Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware FINALDRAFT Hintertür

FINALDRAFT Hintertür

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:

Der als Jewelbug bekannte Bedrohungsakteur konzentriert sich seit Juli 2025 verstärkt auf europäische Regierungsorganisationen und führt gleichzeitig weiterhin aktive Operationen gegen Ziele in Südostasien und Südamerika durch. Forscher führen diese Aktivitätsgruppe unter dem Namen Ink Dragon, die in der Sicherheitsgemeinschaft auch als CL-STA-0049, Earth Alux und REF7707 bekannt ist. Der Akteur wird als China-nah eingestuft und ist mindestens seit März 2023 kontinuierlich aktiv.

Mehrere Identitäten, ein koordiniertes Cluster

Die Kampagnen von Ink Dragon zeugen von einer ausgereiften und disziplinierten Angriffsstrategie. Die Angreifer kombinieren fundierte Softwareentwicklungskenntnisse mit wiederholbaren Vorgehensweisen und nutzen dabei häufig integrierte Plattformfunktionen, um schädliche Aktivitäten in legitime Unternehmensdaten einzubetten. Diese gezielte Vorgehensweise erhöht die Tarnung erheblich und erschwert die Erkennung.

Umfang, Ziele und anhaltende Auswirkungen

Die Kampagne ist weiterhin aktiv und hat bereits mehrere Dutzend Opfer betroffen. Zu den betroffenen Organisationen zählen Regierungsbehörden und Telekommunikationsanbieter in ganz Europa, Asien und Afrika. Die Vielzahl der Opfer unterstreicht sowohl die Skalierbarkeit der Infrastruktur des Akteurs als auch sein strategisches Interesse an hochwertigen Netzwerken.

Frühe Erkennung und wichtige Malware-Familien

Die Öffentlichkeit erfuhr erstmals im Februar 2025 von Ink Dragon, als Forscher die Nutzung der FINALDRAFT-Backdoor, auch bekannt als Squidoor, dokumentierten. Diese Malware unterstützt sowohl Windows- als auch Linux-Systeme. Kürzlich wurde die Gruppe mit einem fünfmonatigen Angriff auf einen russischen IT-Dienstleister in Verbindung gebracht, was ihre Fähigkeit unterstreicht, langfristig und unbemerkt Zugriff zu erlangen.

Erster Zugang und Nutzlastlieferung

Ink Dragon verschafft sich typischerweise Zugang, indem es Schwachstellen in öffentlich zugänglichen Webanwendungen ausnutzt. Diese Schwachstellen werden missbraucht, um Web-Shells zu installieren, die dann als Ausgangspunkt für weitere Schadsoftware wie VARGEIT und Cobalt Strike dienen. Diese Schadsoftware ermöglicht die Kommunikation zwischen Kommando- und Kontrollsystem, interne Aufklärung, laterale Bewegung, Umgehung von Abwehrmechanismen und Datendiebstahl.

Missbrauch von Cloud- und legitimen Diensten

Zu den sekundären Hintertüren der Gruppe gehört NANOREMOTE, das die Google Drive API nutzt, um Dateien zwischen infizierten Rechnern und der vom Angreifer kontrollierten Infrastruktur auszutauschen. Die Werkzeugauswahl scheint bewusst und situationsabhängig zu sein, was darauf hindeutet, dass die Angreifer ihre Vorgehensweise an die jeweilige Umgebung des Opfers anpassen und Techniken bevorzugen, die normalen, vertrauenswürdigen Datenverkehrsmustern ähneln.

ViewState-Ausnutzung und C2-Infrastruktur-Hijacking

Eine zentrale Technik von Ink Dragon besteht darin, schwache oder fehlerhaft verwaltete ASP.NET-Maschinenschlüssel auszunutzen. Durch den Missbrauch von ViewState-Deserialisierungsfehlern in IIS- und SharePoint-Servern installiert der Angreifer ein benutzerdefiniertes ShadowPad-IIS-Listener-Modul. Dadurch werden kompromittierte Server zu aktiven Komponenten des Command-and-Control-Netzwerks des Angreifers, wodurch dieser Datenverkehr und Befehle weiterleiten und die Ausfallsicherheit erheblich erhöhen kann.

Von lokalen Sicherheitslücken zu globalen Relaisnetzwerken

Diese Architektur ermöglicht es, Datenverkehr nicht nur tiefer in ein einzelnes Unternehmen, sondern auch über völlig getrennte Opfernetzwerke zu leiten. Dadurch kann ein kompromittierter Server unbemerkt zu einem Vermittler in einer umfassenderen, mehrschichtigen Infrastruktur werden. Das Listener-Modul selbst unterstützt die Ausführung von Fernbefehlen und gibt den Angreifern die direkte Kontrolle für Aufklärung und die Bereitstellung von Schadsoftware.

Taktiken zur Ausnutzung von Sicherheitslücken und zur Eskalation von Berechtigungen

Neben dem Missbrauch von ViewState nutzt Ink Dragon ToolShell-SharePoint-Schwachstellen, um Web-Shells einzusetzen. Nach der ersten Kompromittierung führt der Angreifer typischerweise mehrere Aktionen durch, um den Zugriff zu sichern und die Berechtigungen zu erweitern:

  • Nutzung von IIS-Maschinenschlüsseln zum Erhalt lokaler Administratorrechte und zur lateralen Bewegung über RDP-Tunnel
  • Herstellung von Persistenz durch geplante Aufgaben und bösartige Dienste
  • LSASS-Speicher auslesen und Registry-Strukturen extrahieren, um Berechtigungen zu erhöhen
  • Änderung der Host-Firewall-Regeln, um ausgehenden Datenverkehr zu ermöglichen und Systeme in ShadowPad-Relay-Knoten umzuwandeln.

Erweiterte Wiederverwendung von Anmeldeinformationen und Kompromittierung von Domänen

In mindestens einem beobachteten Fall identifizierten die Angreifer eine getrennte, aber aktive RDP-Sitzung eines Domänenadministrators, der über Netzwerkauthentifizierung mit NTLMv2-Fallback authentifiziert war. Da die Sitzung zwar abgemeldet, aber nicht beendet wurde, blieben sensible Anmeldeinformationen im LSASS-Speicher erhalten. Nachdem Ink Dragon Zugriff auf Systemebene erlangt hatte, extrahierte es das Token und nutzte es, um authentifizierte SMB-Operationen durchzuführen, auf administrative Freigaben zu schreiben und NTDS.dit- sowie Registrierungsstrukturen zu exfiltrieren.

Ein modulares Persistenz-Ökosystem

Anstatt sich auf eine einzige Hintertür zu verlassen, nutzt Ink Dragon eine Reihe spezialisierter Komponenten, um langfristigen Zugriff zu gewährleisten. Zu den beobachteten Werkzeugen gehören:

  • ShadowPad Loader zum Entschlüsseln und Ausführen des ShadowPad-Kernmoduls im Speicher
  • CDBLoader missbraucht den Konsolendebugger von Microsoft, um Shellcode auszuführen und verschlüsselte Nutzdaten zu laden.
  • LalsDumper zum Extrahieren des LSASS-Speichers
  • 032Loader zum Entschlüsseln und Ausführen zusätzlicher Nutzdaten
  • FINALDRAFT, ein modernisiertes Fernverwaltungstool, das Outlook und Microsoft Graph für die Befehls- und Steuerungssteuerung missbraucht.

Die Entwicklung von FINALDRAFT

Die Gruppe hat kürzlich eine neue FINALDRAFT-Variante entwickelt, die auf erhöhte Tarnung und schnellere Datenexfiltration ausgelegt ist. Sie verfügt über fortschrittliche Verschleierungsmethoden, unterstützt die mehrstufige Übermittlung von Nutzdaten und ermöglicht verdeckte laterale Bewegungen. Befehle werden als verschlüsselte Dokumente im Postfach des Opfers abgelegt, von wo aus das Implantat sie abruft, entschlüsselt und mithilfe eines modularen Befehlsframeworks ausführt.

Überschneidungen mit anderen Bedrohungsakteuren

Die Ermittler haben zudem Spuren einer weiteren, mit China verbündeten Gruppe, REF3927 (auch bekannt als RudePanda), in mehreren von Ink Dragon kompromittierten Umgebungen gefunden. Es gibt keine Hinweise auf eine Koordination zwischen den beiden Gruppen; die Überschneidungen beruhen vermutlich darauf, dass beide Akteure ähnliche Zugangswege nutzten, anstatt Infrastruktur oder Operationen zu teilen.

Ein neues Bedrohungsmodell für Verteidiger

Ink Dragon verwischt die traditionelle Grenze zwischen infizierten Hosts und Kommandozentrale. Jedes kompromittierte System wird zu einem funktionalen Knotenpunkt in einem vom Angreifer kontrollierten Netzwerk, das sich mit jedem neuen Opfer ausdehnt. Für die Verteidigung bedeutet dies, dass sich die Eindämmung nicht allein auf einzelne Systeme konzentrieren kann. Eine effektive Störung erfordert die Identifizierung und Zerschlagung der gesamten Relay-Kette. Ink Dragons Relay-zentrierte Nutzung von ShadowPad stellt eine der ausgereiftesten Implementierungen dar, die bisher beobachtet wurden, und verwandelt die Netzwerke der Opfer selbst in das Rückgrat langfristiger, organisationsübergreifender Spionagekampagnen.

Im Trend

Am häufigsten gesehen

Wird geladen...