Китайская группа Ink Dragon взламывает правительства с помощью вредоносного ПО ShadowPad и FINALDRAFT

Подождите — китайская группа угроз под названием Ink Dragon выходит на глобальный уровень, атакуя правительственные и телекоммуникационные сети в Европе, Азии и Африке с помощью опасного вредоносного ПО. Они используют ShadowPad и FINALDRAFT для проникновения в системы, и это не их первая подобная операция.

Ink Dragon (также известная как RedHotel, TAG-74 или Earth Lusca) активна как минимум с 2021 года, нацеливаясь на такие секторы, как правительство, образование и телекоммуникации. Они известны использованием собственного вредоносного ПО и техник living-off-the-land, чтобы оставаться незамеченными.

Последняя кампания группы использует многоэтапную цепочку атак. Они начинают с эксплуатации уязвимостей на общедоступных серверах (таких как IIS или SharePoint) для установки веб-шеллов. Затем они развертывают ShadowPad — модульный бэкдор, который существует с 2017 года и связан с китайскими APT-группами. ShadowPad позволяет им выполнять команды, извлекать данные и перемещаться по сети.

Но это еще не все. Они также используют FINALDRAFT, более новое вредоносное ПО, которое действует как загрузчик для дополнительных полезных нагрузок. Оно предназначено для уклонения от обнаружения, используя законные процессы Windows и зашифрованную связь с серверами C2.

Ink Dragon на этом не останавливается. Они используют такие инструменты, как Cobalt Strike, для пост-эксплуатации, извлечения учетных данных и перемещения по сети. Они также злоупотребляют законными административными инструментами (такими как PsExec, WMI), чтобы слиться с обычным сетевым трафиком.

Цели? Государственные учреждения, телекоммуникационные провайдеры и образовательные учреждения в нескольких регионах. Инфраструктура группы включает скомпрометированные серверы и домены, имитирующие законные службы, чтобы избежать подозрений.

Почему это важно? Ink Dragon является частью более широкой тенденции государственных групп кибершпионажа, нацеленных на критическую инфраструктуру. Их использование продвинутых, постоянных техник означает, что они могут оставаться скрытыми в течение месяцев, похищая конфиденциальные данные и потенциально нарушая работу служб.

Защитникам необходимо исправлять общедоступные серверы, отслеживать необычную сетевую активность и внедрять строгий контроль доступа. Индикаторы компрометации (IOC) для ShadowPad и FINALDRAFT доступны для охоты за угрозами.