FINALDRAFT Backdoor
Genellikle Jewelbug olarak anılan tehdit aktörü, Temmuz 2025'ten bu yana Avrupa hükümet kuruluşlarına odaklanmasını yoğunlaştırırken, Güneydoğu Asya ve Güney Amerika'daki hedeflere karşı da aktif operasyonlarını sürdürmektedir. Araştırmacılar bu faaliyet kümesini Ink Dragon olarak takip ediyor; bu grup daha geniş güvenlik camiasında CL-STA-0049, Earth Alux ve REF7707 olarak da biliniyor. Aktörün Çin ile bağlantılı olduğu değerlendiriliyor ve en az Mart 2023'ten beri sürekli faaliyet gösterdiği belirtiliyor.
İçindekiler
Çoklu Kimlikler, Tek Bir Koordineli Küme
Ink Dragon'ın kampanyaları, olgun ve disiplinli bir sızma yeteneğini yansıtmaktadır. Operatörleri, güçlü yazılım mühendisliği becerilerini tekrarlanabilir operasyonel kılavuzlarla birleştirerek, kötü amaçlı faaliyetleri meşru kurumsal telemetriye karıştırmak için sıklıkla yerleşik platform yardımcı programlarına güvenmektedir. Bu bilinçli yöntem, gizliliği önemli ölçüde artırır ve tespit edilmeyi zorlaştırır.
Kapsam, Hedefler ve Devam Eden Etki
Kampanya aktifliğini sürdürüyor ve şimdiden onlarca mağduru etkiledi. Etkilenen kuruluşlar arasında Avrupa, Asya ve Afrika genelindeki devlet kurumları ve telekomünikasyon sağlayıcıları yer alıyor. Mağdurların geniş yelpazesi, aktörün altyapısının ölçeklenebilirliğini ve yüksek değerli ağlara olan stratejik ilgisini vurguluyor.
Erken Tespit ve Başlıca Kötü Amaçlı Yazılım Aileleri
Ink Dragon'a dair kamuoyu bilgisi, Şubat 2025'te araştırmacıların FINALDRAFT arka kapı yazılımını (Squidoor olarak da bilinir) kullandığını belgelediğinde ortaya çıktı. Bu kötü amaçlı yazılım hem Windows hem de Linux ortamlarını destekliyor. Daha yakın zamanda, grup Rus bir BT hizmet sağlayıcısına karşı beş ay süren uzun bir sızmayla ilişkilendirildi ve bu da uzun vadeli, gizli erişimi sürdürme yeteneğini vurguladı.
İlk Erişim ve Yük Teslimi
Ink Dragon genellikle savunmasız, internete açık web uygulamalarını istismar ederek sisteme giriş yapar. Bu zayıf noktalar, VARGEIT ve Cobalt Strike gibi ek araçlar için başlatma noktası görevi gören web kabukları dağıtmak için kötüye kullanılır. Bu zararlı yazılımlar, komuta ve kontrol iletişimini, iç keşfi, yatay hareketi, savunmalardan kaçınmayı ve veri hırsızlığını destekler.
Bulut ve Meşru Hizmetlerin Kötüye Kullanımı
Grubun ikincil arka kapılarından biri olan NANOREMOTE, enfekte olmuş sunucular ile saldırgan kontrolündeki altyapı arasında dosya alışverişi yapmak için Google Drive API'sini kullanıyor. Araç seçimi kasıtlı ve duruma bağlı görünüyor; bu da operatörlerin dağıtımları kurban ortamına göre uyarladığını ve normal, güvenilir trafik modellerine benzeyen teknikleri tercih ettiğini gösteriyor.
ViewState İstismarı ve C2 Altyapısı Ele Geçirme
Ink Dragon'ın saldırı yönteminin temel unsurlarından biri, zayıf veya yanlış yönetilen ASP.NET makine anahtarlarını istismar etmektir. Saldırgan, IIS ve SharePoint sunucularındaki ViewState seri hale getirme hatalarını kötüye kullanarak özel bir ShadowPad IIS Dinleyici modülü kurar. Bu, ele geçirilen sunucuları saldırganın komuta ve kontrol ağının aktif bileşenlerine dönüştürerek trafiği ve komutları yönlendirmelerini ve dayanıklılığı önemli ölçüde artırmalarını sağlar.
Yerel Saldırıdan Küresel Aktarım Ağına
Bu mimari, trafiğin yalnızca tek bir kuruluşun derinliklerine değil, aynı zamanda tamamen ayrı kurban ağlarına da yönlendirilmesine olanak tanır. Sonuç olarak, ele geçirilen bir sunucu, daha geniş, çok katmanlı bir altyapıda sessizce aracı haline gelebilir. Dinleyici modülü, uzaktan komut yürütmeyi destekleyerek operatörlere keşif ve yük hazırlama için doğrudan kontrol sağlar.
Sömürü Sonrası ve Ayrıcalık Artırma Taktikleri
ViewState istismarının ötesinde, Ink Dragon, web shell'leri dağıtmak için ToolShell SharePoint güvenlik açıklarından da faydalandı. İlk saldırının ardından, saldırgan genellikle erişimi sağlamlaştırmak ve ayrıcalıkları yükseltmek için çeşitli eylemler gerçekleştirir:
- IIS makine anahtarlarını kullanarak yerel yönetici kimlik bilgilerini elde etmek ve RDP tünelleri aracılığıyla yatay olarak hareket etmek.
- Planlanmış görevler ve kötü amaçlı hizmetler aracılığıyla kalıcılık oluşturma
- LSASS belleğini dökümleme ve ayrıcalıkları yükseltmek için kayıt defteri kovanlarını çıkarma
- Giden trafiğe izin vermek ve sistemleri ShadowPad röle düğümlerine dönüştürmek için ana bilgisayar güvenlik duvarı kurallarını değiştirme.
Gelişmiş Kimlik Bilgisi Yeniden Kullanımı ve Alan Adı Güvenliğinin Tehlikeye Atılması
Gözlemlenen vakalardan en az birinde, saldırganlar, NTLMv2 yedeklemeli Ağ Düzeyi Kimlik Doğrulaması aracılığıyla kimliği doğrulanmış bir Etki Alanı Yöneticisine ait bağlantısı kesilmiş ancak aktif bir RDP oturumu tespit etti. Oturum kapatılmış ancak sonlandırılmamış olduğundan, hassas kimlik bilgileri LSASS belleğinde kaldı. Sistem düzeyinde erişim elde ettikten sonra, Ink Dragon belirteci çıkardı ve bunu kimlik doğrulamalı SMB işlemleri gerçekleştirmek, yönetimsel paylaşımlara yazmak ve NTDS.dit ile kayıt defteri kovanlarını sızdırmak için yeniden kullandı.
Modüler Bir Kalıcılık Ekosistemi
Tek bir arka kapıya güvenmek yerine, Ink Dragon uzun vadeli erişimi sürdürmek için bir dizi özel bileşen kullanır. Gözlemlenen araçlar şunlardır:
- ShadowPad çekirdek modülünü bellekte şifresini çözüp çalıştırmak için kullanılan ShadowPad Yükleyici.
- Microsoft'un konsol hata ayıklayıcısını kötüye kullanarak shellcode çalıştıran ve şifrelenmiş yükleri yükleyen CDBLoader.
- LSASS belleğini çıkarmak için LalsDumper
- 032Loader, ek yüklerin şifresini çözmek ve çalıştırmak için kullanılır.
- FINALDRAFT, Outlook ve Microsoft Graph'ı komuta ve kontrol için kullanan, modernleştirilmiş bir uzaktan yönetim aracıdır.
FINALDRAFT’ın Evrimi
Grup yakın zamanda daha fazla gizlilik ve daha hızlı veri sızdırma için tasarlanmış yeni bir FINALDRAFT varyantı kullanıma sundu. Gelişmiş kaçınma yöntemleri sunuyor, çok aşamalı yük teslimatını destekliyor ve gizli yatay hareket imkanı sağlıyor. Komutlar, kurbanın posta kutusuna yerleştirilen şifrelenmiş belgeler olarak iletiliyor; implant bu belgeleri alıyor, şifresini çözüyor ve modüler bir komut çerçevesi aracılığıyla yürütüyor.
Diğer Tehdit Aktörleriyle Örtüşme
Araştırmacılar ayrıca, Ink Dragon tarafından ele geçirilen çeşitli ortamlarda Çin'le bağlantılı bir diğer grup olan REF3927 (RudePanda olarak da biliniyor) grubunun izlerine rastladılar. İki grup arasında bir koordinasyon olduğuna dair hiçbir kanıt yok ve örtüşmenin, altyapı veya operasyonları paylaşmaktan ziyade, her iki aktörün de benzer ilk erişim yollarını kullanmasından kaynaklandığı düşünülüyor.
Savunmacılar İçin Yeni Bir Tehdit Modeli
Ink Dragon, enfekte olmuş sunucular ve komuta altyapısı arasındaki geleneksel çizgiyi bulanıklaştırıyor. Her ele geçirilen sistem, her yeni kurbanla genişleyen, saldırgan tarafından kontrol edilen bir ağın işlevsel bir düğümü haline geliyor. Savunmacılar için bu, engellemenin yalnızca bireysel sistemlere odaklanamayacağı anlamına geliyor. Etkili bir kesinti, tüm röle zincirinin belirlenmesini ve ortadan kaldırılmasını gerektiriyor. Ink Dragon'ın ShadowPad'i röle merkezli kullanımı, şimdiye kadar gözlemlenen en olgun uygulamalardan birini temsil ediyor ve kurban ağlarını uzun vadeli, çok kuruluşlu casusluk kampanyalarının omurgasına dönüştürüyor.
