FINALDRAFT Бекдор
Зловмисник, якого зазвичай називають Jewelbug, з липня 2025 року посилив свою увагу на європейських урядових організаціях, водночас продовжуючи активні операції проти цілей у Південно-Східній Азії та Південній Америці. Дослідники відстежують цей кластер активності як Ink Dragon, також відомий у ширшій спільноті безпеки як CL-STA-0049, Earth Alux та REF7707. Вважається, що цей актор пов'язаний з Китаєм і демонструє стійку активність щонайменше з березня 2023 року.
Зміст
Множинні ідентичності, один скоординований кластер
Кампанії Ink Dragon відображають зрілу та дисципліновану здатність до вторгнень. Її оператори поєднують сильні навички розробки програмного забезпечення з повторюваними операційними схемами, часто покладаючись на вбудовані утиліти платформи для поєднання шкідливої активності з легітимною корпоративною телеметрією. Цей навмисний трюк значно підвищує прихованість та ускладнює виявлення.
Обсяг, цілі та постійний вплив
Кампанія залишається активною та вже торкнулася кількох десятків жертв. Постраждалі організації охоплюють державні установи та постачальників телекомунікаційних послуг по всій Європі, Азії та Африці. Широкий спектр жертв підкреслює як масштабованість інфраструктури учасника, так і його стратегічний інтерес до мереж високої цінності.
Рання видимість та ключові сімейства шкідливих програм
Публічна інформація про Ink Dragon з'явилася в лютому 2025 року, коли дослідники задокументували використання нею бекдора FINALDRAFT, також відомого як Squidoor. Це шкідливе програмне забезпечення підтримується як у середовищах Windows, так і Linux. Зовсім недавно групу пов'язали з тривалим п'ятимісячним вторгненням на російського постачальника ІТ-послуг, що підкреслило її здатність підтримувати довгостроковий прихований доступ.
Початковий доступ та доставка корисного навантаження
Зазвичай Ink Dragon отримує доступ до системи, використовуючи вразливі веб-додатки, що працюють в Інтернеті. Ці слабкі місця використовуються для розгортання веб-оболочек, які потім служать точками запуску для додаткових інструментів, таких як VARGEIT та Cobalt Strike. Ці корисні навантаження підтримують зв'язок командування та управління, внутрішню розвідку, горизонтальне переміщення, обхід оборони та крадіжку даних.
Зловживання хмарними та легітимними сервісами
Серед вторинних бекдорів групи є NANOREMOTE, який використовує API Google Диска для обміну файлами між зараженими хостами та інфраструктурою, контрольованою зловмисником. Вибір інструментів виглядає навмисним та ситуативним, що свідчить про те, що оператори адаптують розгортання до середовища жертви та надають перевагу методам, що нагадують звичайні, перевірені моделі трафіку.
Експлуатація ViewState та захоплення інфраструктури C2
Визначальною технікою в посібнику Ink Dragon є використання слабких або неправильно керованих ключів машин ASP.NET. Зловживаючи недоліками десеріалізації ViewState на серверах IIS та SharePoint, зловмисник встановлює спеціальний модуль ShadowPad IIS Listener. Це перетворює скомпрометовані сервери на активні компоненти мережі командування та управління зловмисника, дозволяючи йому проксіювати трафік і команди та значно підвищуючи стійкість.
Від локального порушення до глобальної мережі ретрансляції
Така архітектура дозволяє направляти трафік не лише глибше в одну організацію, але й через повністю окремі мережі жертви. В результаті, один скомпрометований сервер може непомітно стати посередником у ширшій багаторівневій інфраструктурі. Сам модуль слухача підтримує віддалене виконання команд, надаючи операторам прямий контроль над розвідкою та розміщенням корисного навантаження.
Тактики пост-експлуатації та ескалації привілеїв
Окрім зловживання ViewState, Ink Dragon використав уразливості ToolShell SharePoint для розгортання веб-оболок. Після початкової компрометації зловмисник зазвичай виконує кілька дій для закріплення доступу та підвищення привілеїв:
- Використання ключів машин IIS для отримання локальних адміністративних облікових даних та горизонтального переміщення через тунелі RDP
- Встановлення стійкості за допомогою запланованих завдань та шкідливих служб
- Видалення дампа пам'яті LSASS та вилучення кущів реєстру для підвищення привілеїв
- Зміна правил брандмауера хоста для дозволу вихідного трафіку та перетворення систем на вузли ретрансляції ShadowPad
Розширене повторне використання облікових даних та компрометація домену
Принаймні в одному спостережуваному випадку зловмисники виявили відключений, але активний сеанс RDP, що належить адміністратору домену, автентифікованому за допомогою автентифікації на рівні мережі з резервним варіантом NTLMv2. Оскільки сеанс залишався виведеним із системи, але не завершеним, конфіденційний матеріал облікових даних зберігався в пам'яті LSASS. Після отримання доступу на рівні SYSTEM, Ink Dragon витягла токен і повторно використала його для виконання автентифікованих операцій SMB, запису до адміністративних спільних ресурсів, а також вилучення NTDS.dit і кущів реєстру.
Модульна екосистема стійкості
Замість того, щоб покладатися на один бекдор, Ink Dragon використовує набір спеціалізованих компонентів для забезпечення довгострокового доступу. Спостережувані інструменти включають:
- Завантажувач ShadowPad для розшифрування та виконання основного модуля ShadowPad у пам'яті
- CDBLoader, який використовує консольний відладчик Microsoft для виконання шелл-коду та завантаження зашифрованих корисних даних.
- LalsDumper для вилучення пам'яті LSASS
- 032Loader для розшифрування та запуску додаткових корисних навантажень
- FINALDRAFT, модернізований інструмент віддаленого адміністрування, який використовує Outlook та Microsoft Graph для командного керування
Еволюція FINALDRAFT
Нещодавно група розгорнула новий варіант FINALDRAFT, розроблений для більшої прихованості та швидшого вилучення даних. Він запроваджує вдосконалені методи ухилення, підтримує багатоетапну доставку корисного навантаження та забезпечує приховане горизонтальне переміщення. Команди доставляються у вигляді закодованих документів, що розміщуються у поштовій скриньці жертви, які імплантат отримує, розшифровує та виконує за допомогою модульної структури команд.
Збіг з іншими суб’єктами загроз
Слідчі також виявили сліди іншої пов'язаної з Китаєм групи, REF3927, також відомої як RudePanda, у кількох середовищах, скомпрометованих Ink Dragon. Немає жодних доказів координації між ними, і вважається, що перекриття пов'язане з тим, що обидва учасники використовують схожі початкові вектори доступу, а не спільну інфраструктуру чи операції.
Нова модель загроз для захисників
Ink Dragon розмиває традиційну межу між зараженими хостами та командною інфраструктурою. Кожна скомпрометована система стає функціональним вузлом у мережі, контрольованій зловмисником, яка розширюється з кожною новою жертвою. Для захисників це означає, що стримування не може зосереджуватися виключно на окремих системах. Ефективне руйнування вимагає виявлення та демонтажу всього ланцюжка ретрансляції. Використання ShadowPad Ink Dragon, орієнтоване на ретрансляцію, є однією з найзріліших реалізацій, що спостерігалися досі, фактично перетворюючи самі мережі жертв на основу довгострокових шпигунських кампаній за участю багатьох організацій.
