FINALDRAFT Backdoor

సాధారణంగా జ్యువెల్‌బగ్ అని పిలువబడే ఈ ముప్పు కలిగించే వ్యక్తి జూలై 2025 నుండి యూరోపియన్ ప్రభుత్వ సంస్థలపై తన దృష్టిని తీవ్రతరం చేసింది, అదే సమయంలో ఆగ్నేయాసియా మరియు దక్షిణ అమెరికాలోని లక్ష్యాలపై చురుకైన కార్యకలాపాలను కొనసాగిస్తోంది. పరిశోధకులు ఈ కార్యాచరణ సమూహాన్ని ఇంక్ డ్రాగన్‌గా గుర్తించారు, ఈ సమూహాన్ని విస్తృత భద్రతా సంఘంలో CL-STA-0049, ఎర్త్ అలక్స్ మరియు REF7707 అని కూడా పిలుస్తారు. ఈ నటుడు చైనా-సమలేఖనమని అంచనా వేయబడింది మరియు కనీసం మార్చి 2023 నుండి నిరంతర కార్యకలాపాలను ప్రదర్శించింది.

బహుళ గుర్తింపులు, ఒక సమన్వయ సమూహం

ఇంక్ డ్రాగన్ ప్రచారాలు పరిణతి చెందిన మరియు క్రమశిక్షణ కలిగిన చొరబాటు సామర్థ్యాన్ని ప్రతిబింబిస్తాయి. దీని ఆపరేటర్లు బలమైన సాఫ్ట్‌వేర్ ఇంజనీరింగ్ నైపుణ్యాలను పునరావృతమయ్యే ఆపరేషనల్ ప్లేబుక్‌లతో మిళితం చేస్తారు, తరచుగా అంతర్నిర్మిత ప్లాట్‌ఫారమ్ యుటిలిటీలపై ఆధారపడతారు, హానికరమైన కార్యకలాపాలను చట్టబద్ధమైన ఎంటర్‌ప్రైజ్ టెలిమెట్రీలో కలపడానికి. ఈ ఉద్దేశపూర్వక ట్రేడ్‌క్రాఫ్ట్ స్టెల్త్‌ను గణనీయంగా పెంచుతుంది మరియు గుర్తింపును క్లిష్టతరం చేస్తుంది.

పరిధి, లక్ష్యాలు మరియు కొనసాగుతున్న ప్రభావం

ఈ ప్రచారం చురుకుగా కొనసాగుతోంది మరియు ఇప్పటికే అనేక డజన్ల మంది బాధితులను ప్రభావితం చేసింది. ప్రభావిత సంస్థలు యూరప్, ఆసియా మరియు ఆఫ్రికా అంతటా ప్రభుత్వ సంస్థలు మరియు టెలికమ్యూనికేషన్ ప్రొవైడర్లను కలిగి ఉన్నాయి. బాధితుల విస్తృతి నటుడి మౌలిక సదుపాయాల స్కేలబిలిటీని మరియు అధిక-విలువ నెట్‌వర్క్‌లలో దాని వ్యూహాత్మక ఆసక్తిని నొక్కి చెబుతుంది.

ప్రారంభ దృశ్యమానత మరియు కీలక మాల్వేర్ కుటుంబాలు

ఫిబ్రవరి 2025లో, పరిశోధకులు FINALDRAFT బ్యాక్‌డోర్‌ను (స్క్విడోర్ అని కూడా పిలుస్తారు) ఉపయోగించడాన్ని డాక్యుమెంట్ చేసినప్పుడు, ఇంక్ డ్రాగన్ గురించి ప్రజలకు అవగాహన ఏర్పడింది. ఈ మాల్వేర్ విండోస్ మరియు లైనక్స్ వాతావరణాలకు మద్దతు ఇస్తుంది. ఇటీవల, ఈ సమూహం రష్యన్ IT సేవల ప్రదాతపై ఐదు నెలల పాటు సుదీర్ఘమైన చొరబాటుతో ముడిపడి ఉంది, ఇది దీర్ఘకాలిక, రహస్య ప్రాప్యతను నిర్వహించే దాని సామర్థ్యాన్ని హైలైట్ చేస్తుంది.

ప్రారంభ యాక్సెస్ మరియు పేలోడ్ డెలివరీ

ఇంక్ డ్రాగన్ సాధారణంగా దుర్బలమైన, ఇంటర్నెట్-ముఖంగా ఉన్న వెబ్ అప్లికేషన్‌లను ఉపయోగించడం ద్వారా ప్రవేశిస్తుంది. ఈ బలహీనతలను వెబ్ షెల్‌లను అమలు చేయడానికి దుర్వినియోగం చేస్తారు, ఇవి VARGEIT మరియు కోబాల్ట్ స్ట్రైక్ వంటి అదనపు సాధనాలకు లాంచ్ పాయింట్‌లుగా పనిచేస్తాయి. ఈ పేలోడ్‌లు కమాండ్-అండ్-కంట్రోల్ కమ్యూనికేషన్‌లు, అంతర్గత నిఘా, పార్శ్వ కదలిక, రక్షణల ఎగవేత మరియు డేటా దొంగతనానికి మద్దతు ఇస్తాయి.

క్లౌడ్ మరియు చట్టబద్ధమైన సేవల దుర్వినియోగం

ఈ గ్రూప్ యొక్క ద్వితీయ బ్యాక్‌డోర్‌లలో NANOREMOTE ఒకటి, ఇది Google Drive APIని ఉపయోగించి ఇన్‌ఫెక్ట్ చేయబడిన హోస్ట్‌లు మరియు దాడి చేసేవారి-నియంత్రిత మౌలిక సదుపాయాల మధ్య ఫైల్‌లను మార్పిడి చేస్తుంది. సాధన ఎంపిక ఉద్దేశపూర్వకంగా మరియు సందర్భోచితంగా కనిపిస్తుంది, ఆపరేటర్లు బాధితుల వాతావరణానికి అనుగుణంగా విస్తరణలను రూపొందించుకోవాలని మరియు సాధారణ, విశ్వసనీయ ట్రాఫిక్ నమూనాలను పోలి ఉండే పద్ధతులను ఇష్టపడాలని సూచిస్తుంది.

వ్యూస్టేట్ దోపిడీ మరియు C2 మౌలిక సదుపాయాల హైజాకింగ్

ఇంక్ డ్రాగన్ ప్లేబుక్‌లోని నిర్వచించే సాంకేతికత బలహీనమైన లేదా తప్పుగా నిర్వహించబడిన ASP.NET మెషిన్ కీలను ఉపయోగించడం. IIS మరియు షేర్‌పాయింట్ సర్వర్‌లలో ViewState డీసీరియలైజేషన్ లోపాలను దుర్వినియోగం చేయడం ద్వారా, నటుడు కస్టమ్ షాడోప్యాడ్ IIS లిజనర్ మాడ్యూల్‌ను ఇన్‌స్టాల్ చేస్తాడు. ఇది రాజీపడిన సర్వర్‌లను దాడి చేసేవారి కమాండ్-అండ్-కంట్రోల్ నెట్‌వర్క్ యొక్క క్రియాశీల భాగాలుగా మారుస్తుంది, ట్రాఫిక్ మరియు ఆదేశాలను ప్రాక్సీ చేయడానికి మరియు స్థితిస్థాపకతను గణనీయంగా పెంచడానికి వీలు కల్పిస్తుంది.

లోకల్ బ్రీచ్ నుండి గ్లోబల్ రిలే నెట్‌వర్క్ వరకు

ఈ నిర్మాణం ట్రాఫిక్‌ను ఒకే సంస్థలోకి లోతుగా మళ్లించడమే కాకుండా పూర్తిగా వేర్వేరు బాధితుల నెట్‌వర్క్‌లలో కూడా మళ్లించడానికి అనుమతిస్తుంది. ఫలితంగా, ఒక రాజీపడిన సర్వర్ నిశ్శబ్దంగా విస్తృత, బహుళ-లేయర్డ్ మౌలిక సదుపాయాలలో మధ్యవర్తిగా మారగలదు. లిజనర్ మాడ్యూల్ స్వయంగా రిమోట్ కమాండ్ అమలుకు మద్దతు ఇస్తుంది, ఆపరేటర్లకు నిఘా మరియు పేలోడ్ స్టేజింగ్ కోసం ప్రత్యక్ష నియంత్రణను ఇస్తుంది.

దోపిడీ తర్వాత మరియు ప్రత్యేక హక్కుల పెరుగుదల వ్యూహాలు

వ్యూస్టేట్ దుర్వినియోగానికి మించి, వెబ్ షెల్‌లను అమలు చేయడానికి ఇంక్ డ్రాగన్ టూల్‌షెల్ షేర్‌పాయింట్ దుర్బలత్వాలను ఆయుధంగా ఉపయోగించుకుంది. ప్రారంభ రాజీ తర్వాత, నటుడు సాధారణంగా యాక్సెస్‌ను ప్రారంభించడానికి మరియు ప్రత్యేక హక్కులను పెంచడానికి అనేక చర్యలను చేస్తాడు:

• స్థానిక పరిపాలనా ఆధారాలను పొందడానికి మరియు RDP సొరంగాల ద్వారా పార్శ్వంగా తరలించడానికి IIS మెషిన్ కీలను ఉపయోగించడం.
• షెడ్యూల్ చేయబడిన పనులు మరియు హానికరమైన సేవల ద్వారా నిలకడను ఏర్పరచడం
• LSASS మెమరీని డంప్ చేయడం మరియు రిజిస్ట్రీ దద్దుర్లు సంగ్రహించడం ద్వారా ప్రత్యేక హక్కులను పెంచడం
• అవుట్‌బౌండ్ ట్రాఫిక్‌ను అనుమతించడానికి మరియు సిస్టమ్‌లను షాడోప్యాడ్ రిలే నోడ్‌లుగా మార్చడానికి హోస్ట్ ఫైర్‌వాల్ నియమాలను మార్చడం.

అధునాతన ఆధారాల పునర్వినియోగం మరియు డొమైన్ రాజీ

గమనించిన కనీసం ఒక సందర్భంలో, దాడి చేసేవారు NTLMv2 ఫాల్‌బ్యాక్‌తో నెట్‌వర్క్ లెవల్ అథెంటికేషన్ ద్వారా ప్రామాణీకరించబడిన డొమైన్ అడ్మినిస్ట్రేటర్‌కు చెందిన డిస్‌కనెక్ట్ చేయబడిన కానీ యాక్టివ్ RDP సెషన్‌ను గుర్తించారు. సెషన్ లాగ్ ఆఫ్‌లో ఉండి కూడా ముగించబడనందున, సున్నితమైన ఆధారాల మెటీరియల్ LSASS మెమరీలో కొనసాగింది. SYSTEM-స్థాయి యాక్సెస్ పొందిన తర్వాత, ఇంక్ డ్రాగన్ టోకెన్‌ను సంగ్రహించి, ప్రామాణీకరించబడిన SMB కార్యకలాపాలను నిర్వహించడానికి, అడ్మినిస్ట్రేటివ్ షేర్లకు వ్రాయడానికి మరియు NTDS.dit మరియు రిజిస్ట్రీ హైవ్‌లను ఎక్స్‌ఫిల్ట్రేట్ చేయడానికి దానిని తిరిగి ఉపయోగించింది.

మాడ్యులర్ పెర్సిస్టెన్స్ ఎకోసిస్టమ్

ఒకే బ్యాక్‌డోర్‌పై ఆధారపడటానికి బదులుగా, ఇంక్ డ్రాగన్ దీర్ఘకాలిక యాక్సెస్‌ను నిర్వహించడానికి ప్రత్యేకమైన భాగాల సేకరణను ఉపయోగిస్తుంది. పరిశీలించిన సాధనాల్లో ఇవి ఉన్నాయి:

• మెమరీలో షాడోప్యాడ్ కోర్ మాడ్యూల్‌ను డీక్రిప్ట్ చేయడానికి మరియు అమలు చేయడానికి షాడోప్యాడ్ లోడర్.

• CDBLoader, ఇది షెల్‌కోడ్‌ను అమలు చేయడానికి మరియు ఎన్‌క్రిప్టెడ్ పేలోడ్‌లను లోడ్ చేయడానికి Microsoft యొక్క కన్సోల్ డీబగ్గర్‌ను దుర్వినియోగం చేస్తుంది.

• LSASS మెమరీని సంగ్రహించడానికి LalsDumper

• 032 అదనపు పేలోడ్‌లను డీక్రిప్ట్ చేయడానికి మరియు అమలు చేయడానికి లోడర్

• FINALDRAFT, ఆదేశం మరియు నియంత్రణ కోసం Outlook మరియు Microsoft Graph లను దుర్వినియోగం చేసే ఆధునికీకరించిన రిమోట్ పరిపాలన సాధనం.

FINALDRAFT పరిణామం

ఈ బృందం ఇటీవల ఎక్కువ స్టెల్త్ మరియు వేగవంతమైన డేటా ఎక్స్‌ఫిల్ట్రేషన్ కోసం రూపొందించిన కొత్త FINALDRAFT వేరియంట్‌ను మోహరించింది. ఇది అధునాతన ఎగవేత పద్ధతులను పరిచయం చేస్తుంది, బహుళ-దశల పేలోడ్ డెలివరీకి మద్దతు ఇస్తుంది మరియు రహస్య పార్శ్వ కదలికను అనుమతిస్తుంది. ఆదేశాలు బాధితుడి మెయిల్‌బాక్స్‌లో ఉంచబడిన ఎన్‌కోడ్ చేయబడిన పత్రాలుగా పంపిణీ చేయబడతాయి, వీటిని ఇంప్లాంట్ మాడ్యులర్ కమాండ్ ఫ్రేమ్‌వర్క్ ద్వారా తిరిగి పొందుతుంది, డీక్రిప్ట్ చేస్తుంది మరియు అమలు చేస్తుంది.

ఇతర బెదిరింపు నటులతో అతివ్యాప్తి చెందడం

ఇంక్ డ్రాగన్ ద్వారా రాజీపడిన అనేక వాతావరణాలలో, చైనాతో అనుసంధానించబడిన మరొక సమూహం, REF3927, దీనిని రూడ్ పాండా అని కూడా పిలుస్తారు, పరిశోధకులు గుర్తించారు. రెండింటి మధ్య సమన్వయానికి ఎటువంటి ఆధారాలు లేవు మరియు అతివ్యాప్తి రెండు నటులు మౌలిక సదుపాయాలు లేదా కార్యకలాపాలను పంచుకోవడం కంటే సారూప్య ప్రారంభ యాక్సెస్ వెక్టర్లను దోపిడీ చేయడం నుండి ఉద్భవించిందని నమ్ముతారు.

డిఫెండర్లకు కొత్త ముప్పు నమూనా

ఇంక్ డ్రాగన్ ఇన్ఫెక్షన్ ఉన్న హోస్ట్‌లు మరియు కమాండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ మధ్య సాంప్రదాయ రేఖను అస్పష్టం చేస్తుంది. ప్రతి రాజీపడిన వ్యవస్థ దాడి చేసేవారి-నియంత్రిత మెష్‌లో ఒక క్రియాత్మక నోడ్‌గా మారుతుంది, ఇది ప్రతి కొత్త బాధితుడితో విస్తరిస్తుంది. డిఫెండర్‌ల కోసం, దీని అర్థం నియంత్రణ వ్యక్తిగత వ్యవస్థలపై మాత్రమే దృష్టి పెట్టదు. ప్రభావవంతమైన అంతరాయం మొత్తం రిలే గొలుసును గుర్తించడం మరియు విడదీయడం అవసరం. ఇంక్ డ్రాగన్ యొక్క రిలే-కేంద్రీకృత షాడోప్యాడ్ ఉపయోగం ఇప్పటివరకు గమనించిన అత్యంత పరిణతి చెందిన అమలులలో ఒకటి, బాధితుల నెట్‌వర్క్‌లను దీర్ఘకాలిక, బహుళ-సంస్థాగత గూఢచర్య ప్రచారాలకు వెన్నెముకగా సమర్థవంతంగా మారుస్తుంది.