nadomestnim protokolom NTLMv2. Ker je seja ostala odjavljena, vendar ne prekinjena, je občutljivo gradivo poverilnic ostalo v pomnilniku LSASS. Po pridobitvi dostopa na ravni sistema je Ink Dragon izvlekel žeton in ga ponovno uporabil za izvajanje overjenih operacij SMB, pisanje v skrbniške skupne rabe ter izvlečenje datoteke NTDS.dit in registrskih panjev.

Modularni ekosistem vztrajnosti

Namesto da bi se zanašal na ena sama zadnja vrata, Ink Dragon uporablja zbirko specializiranih komponent za ohranjanje dolgoročnega dostopa. Opazovana orodja vključujejo:

Nalagalnik ShadowPad za dešifriranje in izvajanje osrednjega modula ShadowPad v pomnilniku

CDBLoader, ki zlorablja Microsoftov konzolni razhroščevalnik za izvajanje shellcode in nalaganje šifriranih koristnih tovorov

LalsDumper za ekstrakcijo pomnilnika LSASS

032Loader za dešifriranje in zagon dodatnih koristnih tovorov

FINALDRAFT, posodobljeno orodje za oddaljeno upravljanje, ki izkorišča Outlook in Microsoft Graph za upravljanje in nadzor

Razvoj FINALDRAFT-a

Skupina je pred kratkim uvedla novo različico FINALDRAFT, zasnovano za večjo prikritost in hitrejše izkrcanje podatkov. Uvaja napredne metode izogibanja, podpira večstopenjsko dostavo koristnega tovora in omogoča prikrito lateralno gibanje. Ukazi se dostavljajo kot kodirani dokumenti, shranjeni v poštnem nabiralniku žrtve, ki jih vsadek pridobi, dešifrira in izvede prek modularnega ogrodja ukazov.

Prekrivanje z drugimi akterji groženj

Preiskovalci so v več okoljih, ki jih je ogrozila skupina Ink Dragon, odkrili tudi sledi druge skupine, povezane s Kitajsko, REF3927, znane tudi kot RudePanda. Ni dokazov o koordinaciji med njima, domnevno pa prekrivanje izvira iz dejstva, da oba akterja izkoriščata podobne začetne vektorje dostopa, namesto da bi si delila infrastrukturo ali delovanje.

Nov model groženj za branilce

Ink Dragon briše tradicionalno mejo med okuženimi gostitelji in poveljniško infrastrukturo. Vsak ogroženi sistem postane funkcionalno vozlišče v mreži, ki jo nadzoruje napadalec in se širi z vsako novo žrtvijo. Za branilce to pomeni, da se omejevanje ne more osredotočiti zgolj na posamezne sisteme. Učinkovito motenje zahteva identifikacijo in razgradnjo celotne relejne verige. Ink Dragonova uporaba ShadowPada, osredotočena na releje, predstavlja eno najzrelejših izvedb, kar smo jih doslej opazili, saj učinkovito spreminja mreže žrtev v hrbtenico dolgoročnih vohunskih kampanj z več organizacijami.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo

Zadnja vrata FINALDRAFT

Več identitet, ena usklajena skupina

Obseg, cilji in stalni vpliv

Zgodnja vidnost in ključne družine zlonamerne programske opreme

Začetni dostop in dostava koristnega tovora

Zloraba storitev v oblaku in legitimnih storitev

Izkoriščanje ViewState in ugrabitev infrastrukture C2

Od lokalne kršitve do globalnega relejnega omrežja

Taktike po izkoriščanju in stopnjevanju privilegijev

Napredna ponovna uporaba poverilnic in ogrožanje domene

Modularni ekosistem vztrajnosti

Razvoj FINALDRAFT-a

Prekrivanje z drugimi akterji groženj

Nov model groženj za branilce

Pošlji komentar

V trendu

Webmotion.co.in

Zlonamerna programska oprema EtherRAT

News-hedebe.cc

Najbolj gledan

Kaj je 'msedgewebview2.exe'?

Zlonamerna programska oprema

E-poštna prevara 'Geek Squad'