รอบชิงชนะเลิศแบบ Backdoor

กลุ่มแฮ็กเกอร์ที่รู้จักกันทั่วไปในชื่อ Jewelbug ได้เพิ่มเป้าหมายการโจมตีไปยังองค์กรภาครัฐในยุโรปมากขึ้นตั้งแต่เดือนกรกฎาคม 2025 ในขณะที่ยังคงดำเนินการโจมตีเป้าหมายในเอเชียตะวันออกเฉียงใต้และอเมริกาใต้ต่อไป นักวิจัยติดตามกลุ่มกิจกรรมนี้ในชื่อ Ink Dragon ซึ่งเป็นกลุ่มที่รู้จักกันในแวดวงความมั่นคงในชื่อ CL-STA-0049, Earth Alux และ REF7707 กลุ่มแฮ็กเกอร์นี้ได้รับการประเมินว่ามีความสัมพันธ์กับจีนและแสดงให้เห็นถึงกิจกรรมที่ต่อเนื่องมาตั้งแต่เดือนมีนาคม 2023 เป็นอย่างน้อย

หลากหลายอัตลักษณ์ รวมกันเป็นหนึ่งเดียวอย่างเป็นระบบ

แคมเปญของ Ink Dragon สะท้อนให้เห็นถึงความสามารถในการบุกรุกที่เชี่ยวชาญและมีระเบียบวินัย ผู้ปฏิบัติงานของพวกเขารวมทักษะด้านวิศวกรรมซอฟต์แวร์ที่แข็งแกร่งเข้ากับคู่มือการปฏิบัติงานที่ทำซ้ำได้ โดยมักใช้ยูทิลิตี้ในตัวของแพลตฟอร์มเพื่อผสมผสานกิจกรรมที่เป็นอันตรายเข้ากับข้อมูลการวัดระยะทางขององค์กรที่ถูกต้องตามกฎหมาย กลยุทธ์ที่รอบคอบนี้ช่วยเพิ่มความลับและทำให้การตรวจจับทำได้ยากขึ้นอย่างมาก

ขอบเขต เป้าหมาย และผลกระทบต่อเนื่อง

แคมเปญดังกล่าวยังคงดำเนินอยู่และส่งผลกระทบต่อเหยื่อแล้วหลายสิบราย องค์กรที่ได้รับผลกระทบครอบคลุมหน่วยงานภาครัฐและผู้ให้บริการโทรคมนาคมทั่วทั้งยุโรป เอเชีย และแอฟริกา ความกว้างขวางของเหยื่อเน้นย้ำถึงความสามารถในการขยายขนาดของโครงสร้างพื้นฐานของผู้กระทำความผิดและผลประโยชน์เชิงกลยุทธ์ของพวกเขาในเครือข่ายที่มีมูลค่าสูง

การมองเห็นในระยะเริ่มต้นและตระกูลมัลแวร์ที่สำคัญ

ข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์ Ink Dragon เริ่มปรากฏสู่สาธารณะในเดือนกุมภาพันธ์ 2025 เมื่อนักวิจัยได้บันทึกการใช้งานแบ็กดอร์ FINALDRAFT หรือที่รู้จักกันในชื่อ Squidoor ซึ่งมัลแวร์นี้รองรับทั้งระบบปฏิบัติการ Windows และ Linux เมื่อไม่นานมานี้ กลุ่มนี้ยังถูกเชื่อมโยงกับการบุกรุกเป็นเวลานานถึงห้าเดือนต่อผู้ให้บริการด้านไอทีของรัสเซีย ซึ่งแสดงให้เห็นถึงความสามารถในการเข้าถึงระบบอย่างลับๆ ในระยะยาว

การเข้าถึงเบื้องต้นและการส่งมอบข้อมูล

โดยทั่วไปแล้ว Ink Dragon จะเข้าถึงระบบโดยการใช้ช่องโหว่ของเว็บแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ต ช่องโหว่เหล่านี้จะถูกนำไปใช้เพื่อสร้างเว็บเชลล์ ซึ่งจะทำหน้าที่เป็นจุดเริ่มต้นสำหรับเครื่องมือเพิ่มเติม เช่น VARGEIT และ Cobalt Strike เพย์โหลดเหล่านี้สนับสนุนการสื่อสารเพื่อควบคุมและสั่งการ การสอดแนมภายใน การเคลื่อนที่ในแนวนอน การหลบเลี่ยงการป้องกัน และการขโมยข้อมูล

การละเมิดการใช้งานระบบคลาวด์และบริการที่ถูกต้องตามกฎหมาย

หนึ่งในช่องโหว่ลับรองของกลุ่มนี้คือ NANOREMOTE ซึ่งใช้ API ของ Google Drive ในการแลกเปลี่ยนไฟล์ระหว่างโฮสต์ที่ติดไวรัสและโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม การเลือกใช้เครื่องมือดูเหมือนจะเป็นไปอย่างจงใจและเหมาะสมกับสถานการณ์ ซึ่งบ่งชี้ว่าผู้ดำเนินการปรับแต่งการใช้งานให้เข้ากับสภาพแวดล้อมของเหยื่อและเลือกใช้เทคนิคที่คล้ายกับรูปแบบการรับส่งข้อมูลปกติที่น่าเชื่อถือ

การโจมตี ViewState และการยึดครองโครงสร้างพื้นฐาน C2

เทคนิคสำคัญในกลยุทธ์ของ Ink Dragon คือการใช้ประโยชน์จากจุดอ่อนหรือการจัดการคีย์เครื่อง ASP.NET ที่ไม่ถูกต้อง โดยการใช้ประโยชน์จากช่องโหว่การดีซีเรียไลเซชัน ViewState ในเซิร์ฟเวอร์ IIS และ SharePoint ผู้โจมตีจะติดตั้งโมดูล ShadowPad IIS Listener ที่กำหนดเอง ซึ่งจะเปลี่ยนเซิร์ฟเวอร์ที่ถูกบุกรุกให้กลายเป็นส่วนประกอบที่ใช้งานได้ของเครือข่ายควบคุมและสั่งการของผู้โจมตี ทำให้พวกเขาสามารถส่งต่อทราฟฟิกและคำสั่งต่างๆ และเพิ่มความยืดหยุ่นได้อย่างมาก

จากการละเมิดข้อมูลในระดับท้องถิ่น สู่เครือข่ายถ่ายทอดสัญญาณระดับโลก

สถาปัตยกรรมนี้ช่วยให้สามารถกำหนดเส้นทางการรับส่งข้อมูลได้ไม่เพียงแต่ลึกเข้าไปในองค์กรเดียวเท่านั้น แต่ยังข้ามเครือข่ายเหยื่อที่แยกจากกันโดยสิ้นเชิงได้อีกด้วย ผลก็คือ เซิร์ฟเวอร์ที่ถูกบุกรุกเพียงเครื่องเดียวสามารถกลายเป็นตัวกลางในโครงสร้างพื้นฐานหลายชั้นที่กว้างขึ้นได้อย่างเงียบๆ โมดูลตัวรับฟังเองรองรับการเรียกใช้คำสั่งจากระยะไกล ทำให้ผู้ปฏิบัติงานสามารถควบคุมโดยตรงสำหรับการสอดแนมและการจัดเตรียมเพย์โหลด

กลยุทธ์หลังการโจมตีและการยกระดับสิทธิ์

นอกเหนือจากการใช้ ViewState ในทางที่ผิดแล้ว Ink Dragon ยังใช้ช่องโหว่ ToolShell ใน SharePoint เป็นอาวุธในการติดตั้งเว็บเชลล์ หลังจากที่เจาะระบบได้ในเบื้องต้น ผู้โจมตีมักจะดำเนินการหลายอย่างเพื่อรักษาการเข้าถึงและยกระดับสิทธิ์:

• ใช้คีย์เครื่อง IIS เพื่อรับข้อมูลประจำตัวผู้ดูแลระบบในเครื่องและเคลื่อนย้ายไปยังเครื่องอื่นผ่านอุโมงค์ RDP
• การสร้างความต่อเนื่องผ่านงานที่กำหนดเวลาไว้และบริการที่เป็นอันตราย
• การดัมพ์หน่วยความจำ LSASS และการดึงข้อมูลรีจิสทรีเพื่อยกระดับสิทธิ์
• ปรับเปลี่ยนกฎไฟร์วอลล์ของโฮสต์เพื่ออนุญาตการรับส่งข้อมูลขาออกและแปลงระบบให้เป็นโหนดรีเลย์ ShadowPad

การนำข้อมูลประจำตัวขั้นสูงกลับมาใช้ใหม่และการบุกรุกโดเมน

อย่างน้อยในกรณีหนึ่งที่พบเห็น ผู้โจมตีระบุเซสชัน RDP ที่ตัดการเชื่อมต่อแล้วแต่ยังทำงานอยู่ ซึ่งเป็นของผู้ดูแลระบบโดเมนที่ตรวจสอบสิทธิ์ผ่านการตรวจสอบสิทธิ์ระดับเครือข่าย (Network Level Authentication) โดยใช้ NTLMv2 เป็นตัวสำรอง เนื่องจากเซสชันยังคงล็อกออฟอยู่แต่ไม่ได้ถูกยกเลิก ข้อมูลประจำตัวที่สำคัญจึงยังคงอยู่ในหน่วยความจำ LSASS หลังจากได้รับสิทธิ์การเข้าถึงระดับ SYSTEM แล้ว Ink Dragon ได้ดึงโทเค็นออกมาและนำไปใช้ซ้ำเพื่อดำเนินการ SMB ที่ตรวจสอบสิทธิ์แล้ว เขียนไปยังแชร์ของผู้ดูแลระบบ และดึงข้อมูล NTDS.dit และรีจิสทรีออกมา

ระบบนิเวศความคงทนแบบโมดูลาร์

แทนที่จะพึ่งพาช่องโหว่เพียงช่องเดียว Ink Dragon ใช้ส่วนประกอบเฉพาะทางหลายอย่างเพื่อรักษาการเข้าถึงในระยะยาว เครื่องมือที่พบเห็นได้แก่:

• ShadowPad Loader ใช้สำหรับถอดรหัสและเรียกใช้โมดูลหลักของ ShadowPad ในหน่วยความจำ

วิวัฒนาการของ FINALDRAFT

กลุ่มดังกล่าวได้พัฒนา FINALDRAFT เวอร์ชันใหม่ล่าสุด ซึ่งออกแบบมาเพื่อการพรางตัวที่ดียิ่งขึ้นและการดึงข้อมูลที่รวดเร็วยิ่งขึ้น เวอร์ชันนี้มีวิธีการหลบเลี่ยงขั้นสูง รองรับการส่งข้อมูลแบบหลายขั้นตอน และช่วยให้สามารถเคลื่อนที่ในแนวนอนได้อย่างลับๆ คำสั่งจะถูกส่งในรูปแบบเอกสารเข้ารหัสที่วางไว้ในกล่องจดหมายของเหยื่อ ซึ่งอุปกรณ์ฝังตัวจะดึงข้อมูล ถอดรหัส และดำเนินการผ่านกรอบคำสั่งแบบโมดูลาร์

การทับซ้อนกับผู้ก่อภัยคุกคามอื่นๆ

นอกจากนี้ นักสืบยังพบร่องรอยของกลุ่มอีกกลุ่มหนึ่งที่เชื่อมโยงกับจีน คือ REF3927 หรือที่รู้จักกันในชื่อ RudePanda ในสภาพแวดล้อมหลายแห่งที่ถูกโจมตีโดย Ink Dragon ไม่มีหลักฐานการประสานงานระหว่างทั้งสองกลุ่ม และเชื่อว่าการทับซ้อนกันนั้นเกิดจากการที่ทั้งสองกลุ่มใช้ช่องทางการเข้าถึงเริ่มต้นที่คล้ายคลึงกันมากกว่าการใช้โครงสร้างพื้นฐานหรือการดำเนินงานร่วมกัน

รูปแบบภัยคุกคามใหม่สำหรับผู้พิทักษ์

Ink Dragon ทำให้เส้นแบ่งระหว่างโฮสต์ที่ติดไวรัสและโครงสร้างพื้นฐานการควบคุมนั้นเลือนหายไป ระบบที่ถูกบุกรุกแต่ละระบบจะกลายเป็นโหนดที่ใช้งานได้ในเครือข่ายที่ผู้โจมตีควบคุม ซึ่งจะขยายตัวขึ้นทุกครั้งที่มีเหยื่อรายใหม่ สำหรับฝ่ายป้องกัน นั่นหมายความว่าการควบคุมไม่สามารถมุ่งเน้นไปที่ระบบแต่ละระบบได้เพียงอย่างเดียว การขัดขวางอย่างมีประสิทธิภาพจำเป็นต้องระบุและทำลายห่วงโซ่การส่งต่อทั้งหมด การใช้ ShadowPad ที่เน้นการส่งต่อของ Ink Dragon ถือเป็นการใช้งานที่สมบูรณ์ที่สุดอย่างหนึ่งเท่าที่เคยพบมา โดยเปลี่ยนเครือข่ายของเหยื่อให้กลายเป็นแกนหลักของการรณรงค์จารกรรมระยะยาวที่ครอบคลุมหลายองค์กร