Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại FINALDRAFT Backdoor

FINALDRAFT Backdoor

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT), Cửa sau
Dịch sang:

Nhóm tin tặc thường được gọi là Jewelbug đã tăng cường tập trung vào các tổ chức chính phủ châu Âu kể từ tháng 7 năm 2025, đồng thời vẫn duy trì các hoạt động tích cực chống lại các mục tiêu ở Đông Nam Á và Nam Mỹ. Các nhà nghiên cứu theo dõi cụm hoạt động này với tên gọi Ink Dragon, một nhóm cũng được biết đến trong cộng đồng an ninh rộng lớn hơn với các tên gọi CL-STA-0049, Earth Alux và REF7707. Nhóm này được đánh giá là có liên kết với Trung Quốc và đã thể hiện hoạt động liên tục kể từ ít nhất tháng 3 năm 2023.

Nhiều bản sắc, một cụm phối hợp.

Các chiến dịch của Ink Dragon phản ánh khả năng xâm nhập bài bản và chuyên nghiệp. Các chuyên gia của họ kết hợp kỹ năng kỹ thuật phần mềm vững chắc với các kịch bản vận hành có thể lặp lại, thường dựa vào các tiện ích tích hợp sẵn của nền tảng để hòa trộn hoạt động độc hại vào dữ liệu đo từ xa hợp pháp của doanh nghiệp. Kỹ thuật tinh vi này giúp tăng cường đáng kể khả năng tàng hình và làm phức tạp việc phát hiện.

Phạm vi, mục tiêu và tác động liên tục

Chiến dịch này vẫn đang hoạt động và đã ảnh hưởng đến hàng chục nạn nhân. Các tổ chức bị ảnh hưởng bao gồm các cơ quan chính phủ và nhà cung cấp dịch vụ viễn thông trên khắp châu Âu, châu Á và châu Phi. Phạm vi nạn nhân rộng lớn cho thấy cả khả năng mở rộng cơ sở hạ tầng của tin tặc và lợi ích chiến lược của chúng trong các mạng lưới có giá trị cao.

Khả năng phát hiện sớm và các họ phần mềm độc hại chính

Thông tin công khai về Ink Dragon xuất hiện vào tháng 2 năm 2025, khi các nhà nghiên cứu ghi nhận việc nhóm này sử dụng phần mềm độc hại FINALDRAFT, còn được gọi là Squidoor. Phần mềm độc hại này hỗ trợ cả môi trường Windows và Linux. Gần đây hơn, nhóm này được cho là có liên quan đến một vụ xâm nhập kéo dài năm tháng nhằm vào một nhà cung cấp dịch vụ CNTT của Nga, cho thấy khả năng duy trì quyền truy cập bí mật lâu dài của chúng.

Truy cập ban đầu và phân phối tải trọng

Ink Dragon thường xâm nhập bằng cách khai thác các ứng dụng web dễ bị tổn thương, có kết nối internet. Những điểm yếu này bị lợi dụng để triển khai các web shell, sau đó đóng vai trò là điểm khởi đầu cho các công cụ bổ sung như VARGEIT và Cobalt Strike. Các phần mềm độc hại này hỗ trợ liên lạc điều khiển, trinh sát nội bộ, di chuyển ngang, né tránh phòng thủ và đánh cắp dữ liệu.

Lạm dụng dịch vụ đám mây và dịch vụ hợp pháp

Trong số các phần mềm độc hại thứ cấp của nhóm này có NANOREMOTE, sử dụng API của Google Drive để trao đổi tập tin giữa các máy chủ bị nhiễm và cơ sở hạ tầng do kẻ tấn công kiểm soát. Việc lựa chọn công cụ dường như có chủ đích và tùy thuộc vào tình huống, cho thấy rằng các nhà điều hành điều chỉnh việc triển khai cho phù hợp với môi trường của nạn nhân và ưu tiên các kỹ thuật giống với các mô hình lưu lượng truy cập thông thường, đáng tin cậy.

Khai thác trạng thái xem và chiếm đoạt cơ sở hạ tầng C2

Một kỹ thuật quan trọng trong chiến thuật của Ink Dragon là khai thác các khóa máy ASP.NET yếu hoặc bị quản lý sai. Bằng cách lợi dụng các lỗ hổng trong quá trình giải mã ViewState trên máy chủ IIS và SharePoint, kẻ tấn công cài đặt một mô-đun ShadowPad IIS Listener tùy chỉnh. Điều này biến các máy chủ bị xâm nhập thành các thành phần hoạt động trong mạng điều khiển của kẻ tấn công, cho phép chúng chuyển tiếp lưu lượng và lệnh, từ đó tăng cường đáng kể khả năng phục hồi.

Từ xâm nhập cục bộ đến mạng lưới chuyển tiếp toàn cầu

Kiến trúc này cho phép định tuyến lưu lượng truy cập không chỉ sâu vào bên trong một tổ chức mà còn xuyên suốt các mạng lưới nạn nhân hoàn toàn riêng biệt. Kết quả là, một máy chủ bị xâm nhập có thể âm thầm trở thành trung gian trong một cơ sở hạ tầng đa tầng rộng lớn hơn. Bản thân mô-đun lắng nghe hỗ trợ thực thi lệnh từ xa, cho phép người điều hành kiểm soát trực tiếp để trinh sát và chuẩn bị tải trọng.

Chiến thuật khai thác và leo thang đặc quyền sau khi bị lợi dụng

Ngoài việc lạm dụng ViewState, Ink Dragon còn sử dụng các lỗ hổng ToolShell của SharePoint để triển khai web shell. Sau khi xâm nhập ban đầu, kẻ tấn công thường thực hiện một số hành động để củng cố quyền truy cập và leo thang đặc quyền:

  • Sử dụng khóa máy IIS để lấy thông tin đăng nhập quản trị cục bộ và di chuyển ngang qua đường hầm RDP.
  • Thiết lập khả năng duy trì hoạt động thông qua các tác vụ theo lịch trình và các dịch vụ độc hại.
  • Trích xuất bộ nhớ LSASS và các nhánh registry để nâng cao đặc quyền.
  • Thay đổi các quy tắc tường lửa của máy chủ để cho phép lưu lượng truy cập đi ra và chuyển đổi hệ thống thành các nút chuyển tiếp ShadowPad.

Tái sử dụng thông tin đăng nhập nâng cao và xâm phạm tên miền

Trong ít nhất một trường hợp được quan sát, những kẻ tấn công đã xác định được một phiên RDP bị ngắt kết nối nhưng vẫn đang hoạt động thuộc về Quản trị viên miền được xác thực thông qua Xác thực cấp độ mạng với cơ chế dự phòng NTLMv2. Vì phiên này vẫn bị đăng xuất nhưng không bị chấm dứt, nên thông tin xác thực nhạy cảm vẫn còn tồn tại trong bộ nhớ LSASS. Sau khi giành được quyền truy cập cấp độ HỆ THỐNG, Ink Dragon đã trích xuất mã thông báo và sử dụng lại nó để thực hiện các thao tác SMB được xác thực, ghi vào các thư mục chia sẻ quản trị và đánh cắp tệp NTDS.dit và các khóa registry.

Một hệ sinh thái bền vững dạng mô-đun

Thay vì chỉ dựa vào một "cửa hậu" duy nhất, Ink Dragon sử dụng một tập hợp các thành phần chuyên dụng để duy trì quyền truy cập lâu dài. Các công cụ được quan sát bao gồm:

  • ShadowPad Loader dùng để giải mã và thực thi mô-đun lõi ShadowPad trong bộ nhớ.
  • CDBLoader, phần mềm lợi dụng trình gỡ lỗi console của Microsoft để thực thi shellcode và tải các payload được mã hóa.
  • LalsDumper dùng để trích xuất bộ nhớ LSASS
  • 032Loader dùng để giải mã và chạy các payload bổ sung.
  • FINALDRAFT, một công cụ quản trị từ xa hiện đại hóa, lợi dụng Outlook và Microsoft Graph để điều khiển và kiểm soát.

Sự phát triển của FINALDRAFT

Nhóm này gần đây đã triển khai một biến thể FINALDRAFT mới được thiết kế để tăng cường khả năng tàng hình và tốc độ đánh cắp dữ liệu. Nó tích hợp các phương pháp né tránh tiên tiến, hỗ trợ phân phối tải trọng nhiều giai đoạn và cho phép di chuyển ngang bí mật. Các lệnh được gửi dưới dạng tài liệu được mã hóa đặt trong hộp thư của nạn nhân, mà phần mềm cấy ghép sẽ thu thập, giải mã và thực thi thông qua một khung lệnh mô-đun.

Trùng lặp với các tác nhân đe dọa khác

Các nhà điều tra cũng đã xác định được dấu vết của một nhóm khác có liên hệ với Trung Quốc, REF3927, còn được gọi là RudePanda, trong một số môi trường bị Ink Dragon xâm nhập. Không có bằng chứng về sự phối hợp giữa hai nhóm, và sự trùng lặp được cho là xuất phát từ việc cả hai nhóm đều khai thác các phương thức truy cập ban đầu tương tự chứ không phải chia sẻ cơ sở hạ tầng hoặc hoạt động.

Mô hình mối đe dọa mới dành cho người phòng thủ

Ink Dragon làm mờ ranh giới truyền thống giữa các máy chủ bị nhiễm và cơ sở hạ tầng điều khiển. Mỗi hệ thống bị xâm nhập trở thành một nút chức năng trong mạng lưới do kẻ tấn công kiểm soát, mạng lưới này mở rộng với mỗi nạn nhân mới. Đối với người phòng thủ, điều này có nghĩa là việc ngăn chặn không thể chỉ tập trung vào các hệ thống riêng lẻ. Việc phá vỡ hiệu quả đòi hỏi phải xác định và phá hủy toàn bộ chuỗi chuyển tiếp. Việc Ink Dragon sử dụng ShadowPad theo hướng tập trung vào chuỗi chuyển tiếp đại diện cho một trong những triển khai hoàn thiện nhất được quan sát cho đến nay, biến chính mạng lưới của nạn nhân thành xương sống của các chiến dịch gián điệp đa tổ chức dài hạn.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,272
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...