FINALDRAFT Backdoor

Ang aktor ng banta na karaniwang tinutukoy bilang Jewelbug ay nagpaigting ng pokus nito sa mga organisasyon ng gobyerno ng Europa simula noong Hulyo 2025, habang pinapanatili pa rin ang mga aktibong operasyon laban sa mga target sa Timog-silangang Asya at Timog Amerika. Sinusubaybayan ng mga mananaliksik ang kumpol ng aktibidad na ito bilang Ink Dragon, isang grupo na kilala rin sa mas malawak na komunidad ng seguridad bilang CL-STA-0049, Earth Alux, at REF7707. Ang aktor ay tinatayang nakahanay sa Tsina at nagpakita ng patuloy na aktibidad mula noong hindi bababa sa Marso 2023.

Maramihang Pagkakakilanlan, Isang Koordinadong Kumpol

Ang mga kampanya ng Ink Dragon ay sumasalamin sa isang maygulang at disiplinadong kakayahan sa panghihimasok. Pinagsasama ng mga operator nito ang malalakas na kasanayan sa software engineering na may paulit-ulit na mga playbook sa pagpapatakbo, na kadalasang umaasa sa mga built-in na utility ng platform upang pagsamahin ang malisyosong aktibidad sa lehitimong telemetry ng negosyo. Ang sinasadyang kalakalang ito ay lubos na nagpapataas ng stealth at nagpapakomplikado sa pagtuklas.

Saklaw, Mga Target, at Patuloy na Epekto

Ang kampanya ay nananatiling aktibo at nakaapekto na sa ilang dosenang biktima. Ang mga organisasyong naapektuhan ay sumasaklaw sa mga ahensya ng gobyerno at mga tagapagbigay ng telekomunikasyon sa buong Europa, Asya, at Africa. Ang lawak ng mga biktima ay nagbibigay-diin kapwa sa kakayahang mapalawak ang imprastraktura ng aktor at ang estratehikong interes nito sa mga high-value network.

Maagang Pagiging Malinaw at Pangunahing Pamilya ng Malware

Lumitaw ang pampublikong pananaw tungkol sa Ink Dragon noong Pebrero 2025, nang idokumento ng mga mananaliksik ang paggamit nito ng FINALDRAFT backdoor, na kilala rin bilang Squidoor. Sinusuportahan ng malware na ito ang parehong Windows at Linux environment. Kamakailan lamang, ang grupo ay iniugnay sa isang matagal at limang buwang panghihimasok laban sa isang Russian IT services provider, na nagpapakita ng kakayahan nitong mapanatili ang pangmatagalang at palihim na pag-access.

Paunang Pag-access at Paghahatid ng Payload

Karaniwang nakakalusot ang Ink Dragon sa pamamagitan ng pagsasamantala sa mga mahina at nakaharap sa internet na mga web application. Ang mga kahinaang ito ay inaabuso upang mag-deploy ng mga web shell, na nagsisilbing mga punto ng paglulunsad para sa mga karagdagang kagamitan tulad ng VARGEIT at Cobalt Strike. Sinusuportahan ng mga payload na ito ang mga komunikasyon sa command-and-control, internal reconnaissance, lateral movement, pag-iwas sa mga depensa, at pagnanakaw ng data.

Pag-abuso sa Cloud at mga Lehitimong Serbisyo

Kabilang sa mga pangalawang backdoor ng grupo ay ang NANOREMOTE, na gumagamit ng Google Drive API upang makipagpalitan ng mga file sa pagitan ng mga nahawaang host at imprastrakturang kontrolado ng attacker. Ang pagpili ng tool ay tila sinadya at sitwasyonal, na nagmumungkahi na iniaayon ng mga operator ang mga deployment sa kapaligiran ng biktima at pinapaboran ang mga pamamaraan na kahawig ng normal at mapagkakatiwalaang mga pattern ng trapiko.

Pagsasamantala sa ViewState at Pag-hijack ng Imprastraktura ng C2

Ang isang pamamaraan sa playbook ng Ink Dragon ay kinabibilangan ng paggamit sa mahihina o maling pamamahala ng mga ASP.NET machine key. Sa pamamagitan ng pag-abuso sa mga depekto sa deserialization ng ViewState sa mga IIS at SharePoint server, nag-i-install ang aktor ng isang custom na ShadowPad IIS Listener module. Binabago nito ang mga nakompromisong server sa mga aktibong bahagi ng command-and-control network ng attacker, na nagbibigay-daan sa kanila na mag-proxy ng trapiko at mga utos at makabuluhang nagpapataas ng katatagan.

Mula sa Lokal na Paglabag Tungo sa Pandaigdigang Network ng Relay

Ang arkitekturang ito ay nagbibigay-daan sa trapiko na mairuta hindi lamang nang mas malalim sa isang organisasyon kundi pati na rin sa ganap na magkakahiwalay na network ng biktima. Bilang resulta, ang isang nakompromisong server ay maaaring tahimik na maging isang tagapamagitan sa isang mas malawak at maraming patong na imprastraktura. Sinusuportahan mismo ng listener module ang remote command execution, na nagbibigay sa mga operator ng direktang kontrol para sa reconnaissance at payload staging.

Mga Taktika Pagkatapos ng Pagsasamantala at Pagtaas ng Pribilehiyo

Higit pa sa pang-aabuso sa ViewState, ginamit ng Ink Dragon ang mga kahinaan ng ToolShell SharePoint upang mag-deploy ng mga web shell. Kasunod ng unang pagkompromiso, karaniwang nagsasagawa ang aktor ng ilang aksyon upang palakasin ang access at dagdagan ang mga pribilehiyo:

• Paggamit ng mga susi ng makina ng IIS upang makakuha ng mga lokal na kredensyal sa administrasyon at lumipat nang pahalang sa pamamagitan ng mga tunnel ng RDP
• Pagtatatag ng pagtitiyaga sa pamamagitan ng mga naka-iskedyul na gawain at mga malisyosong serbisyo
• Pagtatapon ng memorya ng LSASS at pag-extract ng mga registry hive upang mapataas ang mga pribilehiyo
• Pagbabago sa mga tuntunin ng host firewall upang payagan ang papalabas na trapiko at i-convert ang mga sistema sa mga ShadowPad relay node

Muling Paggamit ng Kredensyal at Pagkompromiso sa Domain

Sa kahit isang naobserbahang kaso, natukoy ng mga umaatake ang isang nakadiskonekta ngunit aktibong sesyon ng RDP na pagmamay-ari ng isang Domain Administrator na na-authenticate sa pamamagitan ng Network Level Authentication na may NTLMv2 fallback. Dahil nanatiling naka-log off ang session ngunit hindi tinapos, nanatili ang sensitibong materyal ng kredensyal sa memorya ng LSASS. Matapos makakuha ng access sa antas ng SYSTEM, kinuha ng Ink Dragon ang token at muling ginamit ito upang magsagawa ng mga na-authenticate na operasyon ng SMB, magsulat sa mga administrative share, at i-exfiltrate ang NTDS.dit at mga registry hive.

Isang Modular na Ekosistema ng Pagtitiyaga

Sa halip na umasa sa iisang backdoor, gumagamit ang Ink Dragon ng koleksyon ng mga espesyalisadong bahagi upang mapanatili ang pangmatagalang pag-access. Kabilang sa mga naobserbahang kagamitan ang:

• ShadowPad Loader para sa pag-decrypt at pagpapatupad ng ShadowPad core module sa memorya

Ebolusyon ng FINALDRAFT

Kamakailan lamang ay naglunsad ang grupo ng isang bagong variant ng FINALDRAFT na idinisenyo para sa mas mahusay na nakatagong impormasyon at mas mabilis na pag-exfilt ng datos. Nagpapakilala ito ng mga advanced na pamamaraan ng pag-iwas, sumusuporta sa paghahatid ng payload sa maraming yugto, at nagbibigay-daan sa palihim na paggalaw sa gilid. Ang mga utos ay inihahatid bilang mga naka-encode na dokumento na inilalagay sa mailbox ng biktima, na kinukuha, i-decrypt, at isinasagawa ng implant sa pamamagitan ng isang modular command framework.

Pagsasapawan sa Iba Pang Aktor ng Banta

Natukoy din ng mga imbestigador ang mga bakas ng isa pang grupong kaalyado ng Tsina, ang REF3927, na kilala rin bilang RudePanda, sa ilang kapaligirang nakompromiso ng Ink Dragon. Walang ebidensya ng koordinasyon sa pagitan ng dalawa, at ang pagsasanib ay pinaniniwalaang nagmumula sa parehong aktor na nagsasamantala sa magkatulad na mga paunang access vector sa halip na magbahagi ng imprastraktura o operasyon.

Isang Bagong Modelo ng Banta para sa mga Tagapagtanggol

Pinalalabo ng Ink Dragon ang tradisyunal na linya sa pagitan ng mga nahawaang host at imprastraktura ng command. Ang bawat nakompromisong sistema ay nagiging isang functional node sa isang attacker-controlled mesh na lumalawak sa bawat bagong biktima. Para sa mga tagapagtanggol, nangangahulugan ito na ang containment ay hindi maaaring tumuon lamang sa mga indibidwal na sistema. Ang epektibong pagkagambala ay nangangailangan ng pagtukoy at pagbuwag sa buong relay chain. Ang relay-centric na paggamit ng Ink Dragon ng ShadowPad ay kumakatawan sa isa sa mga pinaka-mature na implementasyon na naobserbahan sa ngayon, na epektibong ginagawang gulugod ng mga pangmatagalang, multi-organizational na kampanya ng paniniktik ang mga network ng biktima.