FINALDRAFT Backdoor

பொதுவாக Jewelbug என்று அழைக்கப்படும் அச்சுறுத்தல் நடிகர், ஜூலை 2025 முதல் ஐரோப்பிய அரசாங்க அமைப்புகளில் தனது கவனத்தை தீவிரப்படுத்தியுள்ளார், அதே நேரத்தில் தென்கிழக்கு ஆசியா மற்றும் தென் அமெரிக்காவில் உள்ள இலக்குகளுக்கு எதிராக இன்னும் தீவிர நடவடிக்கைகளை மேற்கொண்டு வருகிறார். ஆராய்ச்சியாளர்கள் இந்த செயல்பாட்டுக் குழுவை Ink Dragon என்றும், CL-STA-0049, Earth Alux மற்றும் REF7707 என்றும் பரந்த பாதுகாப்பு சமூகத்தில் அறியப்படும் ஒரு குழுவாகவும் கண்காணிக்கின்றனர். நடிகர் சீனாவுடன் இணைந்தவர் என்று மதிப்பிடப்பட்டுள்ளது மற்றும் குறைந்தது மார்ச் 2023 முதல் நீடித்த செயல்பாட்டை நிரூபித்துள்ளார்.

பல அடையாளங்கள், ஒரு ஒருங்கிணைந்த கொத்து

இங்க் டிராகனின் பிரச்சாரங்கள் முதிர்ந்த மற்றும் ஒழுக்கமான ஊடுருவல் திறனை பிரதிபலிக்கின்றன. அதன் ஆபரேட்டர்கள் வலுவான மென்பொருள் பொறியியல் திறன்களை மீண்டும் மீண்டும் செய்யக்கூடிய செயல்பாட்டு விளையாட்டு புத்தகங்களுடன் இணைத்து, தீங்கிழைக்கும் செயல்பாட்டை முறையான நிறுவன டெலிமெட்ரியில் கலக்க உள்ளமைக்கப்பட்ட தள பயன்பாடுகளை அடிக்கடி நம்பியுள்ளனர். இந்த வேண்டுமென்றே தயாரிக்கப்பட்ட வர்த்தகம் திருட்டுத்தனத்தை கணிசமாக அதிகரிக்கிறது மற்றும் கண்டறிதலை சிக்கலாக்குகிறது.

நோக்கம், இலக்குகள் மற்றும் தற்போதைய தாக்கம்

இந்தப் பிரச்சாரம் தொடர்ந்து செயலில் உள்ளது மற்றும் ஏற்கனவே பல டஜன் பாதிக்கப்பட்டவர்களைப் பாதித்துள்ளது. பாதிக்கப்பட்ட நிறுவனங்கள் ஐரோப்பா, ஆசியா மற்றும் ஆப்பிரிக்கா முழுவதும் அரசு நிறுவனங்கள் மற்றும் தொலைத்தொடர்பு வழங்குநர்களைக் கொண்டுள்ளன. பாதிக்கப்பட்டவர்களின் எண்ணிக்கை, நடிகரின் உள்கட்டமைப்பின் அளவிடக்கூடிய தன்மை மற்றும் உயர் மதிப்பு நெட்வொர்க்குகளில் அதன் மூலோபாய ஆர்வம் இரண்டையும் அடிக்கோடிட்டுக் காட்டுகிறது.

ஆரம்பகால தெரிவுநிலை மற்றும் முக்கிய தீம்பொருள் குடும்பங்கள்

பிப்ரவரி 2025 இல், ஆராய்ச்சியாளர்கள் Squidoor என்றும் அழைக்கப்படும் FINALDRAFT பின்கதவைப் பயன்படுத்துவதை ஆவணப்படுத்தியபோது, Ink Dragon பற்றிய பொது நுண்ணறிவு வெளிப்பட்டது. இந்த தீம்பொருள் விண்டோஸ் மற்றும் லினக்ஸ் சூழல்கள் இரண்டையும் ஆதரிக்கிறது. மிக சமீபத்தில், இந்தக் குழு ரஷ்ய ஐடி சேவை வழங்குநருக்கு எதிராக நீண்ட, ஐந்து மாத ஊடுருவலுடன் இணைக்கப்பட்டது, இது நீண்டகால, ரகசிய அணுகலைப் பராமரிக்கும் அதன் திறனை எடுத்துக்காட்டுகிறது.

ஆரம்ப அணுகல் மற்றும் பேலோட் டெலிவரி

இன்க் டிராகன் பொதுவாக பாதிக்கப்படக்கூடிய, இணையத்தை நோக்கிய வலை பயன்பாடுகளைப் பயன்படுத்துவதன் மூலம் நுழைவைப் பெறுகிறது. இந்த பலவீனங்கள் வலை ஷெல்களை வரிசைப்படுத்த தவறாகப் பயன்படுத்தப்படுகின்றன, பின்னர் அவை VARGEIT மற்றும் கோபால்ட் ஸ்ட்ரைக் போன்ற கூடுதல் கருவிகளுக்கான ஏவுதளங்களாகச் செயல்படுகின்றன. இந்த பேலோடுகள் கட்டளை மற்றும் கட்டுப்பாட்டு தகவல்தொடர்புகள், உள் உளவு, பக்கவாட்டு இயக்கம், பாதுகாப்புகளைத் தவிர்ப்பது மற்றும் தரவு திருட்டு ஆகியவற்றை ஆதரிக்கின்றன.

கிளவுட் மற்றும் சட்டபூர்வமான சேவைகளை துஷ்பிரயோகம் செய்தல்

இந்தக் குழுவின் இரண்டாம் நிலை மறைமுகங்களில் ஒன்று NANOREMOTE ஆகும், இது Google Drive API ஐப் பயன்படுத்தி பாதிக்கப்பட்ட ஹோஸ்ட்களுக்கும் தாக்குபவர் கட்டுப்படுத்தும் உள்கட்டமைப்பிற்கும் இடையில் கோப்புகளைப் பரிமாறிக் கொள்கிறது. கருவித் தேர்வு வேண்டுமென்றே மற்றும் சூழ்நிலைக்கு ஏற்றதாகத் தோன்றுகிறது, இது ஆபரேட்டர்கள் பாதிக்கப்பட்ட சூழலுக்கு ஏற்ப வரிசைப்படுத்தல்களை வடிவமைக்கவும், சாதாரண, நம்பகமான போக்குவரத்து முறைகளை ஒத்த நுட்பங்களை ஆதரிக்கவும் பரிந்துரைக்கிறது.

வியூஸ்டேட் சுரண்டல் மற்றும் C2 உள்கட்டமைப்பு கடத்தல்

இங்க் டிராகனின் பிளேபுக்கில் உள்ள ஒரு வரையறுக்கும் நுட்பம் பலவீனமான அல்லது தவறாக நிர்வகிக்கப்பட்ட ASP.NET இயந்திர விசைகளைப் பயன்படுத்துவதை உள்ளடக்கியது. IIS மற்றும் SharePoint சேவையகங்களில் ViewState deserialization குறைபாடுகளை தவறாகப் பயன்படுத்துவதன் மூலம், நடிகர் ஒரு தனிப்பயன் ShadowPad IIS Listener தொகுதியை நிறுவுகிறார். இது சமரசம் செய்யப்பட்ட சேவையகங்களை தாக்குபவர்களின் கட்டளை மற்றும் கட்டுப்பாட்டு நெட்வொர்க்கின் செயலில் உள்ள கூறுகளாக மாற்றுகிறது, இதனால் அவை போக்குவரத்து மற்றும் கட்டளைகளை ப்ராக்ஸி செய்ய உதவுகிறது மற்றும் மீள்தன்மையை கணிசமாக அதிகரிக்கிறது.

உள்ளூர் மீறலில் இருந்து உலகளாவிய ரிலே நெட்வொர்க் வரை

இந்த கட்டமைப்பு போக்குவரத்தை ஒரு நிறுவனத்திற்குள் ஆழமாக மட்டுமல்லாமல், முற்றிலும் தனித்தனி பாதிக்கப்பட்ட நெட்வொர்க்குகள் வழியாகவும் வழிநடத்த அனுமதிக்கிறது. இதன் விளைவாக, ஒரு சமரசம் செய்யப்பட்ட சேவையகம் ஒரு பரந்த, பல அடுக்கு உள்கட்டமைப்பில் அமைதியாக ஒரு இடைத்தரகராக மாற முடியும். கேட்போர் தொகுதியே தொலை கட்டளை செயல்படுத்தலை ஆதரிக்கிறது, இது ஆபரேட்டர்களுக்கு உளவு பார்த்தல் மற்றும் பேலோட் நிலைப்படுத்தலுக்கான நேரடி கட்டுப்பாட்டை வழங்குகிறது.

சுரண்டலுக்குப் பிந்தைய மற்றும் சலுகை அதிகரிப்பு தந்திரோபாயங்கள்

ViewState துஷ்பிரயோகத்திற்கு அப்பால், இணைய ஷெல்களைப் பயன்படுத்த Ink Dragon, ToolShell SharePoint பாதிப்புகளை ஆயுதமாக்கியுள்ளது. ஆரம்ப சமரசத்தைத் தொடர்ந்து, நடிகர் பொதுவாக அணுகலைப் பெறவும் சலுகைகளை அதிகரிக்கவும் பல செயல்களைச் செய்கிறார்:

• உள்ளூர் நிர்வாகச் சான்றுகளைப் பெறுவதற்கும் RDP சுரங்கப்பாதைகள் வழியாக பக்கவாட்டில் நகர்த்துவதற்கும் IIS இயந்திர விசைகளைப் பயன்படுத்துதல்.
• திட்டமிடப்பட்ட பணிகள் மற்றும் தீங்கிழைக்கும் சேவைகள் மூலம் நிலைத்தன்மையை நிறுவுதல்
• சிறப்புரிமைகளை உயர்த்துவதற்காக LSASS நினைவகத்தை டம்ப் செய்து பதிவேட்டில் உள்ள ஹைவ்களைப் பிரித்தெடுக்கிறது.
• வெளிச்செல்லும் போக்குவரத்தை அனுமதிக்க ஹோஸ்ட் ஃபயர்வால் விதிகளை மாற்றுதல் மற்றும் அமைப்புகளை ஷேடோபேட் ரிலே முனைகளாக மாற்றுதல்.

மேம்பட்ட நற்சான்றிதழ் மறுபயன்பாடு மற்றும் டொமைன் சமரசம்

குறைந்தபட்சம் ஒரு கவனிக்கப்பட்ட நிகழ்வில், NTLMv2 ஃபால்பேக் மூலம் நெட்வொர்க் நிலை அங்கீகாரம் மூலம் அங்கீகரிக்கப்பட்ட டொமைன் நிர்வாகிக்கு சொந்தமான துண்டிக்கப்பட்ட ஆனால் செயலில் உள்ள RDP அமர்வை தாக்குபவர்கள் அடையாளம் கண்டனர். அமர்வு லாக் ஆஃப் செய்யப்பட்டிருந்தாலும் நிறுத்தப்படாமல் இருந்ததால், முக்கியமான நற்சான்றிதழ் பொருள் LSASS நினைவகத்தில் நீடித்தது. SYSTEM-நிலை அணுகலைப் பெற்ற பிறகு, Ink Dragon டோக்கனைப் பிரித்தெடுத்து, அங்கீகரிக்கப்பட்ட SMB செயல்பாடுகளை நடத்தவும், நிர்வாகப் பங்குகளுக்கு எழுதவும், NTDS.dit மற்றும் பதிவேட்டில் உள்ள ஹைவ்களை வெளியேற்றவும் அதை மீண்டும் பயன்படுத்தியது.

ஒரு மட்டு நிலைத்தன்மை சுற்றுச்சூழல் அமைப்பு

ஒற்றைப் பின்கதவை நம்புவதற்குப் பதிலாக, நீண்டகால அணுகலைப் பராமரிக்க இன்க் டிராகன் சிறப்பு கூறுகளின் தொகுப்பைப் பயன்படுத்துகிறது. கவனிக்கப்பட்ட கருவிகளில் பின்வருவன அடங்கும்:

• நினைவகத்தில் உள்ள ShadowPad கோர் தொகுதியை மறைகுறியாக்கி செயல்படுத்துவதற்கான ShadowPad ஏற்றி.

• CDBLoader, இது ஷெல்கோடை இயக்கவும் மறைகுறியாக்கப்பட்ட பேலோடுகளை ஏற்றவும் மைக்ரோசாப்டின் கன்சோல் பிழைத்திருத்தியை தவறாகப் பயன்படுத்துகிறது.

• LSASS நினைவகத்தைப் பிரித்தெடுப்பதற்கான LalsDumper

• 032 கூடுதல் பேலோடுகளை மறைகுறியாக்கம் செய்து இயக்குவதற்கான ஏற்றி

• FINALDRAFT, கட்டளை மற்றும் கட்டுப்பாட்டுக்காக Outlook மற்றும் Microsoft Graph ஐ துஷ்பிரயோகம் செய்யும் நவீனமயமாக்கப்பட்ட தொலை நிர்வாக கருவி.

FINALDRAFT இன் பரிணாமம்

இந்தக் குழு சமீபத்தில் அதிக திருட்டுத்தனம் மற்றும் வேகமான தரவு வெளியேற்றத்திற்காக வடிவமைக்கப்பட்ட ஒரு புதிய FINALDRAFT மாறுபாட்டைப் பயன்படுத்தியுள்ளது. இது மேம்பட்ட ஏய்ப்பு முறைகளை அறிமுகப்படுத்துகிறது, பல-நிலை பேலோட் விநியோகத்தை ஆதரிக்கிறது மற்றும் இரகசிய பக்கவாட்டு இயக்கத்தை செயல்படுத்துகிறது. பாதிக்கப்பட்டவரின் அஞ்சல் பெட்டியில் வைக்கப்படும் குறியாக்கப்பட்ட ஆவணங்களாக கட்டளைகள் வழங்கப்படுகின்றன, அவற்றை இம்பிளான்ட் ஒரு மட்டு கட்டளை கட்டமைப்பின் மூலம் மீட்டெடுக்கிறது, மறைகுறியாக்குகிறது மற்றும் செயல்படுத்துகிறது.

மற்ற அச்சுறுத்தல் நடிகர்களுடன் ஒன்றுடன் ஒன்று இணைதல்

இன்க் டிராகனால் சமரசம் செய்யப்பட்ட பல சூழல்களில், சீனாவுடன் இணைந்த மற்றொரு குழுவான REF3927, அல்லது ரூட்பாண்டாவின் தடயங்களையும் புலனாய்வாளர்கள் அடையாளம் கண்டுள்ளனர். இருவருக்கும் இடையே ஒருங்கிணைப்புக்கான எந்த ஆதாரமும் இல்லை, மேலும் இரு நடிகர்களும் உள்கட்டமைப்பு அல்லது செயல்பாடுகளைப் பகிர்ந்து கொள்வதற்குப் பதிலாக ஒத்த ஆரம்ப அணுகல் திசையன்களைப் பயன்படுத்துவதிலிருந்து ஒன்றுடன் ஒன்று தோன்றியதாக நம்பப்படுகிறது.

பாதுகாவலர்களுக்கான புதிய அச்சுறுத்தல் மாதிரி

பாதிக்கப்பட்ட ஹோஸ்ட்களுக்கும் கட்டளை உள்கட்டமைப்பிற்கும் இடையிலான பாரம்பரிய கோட்டை இங்க் டிராகன் மங்கலாக்குகிறது. ஒவ்வொரு சமரசம் செய்யப்பட்ட அமைப்பும் தாக்குபவர் கட்டுப்படுத்தும் வலையமைப்பில் ஒரு செயல்பாட்டு முனையாக மாறுகிறது, இது ஒவ்வொரு புதிய பாதிக்கப்பட்டவருடனும் விரிவடைகிறது. பாதுகாவலர்களைப் பொறுத்தவரை, இதன் பொருள் கட்டுப்பாட்டுக்கு தனிப்பட்ட அமைப்புகளில் மட்டுமே கவனம் செலுத்த முடியாது. பயனுள்ள இடையூறுக்கு முழு ரிலே சங்கிலியையும் அடையாளம் கண்டு அகற்றுவது அவசியம். இங்க் டிராகனின் ரிலே-மையப்படுத்தப்பட்ட ஷேடோபேட் பயன்பாடு இதுவரை காணப்பட்ட மிகவும் முதிர்ந்த செயல்படுத்தல்களில் ஒன்றாகும், இது பாதிக்கப்பட்ட நெட்வொர்க்குகளை நீண்டகால, பல நிறுவன உளவு பிரச்சாரங்களின் முதுகெலும்பாக திறம்பட மாற்றுகிறது.