Попуст за више лиценци
Тхреат Датабасе Малваре FINALDRAFT задња врата

FINALDRAFT задња врата

До Mezo. у Малваре, Напредна трајна претња (АПТ), Бацкдоорс
Преведи на:

Претећи актер, обично познат као Jewelbug, интензивирао је свој фокус на европске владине организације од јула 2025. године, док је и даље одржавао активне операције против мета у Југоисточној Азији и Јужној Америци. Истраживачи прате овај кластер активности као Ink Dragon, групу познату у широј безбедносној заједници као CL-STA-0049, Earth Alux и REF7707. Процењује се да је актер повезан са Кином и да је показао континуирану активност најмање од марта 2023. године.

Вишеструки идентитети, један координисани кластер

Кампање компаније Ink Dragon одражавају зрелу и дисциплиновану способност упада. Њихови оператери комбинују снажне вештине софтверског инжењерства са поновљивим оперативним плановима, често се ослањајући на уграђене услужне програме платформе како би злонамерне активности спојили са легитимном телеметријом предузећа. Ова намерна вештина значајно повећава прикривеност и компликује откривање.

Обим, циљеви и континуирани утицај

Кампања је и даље активна и већ је погодила неколико десетина жртава. Погођене организације обухватају владине агенције и телекомуникационе провајдере широм Европе, Азије и Африке. Широк спектар жртава наглашава и скалабилност инфраструктуре актера и његов стратешки интерес за мреже високе вредности.

Рана видљивост и кључне породице злонамерног софтвера

Јавни увид у Ink Dragon појавио се у фебруару 2025. године, када су истраживачи документовали његово коришћење FINALDRAFT бекдора, познатог и као Squidoor. Овај малвер подржава и Windows и Linux окружења. Недавно је група повезана са продуженим, петомесечним упадом против руског добављача ИТ услуга, што је истакло њену способност да одржи дугорочни, тајни приступ.

Почетни приступ и испорука корисног терета

Инк Драгон обично улази искоришћавањем рањивих веб апликација окренутих ка интернету. Ове слабости се злоупотребљавају за постављање веб шкољки, које затим служе као лансирне тачке за додатне алате као што су ВАРГЕИТ и Кобалт Страјк. Ови корисни терет подржава комуникацију командовања и контроле, унутрашње извиђање, бочно кретање, избегавање одбране и крађу података.

Злоупотреба облака и легитимних услуга

Међу секундарним задњим вратима групе је и NANOREMOTE, који користи Google Drive API за размену датотека између заражених хостова и инфраструктуре коју контролише нападач. Избор алата делује намерно и ситуационо, што сугерише да оператери прилагођавају распоређивања окружењу жртве и фаворизују технике које подсећају на нормалне, поуздане обрасце саобраћаја.

Експлоатација ViewState-а и отмица C2 инфраструктуре

Дефинишућа техника у Ink Dragon-овом приручнику укључује искоришћавање слабих или лоше управљаних ASP.NET машинских кључева. Злоупотребом недостатака десеријализације ViewState-а на IIS и SharePoint серверима, актер инсталира прилагођени ShadowPad IIS Listener модул. Ово трансформише компромитоване сервере у активне компоненте нападачеве мреже за командовање и контролу, омогућавајући им да проксирају саобраћај и команде и значајно повећавају отпорност.

Од локалног пробоја до глобалне релејне мреже

Ова архитектура омогућава усмеравање саобраћаја не само дубље у једну организацију, већ и преко потпуно одвојених мрежа жртава. Као резултат тога, један компромитовани сервер може неприметно постати посредник у широј, вишеслојној инфраструктури. Сам модул слушаоца подржава даљинско извршавање команди, дајући оператерима директну контролу за извиђање и постављање корисног терета.

Тактике након експлоатације и ескалације привилегија

Поред злоупотребе ViewState-а, Ink Dragon је искористио рањивости ToolShell SharePoint-а за распоређивање веб шкољки. Након почетног компромитовања, злонамерник обично предузима неколико акција како би учврстио приступ и ескалирао привилегије:

  • Коришћење IIS машинских кључева за добијање локалних администраторских акредитива и латерално кретање преко RDP тунела
  • Успостављање истрајности путем заказаних задатака и злонамерних сервиса
  • Испуштање LSASS меморије и екстракција регистарских саћа ради повећања привилегија
  • Мењање правила заштитног зида хоста ради дозвољавања одлазног саобраћаја и претварања система у релејне чворове ShadowPad-а

Напредна поновна употреба акредитива и компромитовање домена

У најмање једном посматраном случају, нападачи су идентификовали неповезану, али активну RDP сесију која припада администратору домена аутентификованом путем аутентификације на нивоу мреже са NTLMv2 резервним решењем. Пошто је сесија остала одјављена, али није прекинута, осетљиви материјал акредитива је остао у LSASS меморији. Након што је добио приступ на нивоу система, Ink Dragon је извукао токен и поново га користио за обављање аутентификованих SMB операција, писање на административне дељене ресурсе и извлачење NTDS.dit и регистарских саћа.

Модуларни екосистем перзистенције

Уместо да се ослања на један задњи улаз, Ink Dragon користи колекцију специјализованих компоненти за одржавање дугорочног приступа. Посматрани алати укључују:

  • ShadowPad Loader за дешифровање и извршавање ShadowPad основног модула у меморији
  • CDBLoader, који злоупотребљава Microsoft-ов конзолни дебагер за извршавање шелкода и учитавање шифрованих корисних оптерећења
  • LalsDumper за издвајање LSASS меморије
  • 032Loader за дешифровање и покретање додатних корисних оптерећења
  • FINALDRAFT, модернизовани алат за даљинско администрирање који злоупотребљава Outlook и Microsoft Graph за командовање и контролу

Еволуција ФИНАЛДРАФТА

Група је недавно распоредила нову варијанту FINALDRAFT-а, дизајнирану за већу прикривеност и брже извлачење података. Она уводи напредне методе избегавања, подржава вишестепену испоруку корисног терета и омогућава тајно латерално кретање. Команде се испоручују као кодирани документи смештени у поштанско сандуче жртве, које имплантат преузима, дешифрује и извршава путем модуларног оквира команде.

Преклапање са другим актерима претњи

Истраживачи су такође идентификовали трагове још једне групе повезане са Кином, REF3927, познате и као RudePanda, у неколико окружења које је угрозио Ink Dragon. Нема доказа о координацији између њих двоје, а верује се да преклапање потиче од тога што оба актера користе сличне почетне векторе приступа уместо да деле инфраструктуру или операције.

Нови модел претње за браниоце

Инк Драгон брише традиционалну границу између заражених хостова и командне инфраструктуре. Сваки угрожени систем постаје функционални чвор у мрежи коју контролише нападач, а која се шири са сваком новом жртвом. За браниоце, то значи да се обуздавање не може фокусирати искључиво на појединачне системе. Ефикасно ометање захтева идентификацију и демонтажу целог ланца релеја. Инк Драгонова употреба ShadowPad-а, усмерена на релеје, представља једну од најзрелијих имплементација до сада примећених, ефикасно претварајући саме мреже жртава у окосницу дугорочних, вишеорганизационих шпијунских кампања.

У тренду

Злонамерни софтвер EtherRAT

Алати за удаљену администрацију, Напредна трајна претња (АПТ)
Верује се да недавно откривена кампања претњи повезана са севернокорејским оператерима искоришћава критичну рањивост React2Shell (RSC) за постављање раније невиђеног тројанца за даљински приступ...

Најгледанији

Злонамерних програма

Пецање, Спам
30,272
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...