FINALDRAFT Backdoor
自2025年7月以来,通常被称为“宝石虫”(Jewelbug)的威胁组织加大了对欧洲政府机构的攻击力度,同时仍持续对东南亚和南美洲的目标发动攻击。研究人员将这一活动集群追踪为“墨龙”(Ink Dragon),该组织在更广泛的安全领域也被称为CL-STA-0049、Earth Alux和REF7707。据评估,该组织与中国有关联,并且至少自2023年3月以来一直保持着持续的活动。
目录
多重身份,一个协调集群
Ink Dragon的攻击活动体现了其成熟且严谨的入侵能力。其操作人员将强大的软件工程技术与可重复的操作流程相结合,并经常利用平台内置工具将恶意活动混入合法的企业遥测数据中。这种精心设计的攻击手法显著提高了隐蔽性,并增加了检测难度。
范围、目标和持续影响
该攻击活动仍在进行中,已造成数十人受害。受影响的机构涵盖欧洲、亚洲和非洲的政府机构和电信运营商。受害者范围之广,既凸显了攻击者基础设施的可扩展性,也体现了其对高价值网络的战略兴趣。
早期可见性和主要恶意软件家族
2025年2月,Ink Dragon恶意软件的公开信息开始浮出水面,当时研究人员记录了其使用FINALDRAFT后门程序(又名Squidoor)的情况。该恶意软件同时支持Windows和Linux环境。最近,该组织还被指与一起针对俄罗斯IT服务提供商长达五个月的入侵事件有关,凸显了其维持长期隐蔽访问的能力。
初始访问和有效载荷交付
Ink Dragon 通常通过攻击存在漏洞的面向互联网的 Web 应用程序来入侵系统。他们会利用这些漏洞部署 Web Shell,然后将其作为跳板,发射 VARGEIT 和 Cobalt Strike 等其他工具。这些有效载荷支持指挥控制通信、内部侦察、横向移动、绕过防御以及数据窃取。
滥用云服务和合法服务
该组织使用的二级后门之一是 NANOREMOTE,它利用 Google Drive API 在受感染主机和攻击者控制的基础设施之间交换文件。工具的选择似乎是经过深思熟虑且与具体情况相关的,这表明攻击者会根据受害者的环境定制部署方案,并倾向于使用类似于正常可信流量模式的技术。
ViewState漏洞利用和C2基础设施劫持
Ink Dragon 攻击策略中的一个关键技巧是利用 ASP.NET 服务器密钥的薄弱环节或管理不善。攻击者通过滥用 IIS 和 SharePoint 服务器中的 ViewState 反序列化漏洞,安装自定义的 ShadowPad IIS 监听器模块。这使得受感染的服务器成为攻击者命令与控制网络的活跃组件,使其能够代理流量和命令,并显著提高网络的弹性。
从本地漏洞到全球中继网络
这种架构不仅允许流量深入单个组织内部,还能跨越完全独立的受害网络。因此,一台被攻破的服务器可以悄无声息地成为更广泛的多层基础设施中的中间节点。监听模块本身支持远程命令执行,使操作人员能够直接控制侦察和有效载荷部署。
后渗透和权限提升策略
除了利用 ViewState 漏洞外,Ink Dragon 还利用 ToolShell SharePoint 漏洞部署 Web Shell。在初始入侵后,攻击者通常会执行以下几个操作来巩固访问权限并提升权限:
- 利用 IIS 机器密钥获取本地管理员凭据,并通过 RDP 隧道进行横向移动
- 通过计划任务和恶意服务建立持久性
- 转储 LSASS 内存并提取注册表单元以提升权限
- 修改主机防火墙规则以允许出站流量,并将系统转换为 ShadowPad 中继节点
高级凭证重用和域入侵
在至少一起已观察到的案例中,攻击者发现了一个已断开连接但仍处于活动状态的远程桌面会话,该会话属于一位域管理员,并通过网络级身份验证(使用 NTLMv2 作为回退机制)进行了身份验证。由于该会话处于注销状态但未被终止,敏感凭据信息仍然保留在 LSASS 内存中。在获得系统级访问权限后,Ink Dragon 提取了令牌,并重复使用该令牌执行经过身份验证的 SMB 操作、写入管理共享以及窃取 NTDS.dit 文件和注册表单元。
模块化持久化生态系统
Ink Dragon 并非依赖单一后门,而是采用一系列专用组件来维持长期访问权限。已发现的工具包括:
- ShadowPad 加载器用于解密和执行内存中的 ShadowPad 核心模块
- CDBLoader 滥用微软的控制台调试器来执行 shellcode 并加载加密的有效载荷。
- LalsDumper 用于提取 LSASS 内存
- 032Loader 用于解密和运行其他有效载荷
- Final Draft 是一款现代化的远程管理工具,它利用 Outlook 和 Microsoft Graph 进行命令与控制。
Final Draft 的演变
该组织近期部署了一种名为 FINALDRAFT 的新型变种程序,旨在提高隐蔽性和数据窃取速度。它引入了先进的规避方法,支持多阶段有效载荷投放,并可实现隐蔽的横向移动。指令以加密文档的形式放置在受害者的邮箱中,植入程序会检索、解密这些文档,并通过模块化命令框架执行指令。
与其他威胁行为者的重叠
调查人员还在多个被Ink Dragon入侵的环境中发现了另一个与中国有关联的组织REF3927(又名RudePanda)的踪迹。目前没有证据表明这两个组织之间存在协调,据信这种重叠是由于双方利用了相似的初始入侵途径,而非共享基础设施或运营方式。
面向防御者的新威胁模型
Ink Dragon模糊了受感染主机和指挥基础设施之间的传统界限。每个被入侵的系统都会成为攻击者控制的网络中的一个功能节点,该网络会随着每个新受害者的出现而扩展。对于防御者而言,这意味着遏制措施不能仅仅关注单个系统。有效的破坏需要识别并瓦解整个中继链。Ink Dragon以中继为中心使用ShadowPad是迄今为止最成熟的实现方式之一,它有效地将受害者网络本身变成了长期、跨组织的间谍活动的骨干。
