FINALDRAFT バックドア
一般的にJewelbugとして知られる脅威アクターは、2025年7月以降、欧州の政府機関への攻撃を強めていますが、東南アジアと南米の標的に対する活動は依然として活発です。研究者たちは、この活動クラスターをInk Dragonとして追跡しています。このグループは、セキュリティコミュニティ内ではCL-STA-0049、Earth Alux、REF7707としても知られています。このアクターは中国と連携していると評価されており、少なくとも2023年3月以降、継続的な活動を示しています。
目次
複数のアイデンティティ、1つの調整されたクラスター
Ink Dragonの攻撃活動は、成熟した規律ある侵入能力を反映しています。攻撃者は、高度なソフトウェアエンジニアリングスキルと繰り返し利用可能な運用プレイブックを組み合わせ、プラットフォームに組み込まれたユーティリティを頻繁に利用して、悪意のあるアクティビティを正当なエンタープライズテレメトリに巧妙に織り交ぜています。この巧妙な手法は、ステルス性を大幅に向上させ、検知を困難にしています。
範囲、目標、継続的な影響
この攻撃キャンペーンは依然として活発に活動しており、すでに数十の被害者が影響を受けています。影響を受けた組織は、ヨーロッパ、アジア、アフリカの政府機関や通信事業者にまで及びます。被害者の多様さは、この攻撃者のインフラの拡張性と、高価値ネットワークへの戦略的関心の高さを浮き彫りにしています。
早期発見と主要なマルウェアファミリー
Ink Dragonに関する知見が公になったのは2025年2月、研究者らがFINALDRAFTバックドア(別名Squidoor)の使用を記録した時でした。このマルウェアはWindowsとLinuxの両方の環境をサポートしています。最近では、このグループがロシアのITサービスプロバイダーに対して5ヶ月間にわたる侵入行為を行ったことが示唆され、長期にわたる秘密裏なアクセスを維持する能力が浮き彫りになりました。
初期アクセスとペイロード配信
Ink Dragonは通常、脆弱なインターネット接続されたWebアプリケーションを悪用して侵入します。これらの脆弱性を悪用してWebシェルを展開し、VARGEITやCobalt Strikeといった追加ツールの起点として機能します。これらのペイロードは、コマンド&コントロール(C&C)通信、内部偵察、ラテラルムーブメント、防御の回避、そしてデータ窃取をサポートします。
クラウドと合法的なサービスの悪用
このグループの二次的なバックドアの一つにNANOREMOTEがあり、これはGoogle Drive APIを利用して、感染ホストと攻撃者が管理するインフラ間でファイルを交換します。ツールの選択は意図的かつ状況に応じて行われているように思われ、攻撃者は被害者の環境に合わせてツールを展開し、通常の信頼できるトラフィックパターンに似た手法を好んでいることが示唆されます。
ViewState の悪用と C2 インフラストラクチャのハイジャック
Ink Dragonの特徴的な手法の一つは、脆弱な、あるいは適切に管理されていないASP.NETマシンキーを悪用することです。IISおよびSharePointサーバーのViewStateデシリアライゼーションの脆弱性を悪用することで、攻撃者はカスタムShadowPad IISリスナーモジュールをインストールします。これにより、侵害されたサーバーは攻撃者のコマンドアンドコントロールネットワークのアクティブなコンポーネントに変換され、トラフィックとコマンドのプロキシが可能になり、回復力が大幅に向上します。
ローカル侵害からグローバル中継ネットワークへ
このアーキテクチャにより、トラフィックは単一の組織の奥深くまでルーティングされるだけでなく、全く異なる被害者ネットワークにもルーティングされます。その結果、侵害された1台のサーバーが、より広範な多層インフラストラクチャにおける仲介役として、気づかれずに機能する可能性があります。リスナーモジュール自体はリモートコマンド実行をサポートしており、オペレーターは偵察活動やペイロードのステージングを直接制御できます。
ポストエクスプロイトと権限昇格戦術
ViewStateの悪用に加え、Ink DragonはToolShellのSharePoint脆弱性を武器化し、Webシェルを展開します。最初の侵害後、攻撃者は通常、アクセスを固定化し、権限を昇格するためにいくつかのアクションを実行します。
- IIS マシンキーを利用してローカル管理者の資格情報を取得し、RDP トンネル経由で横方向に移動する
- スケジュールされたタスクと悪意のあるサービスを通じて永続性を確立する
- LSASSメモリをダンプし、レジストリハイブを抽出して権限を昇格する
- ホストのファイアウォールルールを変更して送信トラフィックを許可し、システムをShadowPadリレーノードに変換する
高度な資格情報の再利用とドメイン侵害
少なくとも1つの観察事例において、攻撃者は、NTLMv2フォールバックによるネットワークレベル認証で認証されたドメイン管理者の、切断されているもののアクティブなRDPセッションを特定しました。セッションはログオフ状態のまま終了しなかったため、機密性の高い認証情報がLSASSメモリに残っていました。システムレベルのアクセスを取得した後、Ink Dragonはトークンを抽出し、それを再利用して認証済みのSMB操作を実行し、管理共有への書き込みを行い、NTDS.ditおよびレジストリハイブを盗み出しました。
モジュール型永続エコシステム
Ink Dragonは、単一のバックドアに頼るのではなく、長期的なアクセスを維持するために複数の特殊コンポーネントを活用します。確認されたツールには以下が含まれます。
- ShadowPad コアモジュールをメモリ内で復号化して実行するための ShadowPad Loader
FINALDRAFTの進化
このグループは最近、ステルス性の向上とデータ窃取の高速化を目的として設計されたFINALDRAFTの新たな亜種を展開しました。この亜種は高度な回避手法を導入し、多段階のペイロード配信をサポートし、秘密裏に横展開を可能にします。コマンドは暗号化された文書として被害者のメールボックスに配信され、インプラントはモジュール式のコマンドフレームワークを通じてこれを取得、復号化し、実行します。
他の脅威アクターとの重複
捜査官らは、Ink Dragonが侵入した複数の環境において、中国と連携する別のグループREF3927(別名RudePanda)の痕跡も特定しました。両者の間に連携の証拠はなく、重複はインフラや運用を共有しているのではなく、両者が類似の初期アクセス経路を利用していることに起因すると考えられます。
防御側のための新たな脅威モデル
Ink Dragonは、感染ホストとコマンドインフラストラクチャの間の従来の境界線を曖昧にします。侵害された各システムは、攻撃者が制御するメッシュ内の機能ノードとなり、新たな被害者が増えるごとに拡大していきます。防御側にとって、これは封じ込めが個々のシステムのみに焦点を当てることができないことを意味します。効果的な妨害には、リレーチェーン全体を特定し、解体する必要があります。Ink Dragonによるリレー中心のShadowPadの使用は、これまでに確認された中で最も成熟した実装の一つであり、被害者のネットワーク自体を長期にわたる複数組織によるスパイ活動のバックボーンへと効果的に変貌させます。
