Ink Dragon: как китайская группировка взламывает госструктуры через ShadowPad и FINALDRAFT
Дата: 17.12.2025Просмотров: 2440
Ink Dragon: как китайская группировка взламывает госструктуры через ShadowPad и FINALDRAFT
С июля 2025 года хакерская группа, известная как Jewelbug (в кибербезопасности также фигурирует под именами Ink Dragon, CL‑STA‑0049, Earth Alux и REF7707), активизировала атаки на государственные структуры в Европе. При этом злоумышленники не прекращают операций в Юго‑Восточной Азии и Южной Америке. По данным Check Point Research, группировка действует с марта 2023 года и демонстрирует высокий уровень технической изощрённости.
Как устроены атаки: ключевые механизмы и инструменты
Эксперты отмечают, что кампании Ink Dragon сочетают:
• продуманную программную инженерию;
• чёткие операционные сценарии;
• умелое использование встроенных инструментов ОС для маскировки под легитимный трафик.
Это делает вторжения эффективными и труднообнаруживаемыми.
Эли Смаджа (Eli Smadja), руководитель группы разработки продуктов в Check Point Software, подтвердил, что атаки продолжаются. По его словам, жертвами стали «несколько десятков организаций», включая госучреждения и телекоммуникационные компании в Европе, Азии и Африке.
Основные вредоносные инструменты
1. FINALDRAFT (также известен как Squidoor).
Этот бэкдор способен заражать системы на базе Windows и Linux. В обновлённой версии злоумышленники усилили скрытность, увеличили скорость передачи данных и внедрили продвинутые методы уклонения от обнаружения.
• Механизм работы: операторы отправляют закодированные команды в почтовый ящик жертвы. Вредоносная программа извлекает, расшифровывает и выполняет их.
• Особенности: использует Outlook и Microsoft Graph API для управления (C2).
2. ShadowPad.
Ключевой компонент инфраструктуры управления. Включает:
-ShadowPad Loader — расшифровывает и запускает основной модуль в памяти;
-IIS Listener — превращает скомпрометированные серверы IIS и SharePoint в узлы C2, позволяя маршрутизировать трафик между сетями.
3. NANOREMOTE.
Бэкдор, использующий Google Drive API для передачи файлов между сервером управления и заражённой системой. Check Point не зафиксировал его в своих расследованиях, что может указывать на выборочное применение.
4. Вспомогательные загрузчики:
• CDBLoader — использует отладчик cdb.exe для запуска шелл‑кода;
• LalsDumper — извлекает дампы LSASS;
• 032Loader — расшифровывает и исполняет полезные нагрузки.
Тактики и техники вторжения
Атаки строятся на комбинации уязвимостей и многоэтапных цепочек:
1. Начальный доступ:
• эксплуатация уязвимых веб‑приложений для развёртывания веб‑шеллов;
• использование предсказуемых или неправильно настроенных ключей ASP.NET для атак на ViewState deserialization.
2. Закрепление в системе:
• создание запланированных задач и служб для устойчивости;
• модификация правил брандмауэра для разрешения исходящего трафика;
• превращение заражённых хостов в узлы ShadowPad relay network.
3. Продвижение по сети:
• получение локальных административных прав через ключи IIS;
• использование RDP‑туннелей для горизонтального перемещения;
• дампинг LSASS и извлечение кустов реестра для повышения привилегий.
4. Эксфильтрация данных:
• копирование файлов NTDS.dit и кустов реестра;
• маршрутизация трафика через скомпрометированные сети для маскировки.
Пример сложной атаки
В одном из случаев злоумышленники обнаружили неактивный RDP‑сеанс администратора домена, аутентифицированный через CredSSP с использованием NTLMv2. Поскольку сеанс не был завершён, LSASS сохранил токен входа и верификатор NTLM в памяти.
Действия хакеров:
• получение доступа уровня SYSTEM;
• извлечение токена и, возможно, ключей NTLM;
• выполнение аутентифицированных операций SMB;
• запись в административные ресурсы и эксфильтрация критически важных данных.
Сопутствующие угрозы
Check Point обнаружила следы другой группы — REF3927 (известной как RudePanda) — в некоторых сетях, атакованных Ink Dragon. Пока нет доказательств их сотрудничества, но обе группировки, вероятно, использовали схожие методы первоначального доступа.
Выводы и рекомендации
Ink Dragon демонстрирует новую модель угроз, где граница между «скомпрометированным хостом» и «инфраструктурой управления» стирается. Каждый заражённый узел становится частью глобальной сети, управляемой злоумышленниками.
Ключевые вызовы для защитников:
• необходимость рассматривать вторжения не как локальные инциденты, а как звенья внешней экосистемы;
• важность выявления и ликвидации всей цепочки ретрансляторов, а не отдельных узлов;
• повышенное внимание к защите IIS, SharePoint и RDP‑сессий.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Android: управление общим Wi‑Fi в многопользовательских профилях
Android: управление общим Wi‑Fi в многопользовательских профилях
В современных версиях Android реализована удобная функция многопользовательских профилей — она позволяет нескольким людям безопасно пользоваться одним устройством, сохраняя приватность данных. Особенно востребована эта возможность на планшетах, которые часто становятся «семейным» гаджетом: каждый пользователь получает изолированное пространство с персональными приложениями, файлами и настройками.
Взлом Pornhub: похищение данных премиум-пользователей через сервис аналитики
Взлом Pornhub: похищение данных премиум-пользователей через сервис аналитики
Недавно компания Pornhub сообщила своим пользователям о серьезном нарушении безопасности, в ходе которого была совершена кража конфиденциальных данных премиум-аккаунтов. Эта атака стала возможной благодаря уязвимости сторонней системы аналитики Mixpanel, используемой несколькими крупными компаниями, включая Pornhub.
Цена на память DDR5 стабилизируется через полгода, заявляет представитель Sapphire
Цена на память DDR5 стабилизируется через полгода, заявляет представитель Sapphire
По словам представителя Sapphire Эдварда Крислера, владельцам ПК, планирующим покупку оперативной памяти стандарта DDR5, рекомендуется подождать примерно шесть месяцев перед приобретением. Стоимость модулей DDR5 резко выросла, вызывая обеспокоенность геймерского сообщества относительно целесообразности инвестиций в современные игровые сборки.