FINALDRAFT Backdoor
自2025年7月以來,通常被稱為「寶石蟲」(Jewelbug)的威脅組織加強了對歐洲政府機構的攻擊力度,同時仍持續對東南亞和南美洲的目標發動攻擊。研究人員將這一活動集群追蹤為「墨龍」(Ink Dragon),該組織在更廣泛的安全領域也被稱為CL-STA-0049、Earth Alux和REF7707。根據評估,該組織與中國有關聯,並且至少自2023年3月以來一直保持持續的活動。
目錄
多重身份,一個協調集群
Ink Dragon的攻擊活動體現了其成熟且嚴謹的入侵能力。其操作人員將強大的軟體工程技術與可重複的操作流程相結合,並經常利用平台內建工具將惡意活動混入合法的企業遙測資料中。這種精心設計的攻擊手法顯著提高了隱蔽性,並增加了偵測難度。
範圍、目標和持續影響
該攻擊活動仍在進行中,已造成數十人受害。受影響的機構涵蓋歐洲、亞洲和非洲的政府機構和電信業者。受害者範圍之廣,既凸顯了攻擊者基礎設施的可擴展性,也體現了其對高價值網路的戰略興趣。
早期可見性與主要惡意軟體家族
2025年2月,Ink Dragon惡意軟體的公開資訊開始浮出水面,當時研究人員記錄了其使用FINALDRAFT後門程式(又稱Squidoor)的情況。該惡意軟體同時支援Windows和Linux環境。最近,該組織也被指與一起針對俄羅斯IT服務提供者長達五個月的入侵事件有關,凸顯了其維持長期隱蔽訪問的能力。
初始訪問和有效載荷交付
Ink Dragon 通常透過攻擊存在漏洞的面向互聯網的 Web 應用程式來入侵系統。他們會利用這些漏洞部署 Web Shell,然後將其作為跳板,發射 VARGEIT 和 Cobalt Strike 等其他工具。這些有效載荷支援指揮控制通訊、內部偵察、橫向移動、繞過防禦以及資料竊取。
濫用雲端服務和合法服務
該組織使用的二級後門之一是 NANOREMOTE,它利用 Google Drive API 在受感染主機和攻擊者控制的基礎設施之間交換文件。工具的選擇似乎是經過深思熟慮且與具體情況相關的,這表明攻擊者會根據受害者的環境自訂部署方案,並傾向於使用類似於正常可信任流量模式的技術。
ViewState漏洞利用和C2基礎設施劫持
Ink Dragon 攻擊策略中的一個關鍵技巧是利用 ASP.NET 伺服器金鑰的弱點或管理不善。攻擊者透過濫用 IIS 和 SharePoint 伺服器中的 ViewState 反序列化漏洞,安裝自訂的 ShadowPad IIS 監聽器模組。這使得受感染的伺服器成為攻擊者命令與控製網路的活躍元件,使其能夠代理流量和命令,並顯著提高網路的彈性。
從本地漏洞到全球中繼網絡
這種架構不僅允許流量深入單一組織內部,還能跨越完全獨立的受害網路。因此,一台被攻破的伺服器可以悄無聲息地成為更廣泛的多層基礎設施中的中間節點。監聽模組本身支援遠端命令執行,使操作人員能夠直接控制偵察和有效載荷部署。
後滲透和權限提升策略
除了利用 ViewState 漏洞外,Ink Dragon 還利用 ToolShell SharePoint 漏洞部署 Web Shell。在初始入侵後,攻擊者通常會執行以下幾個操作來鞏固存取權限並提升權限:
- 利用 IIS 機器金鑰取得本機管理員憑證,並透過 RDP 隧道進行橫向移動
- 透過排程任務和惡意服務建立持久性
- 轉儲 LSASS 記憶體並提取註冊表單元以提升權限
- 修改主機防火牆規則以允許出站流量,並將系統轉換為 ShadowPad 中繼節點
高級憑證重用和域入侵
在至少一起已觀察到的案例中,攻擊者發現了一個已斷開連接但仍處於活動狀態的遠端桌面會話,該會話屬於一位網域管理員,並透過網路層級身份驗證(使用 NTLMv2 作為回退機制)進行了身份驗證。由於該會話處於註銷狀態但未終止,敏感憑證資訊仍保留在 LSASS 記憶體中。在獲得系統級存取權限後,Ink Dragon 提取了令牌,並重複使用該令牌執行經過身份驗證的 SMB 操作、寫入管理共享以及竊取 NTDS.dit 檔案和註冊表單元。
模組化持久化生態系統
Ink Dragon 並非依賴單一後門,而是採用一系列專用元件來維持長期存取權限。已發現的工具包括:
- ShadowPad 載入器用於解密和執行記憶體中的 ShadowPad 核心模組
- CDBLoader 濫用微軟的控制台偵錯器來執行 shellcode 並載入加密的有效載荷。
- LalsDumper 用於提取 LSASS 內存
- 032Loader 用於解密和運行其他有效載荷
- Final Draft 是一款現代化的遠端管理工具,它利用 Outlook 和 Microsoft Graph 進行命令與控制。
Final Draft 的演變
該組織近期部署了一種名為 FINALDRAFT 的新型變種程序,旨在提高隱藏性和資料竊取速度。它引入了先進的規避方法,支援多階段有效載荷投放,並可實現隱藏的橫向移動。指令以加密文檔的形式放置在受害者的郵箱中,植入程式會檢索、解密這些文檔,並透過模組化命令框架執行指令。
與其他威脅行為者的重疊
調查人員也在多個被Ink Dragon入侵的環境中發現了另一個與中國有關的組織REF3927(又稱RudePanda)的蹤跡。目前沒有證據表明這兩個組織之間存在協調,據信重疊的原因在於雙方使用了相似的初始入侵途徑,而不是共享基礎設施或運作方式。
面向防御者的新威脅模型
Ink Dragon模糊了受感染主機和指揮基礎設施之間的傳統界線。每個被入侵的系統都會成為攻擊者控制的網路中的功能節點,該網路會隨著每個新受害者的出現而擴展。對於防禦者而言,這意味著遏制措施不能僅僅關注單一系統。有效的破壞需要識別並瓦解整個中繼鏈。 Ink Dragon以中繼為中心使用ShadowPad是迄今為止最成熟的實現方式之一,它有效地將受害者網路本身變成了長期、跨組織的間諜活動的骨幹。
