С июля 2025 года хакерская группа, известная как Jewelbug (в кибербезопасности также фигурирует под именами Ink Dragon, CL‑STA‑0049, Earth Alux и REF7707), активизировала атаки на государственные структуры в Европе. При этом злоумышленники не прекращают операций в Юго‑Восточной Азии и Южной Америке. По данным Check Point Research, группировка действует с марта 2023 года и демонстрирует высокий уровень технической изощрённости.
Как устроены атаки: ключевые механизмы и инструменты
Эксперты отмечают, что кампании Ink Dragon сочетают:
• продуманную программную инженерию;
• чёткие операционные сценарии;
• умелое использование встроенных инструментов ОС для маскировки под легитимный трафик.
Это делает вторжения эффективными и труднообнаруживаемыми.
Эли Смаджа (Eli Smadja), руководитель группы разработки продуктов в Check Point Software, подтвердил, что атаки продолжаются. По его словам, жертвами стали «несколько десятков организаций», включая госучреждения и телекоммуникационные компании в Европе, Азии и Африке.
Основные вредоносные инструменты
1. FINALDRAFT (также известен как Squidoor).
Этот бэкдор способен заражать системы на базе Windows и Linux. В обновлённой версии злоумышленники усилили скрытность, увеличили скорость передачи данных и внедрили продвинутые методы уклонения от обнаружения.
• Механизм работы: операторы отправляют закодированные команды в почтовый ящик жертвы. Вредоносная программа извлекает, расшифровывает и выполняет их.
• Особенности: использует Outlook и Microsoft Graph API для управления (C2).
2. ShadowPad.
Ключевой компонент инфраструктуры управления. Включает:
-ShadowPad Loader — расшифровывает и запускает основной модуль в памяти;
-IIS Listener — превращает скомпрометированные серверы IIS и SharePoint в узлы C2, позволяя маршрутизировать трафик между сетями.
3. NANOREMOTE.
Бэкдор, использующий Google Drive API для передачи файлов между сервером управления и заражённой системой. Check Point не зафиксировал его в своих расследованиях, что может указывать на выборочное применение.
4. Вспомогательные загрузчики:
• CDBLoader — использует отладчик cdb.exe для запуска шелл‑кода;
• LalsDumper — извлекает дампы LSASS;
• 032Loader — расшифровывает и исполняет полезные нагрузки.
Тактики и техники вторжения
Атаки строятся на комбинации уязвимостей и многоэтапных цепочек:
1. Начальный доступ:
• эксплуатация уязвимых веб‑приложений для развёртывания веб‑шеллов;
• использование предсказуемых или неправильно настроенных ключей ASP.NET для атак на ViewState deserialization.
2. Закрепление в системе:
• создание запланированных задач и служб для устойчивости;
• модификация правил брандмауэра для разрешения исходящего трафика;
• превращение заражённых хостов в узлы ShadowPad relay network.
3. Продвижение по сети:
• получение локальных административных прав через ключи IIS;
• использование RDP‑туннелей для горизонтального перемещения;
• дампинг LSASS и извлечение кустов реестра для повышения привилегий.
4. Эксфильтрация данных:
• копирование файлов NTDS.dit и кустов реестра;
• маршрутизация трафика через скомпрометированные сети для маскировки.
Пример сложной атаки
В одном из случаев злоумышленники обнаружили неактивный RDP‑сеанс администратора домена, аутентифицированный через CredSSP с использованием NTLMv2. Поскольку сеанс не был завершён, LSASS сохранил токен входа и верификатор NTLM в памяти.
Действия хакеров:
• получение доступа уровня SYSTEM;
• извлечение токена и, возможно, ключей NTLM;
• выполнение аутентифицированных операций SMB;
• запись в административные ресурсы и эксфильтрация критически важных данных.
Сопутствующие угрозы
Check Point обнаружила следы другой группы — REF3927 (известной как RudePanda) — в некоторых сетях, атакованных Ink Dragon. Пока нет доказательств их сотрудничества, но обе группировки, вероятно, использовали схожие методы первоначального доступа.
Выводы и рекомендации
Ink Dragon демонстрирует новую модель угроз, где граница между «скомпрометированным хостом» и «инфраструктурой управления» стирается. Каждый заражённый узел становится частью глобальной сети, управляемой злоумышленниками.
Ключевые вызовы для защитников:
• необходимость рассматривать вторжения не как локальные инциденты, а как звенья внешней экосистемы;
• важность выявления и ликвидации всей цепочки ретрансляторов, а не отдельных узлов;
• повышенное внимание к защите IIS, SharePoint и RDP‑сессий.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Компания Samsung официально объявила о выпуске нового процессора Exynos 2600, который построен на ультратонком 2-нм техпроцессе Gate-All-Around (GAA). Новый чип обещает стать мощным решением для грядущих поколений смартфонов, начиная с линейки Galaxy S26, представленной в феврале 2026 года.
Специалисты по кибербезопасности из компании Gen выявили изощрённый метод компрометации аккаунтов WhatsApp, получивший название GhostPairing. В отличие от традиционных способов взлома (подбор паролей, перехват СМС‑кодов), эта схема опирается на социальную инженерию — злоумышленники заставляют пользователя самостоятельно предоставить доступ к аккаунту, маскируя атаку под легитимные действия.
В современных версиях Android реализована удобная функция многопользовательских профилей — она позволяет нескольким людям безопасно пользоваться одним устройством, сохраняя приватность данных. Особенно востребована эта возможность на планшетах, которые часто становятся «семейным» гаджетом: каждый пользователь получает изолированное пространство с персональными приложениями, файлами и настройками.