Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware FINALDRAFT Backdoor

FINALDRAFT Backdoor

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:

Aktori kërcënues, i njohur zakonisht si Jewelbug, ka intensifikuar fokusin e tij në organizatat qeveritare evropiane që nga korriku i vitit 2025, ndërkohë që vazhdon të mbajë operacione aktive kundër objektivave në Azinë Juglindore dhe Amerikën e Jugut. Studiuesit e ndjekin këtë grup aktivitetesh si Ink Dragon, një grup i njohur edhe në komunitetin më të gjerë të sigurisë si CL-STA-0049, Earth Alux dhe REF7707. Aktori vlerësohet të jetë i lidhur me Kinën dhe ka demonstruar aktivitet të qëndrueshëm që të paktën nga marsi i vitit 2023.

Identitete të shumëfishta, një grumbull i koordinuar

Fushatat e Ink Dragon pasqyrojnë një aftësi të pjekur dhe të disiplinuar për ndërhyrje. Operatorët e saj kombinojnë aftësi të forta në inxhinierinë e softuerëve me manuale operacionale të përsëritshme, duke u mbështetur shpesh në shërbimet e integruara të platformës për të përzier aktivitetin keqdashës në telemetrinë legjitime të ndërmarrjeve. Kjo teknikë e qëllimshme rrit ndjeshëm fshehtësinë dhe e ndërlikon zbulimin.

Fushëveprimi, Synimet dhe Ndikimi i Vazhdueshëm

Fushata mbetet aktive dhe ka prekur tashmë disa dhjetëra viktima. Organizatat e prekura përfshijnë agjenci qeveritare dhe ofrues të telekomunikacionit në të gjithë Evropën, Azinë dhe Afrikën. Gjerësia e viktimave nënvizon si shkallëzueshmërinë e infrastrukturës së aktorit ashtu edhe interesin e tij strategjik në rrjetet me vlerë të lartë.

Dukshmëria e hershme dhe familjet kryesore të programeve keqdashëse

Njohuritë publike për Ink Dragon u bënë të njohura në shkurt të vitit 2025, kur studiuesit dokumentuan përdorimin e derës së pasme FINALDRAFT, e njohur edhe si Squidoor. Ky program keqdashës mbështet si mjediset Windows ashtu edhe ato Linux. Kohët e fundit, grupi u lidh me një ndërhyrje të zgjatur pesëmujore kundër një ofruesi rus të shërbimeve të IT-së, duke nxjerrë në pah aftësinë e tij për të ruajtur akses të fshehtë afatgjatë.

Qasja Fillestare dhe Dorëzimi i Ngarkesës

Ink Dragon zakonisht fiton akses duke shfrytëzuar aplikacione web të cenueshme dhe të lidhura me internetin. Këto dobësi keqpërdoren për të vendosur predha web, të cilat më pas shërbejnë si pika nisjeje për mjete shtesë si VARGEIT dhe Cobalt Strike. Këto ngarkesa mbështesin komunikimet e komandës dhe kontrollit, zbulimin e brendshëm, lëvizjen anësore, shmangien e mbrojtjeve dhe vjedhjen e të dhënave.

Abuzimi i Shërbimeve në Re dhe Shërbimeve Legjitime

Ndër dyert e pasme dytësore të grupit është NANOREMOTE, e cila shfrytëzon API-në e Google Drive për të shkëmbyer skedarë midis hosteve të infektuar dhe infrastrukturës së kontrolluar nga sulmuesi. Përzgjedhja e mjeteve duket e qëllimshme dhe situacionale, duke sugjeruar që operatorët t'i përshtatin vendosjet në mjedisin e viktimës dhe të favorizojnë teknikat që i ngjajnë modeleve normale dhe të besueshme të trafikut.

Shfrytëzimi i ViewState dhe rrëmbimi i infrastrukturës C2

Një teknikë përcaktuese në manualin e Ink Dragon përfshin shfrytëzimin e çelësave të dobët ose të keqmenaxhuar të makinës ASP.NET. Duke abuzuar me të metat e deserializimit të ViewState në serverat IIS dhe SharePoint, aktori instalon një modul të personalizuar ShadowPad IIS Listener. Kjo i transformon serverët e kompromentuar në komponentë aktivë të rrjetit të komandës dhe kontrollit të sulmuesit, duke i mundësuar ata të përçojnë trafikun dhe komandat me anë të ndërmjetësimit dhe duke rritur ndjeshëm qëndrueshmërinë.

Nga Shkelja Lokale në Rrjetin Global të Releve

Kjo arkitekturë lejon që trafiku të drejtohet jo vetëm më thellë në një organizatë të vetme, por edhe përmes rrjeteve krejtësisht të ndara të viktimave. Si rezultat, një server i kompromentuar mund të bëhet në heshtje një ndërmjetës në një infrastrukturë më të gjerë dhe shumështresore. Moduli i dëgjuesit vetë mbështet ekzekutimin e komandës në distancë, duke u dhënë operatorëve kontroll të drejtpërdrejtë për zbulimin dhe përcaktimin e ngarkesës.

Taktikat e Pas-Shfrytëzimit dhe Përshkallëzimit të Privilegjeve

Përtej abuzimit me ViewState, Ink Dragon ka përdorur dobësitë e ToolShell SharePoint për të vendosur shell-e web. Pas kompromentimit fillestar, aktori zakonisht kryen disa veprime për të forcuar aksesin dhe përshkallëzuar privilegjet:

  • Përdorimi i çelësave të makinës IIS për të marrë kredencialet lokale të administratorit dhe për të lëvizur anash përmes tuneleve RDP
  • Vendosja e qëndrueshmërisë përmes detyrave të planifikuara dhe shërbimeve dashakeqe
  • Duke hequr qafe memorien LSASS dhe duke nxjerrë koshere të regjistrit për të rritur privilegjet
  • Ndryshimi i rregullave të firewall-it të hostit për të lejuar trafikun dalës dhe për të kthyer sistemet në nyje rele ShadowPad.

Ripërdorimi i avancuar i kredencialeve dhe kompromentimi i domenit

Në të paktën një rast të vëzhguar, sulmuesit identifikuan një seancë RDP të shkëputur, por aktive, që i përkiste një Administratori Domaini të autentifikuar përmes Autentifikimit të Nivelit të Rrjetit me rezervë NTLMv2. Meqenëse seanca mbeti e çaktivizuar, por jo e përfunduar, materiali i ndjeshëm i kredencialeve mbeti në memorien LSASS. Pasi fitoi akses në nivel SYSTEM, Ink Dragon nxori tokenin dhe e ripërdori atë për të kryer operacione të autentifikuara SMB, për të shkruar në ndarje administrative dhe për të nxjerrë NTDS.dit dhe koshere të regjistrit.

Një ekosistem modular i qëndrueshmërisë

Në vend që të mbështetet në një derë të vetme të pasme, Ink Dragon përdor një koleksion komponentësh të specializuar për të ruajtur aksesin afatgjatë. Mjetet e vëzhguara përfshijnë:

  • ShadowPad Loader për deshifrimin dhe ekzekutimin e modulit bazë ShadowPad në memorie
  • CDBLoader, i cili abuzon me debugger-in e konsolës së Microsoft-it për të ekzekutuar shellcode dhe për të ngarkuar ngarkesa të enkriptuara.
  • LalsDumper për nxjerrjen e memories LSASS
  • 032Loader për deshifrimin dhe ekzekutimin e ngarkesave shtesë
  • FINALDRAFT, një mjet i modernizuar i administrimit në distancë që abuzon me Outlook dhe Microsoft Graph për komandë dhe kontroll.

    • Evolucioni i FINALDRAFT

    Grupi ka vendosur së fundmi një variant të ri FINALDRAFT të projektuar për fshehtësi më të madhe dhe nxjerrje më të shpejtë të të dhënave. Ai prezanton metoda të përparuara shmangieje, mbështet shpërndarjen e ngarkesës me shumë faza dhe mundëson lëvizjen anësore të fshehtë. Komandat shpërndahen si dokumente të koduara të vendosura në kutinë postare të viktimës, të cilat implanti i rimerr, i deshifron dhe i ekzekuton përmes një kuadri modular komandash.

    Mbivendosje me aktorë të tjerë kërcënimi

    Hetuesit kanë identifikuar gjithashtu gjurmë të një grupi tjetër të lidhur me Kinën, REF3927, i njohur edhe si RudePanda, në disa mjedise të kompromentuara nga Ink Dragon. Nuk ka prova të koordinimit midis të dyve, dhe mbivendosja besohet se rrjedh nga shfrytëzimi i vektorëve të ngjashëm fillestarë të aksesit nga të dy aktorët në vend që të ndajnë infrastrukturën ose operacionet.

    Një model i ri kërcënimi për mbrojtësit

    Ink Dragon e zbeh vijën tradicionale midis hosteve të infektuar dhe infrastrukturës së komandës. Çdo sistem i kompromentuar bëhet një nyje funksionale në një rrjetë të kontrolluar nga sulmuesi që zgjerohet me çdo viktimë të re. Për mbrojtësit, kjo do të thotë që përmbajtja nuk mund të përqendrohet vetëm në sisteme individuale. Ndërprerja efektive kërkon identifikimin dhe çmontimin e të gjithë zinxhirit të transmetimit. Përdorimi i ShadowPad nga Ink Dragon, i përqendruar te transmetimi, përfaqëson një nga implementimet më të pjekura të vëzhguara deri më tani, duke i kthyer në mënyrë efektive vetë rrjetet e viktimave në shtyllën kurrizore të fushatave afatgjata të spiunazhit shumë-organizativ.

    Në trend

    Më e shikuara

    Po ngarkohet...