Кытай менен байланышкан Ink Dragon тобу ShadowPad жана FINALDRAFT зияндуу программалары менен өкмөттөрдү хакерлеп жатат

Токто — Кытай менен байланышкан Ink Dragon деген коркунучтуу топ глобалдуу деңгээлге чыгып, Европа, Азия жана Африкадагы өкмөттүк жана телекоммуникациялык тармактарды коркунучтуу зияндуу программалар менен атап жатат. Алар системаларга кирүү үчүн ShadowPad жана FINALDRAFT колдонушат, бул алардын биринчи операциясы эмес.

Ink Dragon (ошондой эле RedHotel, TAG-74 же Earth Lusca деп аталат) 2021-жылдан бери активдүү, өкмөт, билим берүү жана телекоммуникация сыяктуу секторлорду атап жатат. Алар байкоодон качуу үчүн өз зияндуу программаларын жана living-off-the-land техникаларын колдонуу менен белгилүү.

Топтун акыркы кампаниясы көп кадамдуу чабуул чынжырын колдонот. Алар коомдук серверлердеги (IIS же SharePoint сыяктуу) начар жактарын пайдаланып, веб-шеллдарды түшүрүшөт. Андан кийин, алар ShadowPad — 2017-жылдан бери бар жана кытай APT топтору менен байланышкан модулдуу арткы эшикти орнотот. ShadowPad аларга командаларды аткарууга, маалыматтарды алууга жана тармак боюнча жылууга мүмкүндүк берет.

Бирок, бул дагы эмес. Алар ошондой эле FINALDRAFT, кошумча жүктөөлөр үчүн жүктөөчү катары иштеген жаңы зияндуу программаны колдонушат. Ал аныктоодон качуу үчүн Windows процесстерин жана C2 серверлери менен шифрленген байланышты колдонуу менен иштелип чыккан.

Ink Dragon бул жерде токтобойт. Алар пост-эксплуатация, аккаунт маалыматтарын алуу жана тармак боюнча жылуу үчүн Cobalt Strike сыяктуу куралдарды колдонушат. Алар ошондой эле кадимки тармак трафиги менен аралашуу үчүн мыйзамдуу административдик куралдарды (PsExec, WMI) колдонушат.

Машырааттар? Бир нече региондордогу өкмөттүк мекемелер, телекоммуникациялык провайдерлер жана билим берүү мекемелери. Топтун инфраструктурасы шектенүүдөн качуу үчүн мыйзамдуу кызматтарды туураган скомпрометирленген серверлерди жана домендерди камтыйт.

Эмне үчүн маанилүү? Ink Dragon критикалык инфраструктураны атаган мамлекеттик кибершпионаж топторунун чоң тенденциясынын бир бөлүгү. Алардын өнүккөн, туруктуу техникаларды колдонуулары айлар бою жашырынып калышып, сезимтал маалыматтарды уурдап, кызматтарды бузуу мүмкүнчүлүгүн билдирет.

Коргоочулар коомдук серверлерди оңдош керек, кадимки эмес тармак активдүүлүгүн көзөмөлдөш керек жана күчтүү кирүү контролун ишке ашырыш керек. ShadowPad жана FINALDRAFT үчүн компрометация индикаторлору (IOC) коркунучту издеш үчүн жеткиликтүү.