FINALDRAFT Bakdörr

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Bakdörrar

Översätt till:

Hotaktören som vanligtvis kallas Jewelbug har intensifierat sitt fokus på europeiska myndigheter sedan juli 2025, samtidigt som den fortfarande upprätthåller aktiva operationer mot mål i Sydostasien och Sydamerika. Forskare följer detta aktivitetskluster som Ink Dragon, en grupp som även är känd inom den bredare säkerhetsgemenskapen som CL-STA-0049, Earth Alux och REF7707. Aktören bedöms vara allierad med Kina och har uppvisat ihållande aktivitet sedan åtminstone mars 2023.

Innehållsförteckning

Flera identiteter, ett samordnat kluster

Ink Dragons kampanjer återspeglar en mogen och disciplinerad intrångsförmåga. Dess operatörer kombinerar starka programvaruutvecklingsfärdigheter med repeterbara operativa strategier och förlitar sig ofta på inbyggda plattformsverktyg för att blanda skadlig aktivitet i legitim företagstelemetri. Detta avsiktliga hantverk ökar stealth-säkerheten avsevärt och komplicerar upptäckten.

Omfattning, mål och fortsatt påverkan

Kampanjen är fortfarande aktiv och har redan drabbat flera dussin offer. De drabbade organisationerna omfattar myndigheter och telekommunikationsleverantörer i Europa, Asien och Afrika. Bredden av offer understryker både skalbarheten hos aktörens infrastruktur och dess strategiska intresse i högvärdiga nätverk.

Tidig synlighet och viktiga familjer av skadlig kod

Offentlig insikt om Ink Dragon framkom i februari 2025, när forskare dokumenterade dess användning av FINALDRAFT-bakdörren, även känd som Squidoor. Denna skadliga kod stöder både Windows- och Linux-miljöer. På senare tid kopplades gruppen till ett långvarigt, fem månader långt intrång mot en rysk IT-tjänsteleverantör, vilket belyste dess förmåga att upprätthålla långsiktig, hemlig åtkomst.

Initial åtkomst och nyttolastleverans

Ink Dragon tar sig vanligtvis in i branschen genom att utnyttja sårbara, internetbaserade webbapplikationer. Dessa svagheter missbrukas för att driftsätta webbskal, som sedan fungerar som startpunkter för ytterligare verktyg som VARGEIT och Cobalt Strike. Dessa nyttolaster stöder kommando- och kontrollkommunikation, intern rekognoscering, lateral förflyttning, kringgående av försvar och datastöld.

Missbruk av molntjänster och legitima tjänster

Bland gruppens sekundära bakdörrar finns NANOREMOTE, som använder Google Drive API för att utbyta filer mellan infekterade värdar och angriparkontrollerad infrastruktur. Verktygsvalet verkar vara avsiktligt och situationsanpassat, vilket tyder på att operatörer skräddarsyr implementeringar till offrets miljö och föredrar tekniker som liknar normala, betrodda trafikmönster.

ViewState-exploatering och kapning av C2-infrastruktur

En definierande teknik i Ink Dragons spelbok involverar att utnyttja svaga eller misskötta ASP.NET-maskinnycklar. Genom att missbruka ViewState-deserialiseringsbrister i IIS- och SharePoint-servrar installerar aktören en anpassad ShadowPad IIS Listener-modul. Detta omvandlar komprometterade servrar till aktiva komponenter i angriparens kommando- och kontrollnätverk, vilket gör det möjligt för dem att proxy-trafik och kommandon och avsevärt öka motståndskraften.

Från lokalt intrång till globalt relänätverk

Denna arkitektur gör det möjligt att dirigera trafik inte bara djupare in i en enda organisation utan också över helt separata offernätverk. Som ett resultat kan en komprometterad server i tysthet bli en mellanhand i en bredare, flerskiktad infrastruktur. Lyssnarmodulen i sig stöder fjärrkörning av kommandon, vilket ger operatörerna direkt kontroll över rekognoscering och nyttolastfördelning.

Taktik efter exploatering och privilegieeskalering

Utöver ViewState-missbruk har Ink Dragon utnyttjat sårbarheter i ToolShell SharePoint för att distribuera webbgränssnitt. Efter den initiala komprometten utför aktören vanligtvis flera åtgärder för att befästa åtkomst och eskalera behörigheter:

Använda IIS-maskinnycklar för att hämta lokala administrativa autentiseringsuppgifter och förflytta sig lateralt via RDP-tunnlar
Etablera persistens genom schemalagda uppgifter och skadliga tjänster
Dumpning av LSASS-minne och extrahering av registerhives för att höja behörigheter
Ändra brandväggsregler för värd för att tillåta utgående trafik och konvertera system till ShadowPad-relänoder

Avancerad återanvändning av autentiseringsuppgifter och domänkompromiss

I minst ett observerat fall identifierade angriparna en frånkopplad men aktiv RDP-session som tillhörde en domänadministratör som autentiserats via nätverksnivåautentisering med NTLMv2-reserv. Eftersom sessionen förblev avloggad men inte avslutad, fanns känsligt autentiseringsuppgifter kvar i LSASS-minnet. Efter att ha fått SYSTEM-åtkomst extraherade Ink Dragon token och återanvände den för att utföra autentiserade SMB-åtgärder, skriva till administrativa resurser och exfiltrera NTDS.dit och registerhives.

Ett modulärt persistensekosystem

Istället för att förlita sig på en enda bakdörr använder Ink Dragon en samling specialiserade komponenter för att upprätthålla långsiktig åtkomst. Observerade verktyg inkluderar:

ShadowPad Loader för att dekryptera och köra ShadowPad-kärnmodulen i minnet

CDBLoader, som missbrukar Microsofts konsolfelsökare för att köra skalkod och ladda krypterade nyttolaster

LalsDumper för att extrahera LSASS-minne

032Laddare för att dekryptera och köra ytterligare nyttolaster

FINALDRAFT, ett moderniserat verktyg för fjärradministration som missbrukar Outlook och Microsoft Graph för kommando- och kontrollfunktioner.

Utvecklingen av FINALDRAFT

Gruppen har nyligen driftsatt en ny FINALDRAFT-variant utformad för ökad smygförmåga och snabbare dataexfiltrering. Den introducerar avancerade undvikningsmetoder, stöder flerstegsleverans av nyttolast och möjliggör hemlig lateral förflyttning. Kommandon levereras som kodade dokument placerade i offrets inkorg, vilka implantatet hämtar, dekrypterar och exekverar via ett modulärt kommandoramverk.

Överlappning med andra hotaktörer

Utredare har också identifierat spår av en annan Kina-allierad grupp, REF3927, även känd som RudePanda, i flera miljöer som komprometterats av Ink Dragon. Det finns inga bevis för samordning mellan de två, och överlappningen tros bero på att båda aktörerna utnyttjar liknande initiala åtkomstvektorer snarare än att dela infrastruktur eller verksamhet.

En ny hotmodell för försvarare

Ink Dragon suddar ut den traditionella gränsen mellan infekterade värdar och kommandoinfrastruktur. Varje komprometterat system blir en funktionell nod i ett angriparkontrollerat nätverk som expanderar med varje nytt offer. För försvarare innebär detta att inneslutning inte kan fokusera enbart på enskilda system. Effektiv störning kräver att hela reläkedjan identifieras och demonteras. Ink Dragons reläcentrerade användning av ShadowPad representerar en av de mest mogna implementeringarna som hittills observerats, och förvandlar effektivt offernätverk till ryggraden i långsiktiga spionkampanjer som omfattar flera organisationer.

EnigmaSofts betalningsprocessor Digital River GmbH ansöker om konkurs påverkar inte SpyHunter-kundernas skydd mot skadlig programvara

Sök

Ändra region

FINALDRAFT Bakdörr

Flera identiteter, ett samordnat kluster

Omfattning, mål och fortsatt påverkan

Tidig synlighet och viktiga familjer av skadlig kod

Initial åtkomst och nyttolastleverans

Missbruk av molntjänster och legitima tjänster

ViewState-exploatering och kapning av C2-infrastruktur

Från lokalt intrång till globalt relänätverk

Taktik efter exploatering och privilegieeskalering

Avancerad återanvändning av autentiseringsuppgifter och domänkompromiss

Ett modulärt persistensekosystem

Utvecklingen av FINALDRAFT

Överlappning med andra hotaktörer

En ny hotmodell för försvarare

skicka kommentar

Trendigt

Webmotion.co.in

EtherRAT-skadlig kod

News-hedebe.cc

Mest sedda

Hur du åtgärdar "Skrivardrivrutinen är inte...

Discord sitter fast på gråskärm

Discord visar svart skärm när skärmen delas