18 декабря

Ink Dragon: ShadowPad в IIS и атаки через ViewState

Ink Dragon — изощрённая группа кибершпионажа, которой приписывают активности, спонсируемые китайским государством. В последние месяцы она проявляет высокую активность, целясь преимущественно в правительственные структуры и телекоммуникационный сектор по всей Европе, Юго‑Восточной Азии и Южной Америке. Отчёт описывает комплексную операционную модель группы, объединяющую эксплуатацию старых уязвимостей, развёртывание специализированного вредоносного ПО и создание распределённой инфраструктуры управления.

Ключевые особенности кампании

Цели атаки: государственные учреждения и телекоммуникационные компании в нескольких регионах мира.
Метод начального доступа: эксплуатация устаревших уязвимостей, направленных на неуправляемые ASP.NET значения machineKey с целью проведения ViewState deserialization на серверах IIS и SharePoint.
Используемые инструменты: ShadowPad (в том числе IIS ShadowPad listener и ShadowPad loader), CDBLoader, FinalDraft RAT, LalsDumper и др.
Инфраструктура: построение ретрансляционной сети на основе скомпрометированных серверов, превращение жертв в узлы распределённой инфраструктуры управления (C2).

Как работает ретрансляционная сеть Ink Dragon

Ключевой элемент операций — модуль прослушивания IIS ShadowPad. Он маскируется под часть легитимного стека IIS и исполняет роль «прослушивателя»: отслеживает специфические HTTP‑запросы, расшифровывает команды по проприетарным протоколам и передаёт их дальше, сохраняя при этом доставку легального контента. Такая архитектура позволяет смешивать вредоносную активность с обычным веб‑трафиком и значительно усложняет обнаружение.

Набор инструментов и их функции

ShadowPad / ShadowPad loader: основной модуль для развёртывания и управления; используется как загрузчик и основа для дальнейших полезных нагрузок.
CDBLoader: обеспечивает резидентное выполнение полезной нагрузки на скомпрометированных системах.
FinalDraft RAT: RAT для длительного шпионажа; расширился и включает возможности по внутренней ретрансляции и управлению сетевым трафиком с использованием Microsoft Graph API.
LalsDumper: инструмент для сбора учётных данных, извлекающий креденшалы напрямую из процесса LSASS.

Тактики закрепления и продвижения внутри сети

После получения первоначального доступа злоумышленники действуют методично: развёртывают ShadowPad, собирают учётные данные IIS worker и затем используют RDP или встроенные возможности ShadowPad для латерального перемещения. Среди наблюдаемых приёмов — создание запланированных задач с незаметными именами, изменение правил брандмауэра хоста для обеспечения широкого исходящего трафика, а также последовательная эскалация привилегий от локального выполнения до доминирования на уровне домена.

После получения учётной записи администратора домена Ink Dragon развертывает дополнительные полезные нагрузки, интегрируется с существующей инфраструктурой, использует запланированные задачи и замаскированные службы для долговременного закрепления и организации каналов эксфильтрации.

Особенности скрытности и планирования

Вредоносная активность смешивается с нормальной работой систем, что снижает шансы на автоматическое обнаружение.
IIS ShadowPad listener сохраняет легитимный контент, обрабатывая вредоносные команды выборочно.
FinalDraft реализует механизмы внутренней передачи трафика, что позволяет скрывать реальные направления коммуникаций и усложняет трассировку.

Связи с другими угрозами

В отчёте отмечены признаки потенциального дублирования с другими злоумышленниками, такими как RudePanda. Это вызывает обеспокоенность: сходство инструментов и приёмов может указывать на общие уязвимости в целевых средах или на заимствование инструментов между группами.

«Операции Ink Dragon иллюстрируют продвинутый уровень скрытности и интеграции скомпрометированных инфраструктур в современных кампаниях кибершпионажа.»

Выводы и практические рекомендации

Операции Ink Dragon демонстрируют системный подход к кибершпионажу: от целенаправленной эксплуатации старых уязвимостей до выстраивания распределённой C2‑инфраструктуры на базе скомпрометированных серверов. Для организаций, работающих в критичных секторах, это значит необходимость усилить меры защиты на нескольких уровнях.

Провести аудит и патчинг всех компонентов ASP.NET, IIS и SharePoint, уделив внимание настройкам machineKey и механизмам сериализации ViewState.
Мониторить аномалии в исходящем трафике и поведение веб‑серверов; обращать внимание на скрытые слушатели и нестандартные ответы на HTTP‑запросы.
Защитить процессы, отвечающие за креденшалы: ограничить доступ к LSASS, включить механизмы защиты от дампа памяти процессов.
Ограничить использование RDP и обеспечить многофакторную аутентификацию для административных учётных записей.
Аудитировать и мониторить запланированные задачи и сервисы на предмет замаскированных компонентов.

Ink Dragon представляет собой пример того, как современные угрозы используют комбинацию старых уязвимостей и новых техник маскировки для создания масштабируемых и труднообнаружимых платформ кибершпионажа. Комплексная защита, постоянный мониторинг и своевременное исправление уязвимостей остаются ключевыми мерами для снижения рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: