墨水龙的中继网络与隐蔽攻击行动
关键发现
- 最近几个月,Check Point Research发现了一波新的攻击浪潮,归因于中国威胁组织墨水龙。墨水龙与公开报道为Earth Alux、Jewelbug、REF7707、CL-STA-0049等的威胁集群有重叠。
- 墨水龙已将其行动重点扩展到新的地区——在过去几个月中,该威胁组织的活动显示,除了在东南亚和南美洲的持续活动外,其对欧洲政府目标的关注度有所增加。
- 墨水龙构建了一个基于受害者的中继网络——墨水龙利用一个自定义的ShadowPad IIS监听器模块,将被攻陷的服务器转变为分布式网状网络中的活动节点,允许每个受害者转发命令和流量,有效地将目标转化为其C2基础设施的一部分。
- 墨水龙继续利用长期已知的IIS错误配置进行初始入侵——尽管安全社区多年来进行了公开报告并提高了认识,墨水龙仍然依赖可预测或管理不善的ASP.NET
machineKey值,对易受攻击的IIS和SharePoint服务器执行ViewState反序列化攻击。 - 墨水龙正在使用新的TTP(战术、技术和程序)和工具来发展其行动——该集群引入了一种新的FinalDraft恶意软件变种,具有更强的隐蔽性和更高的数据外泄吞吐量,同时还采用了先进的规避技术,能够在受感染网络中进行隐蔽的横向移动和多阶段恶意软件部署。
引言
Check Point Research追踪到一个持续存在、能力高超的间谍活动集群,我们称之为墨水龙,在其他报告中也被称为CL-STA-0049、Earth Alux或REF7707。多家供应商评估该集群与中国有关联。至少从2023年初开始,墨水龙反复针对政府、电信和公共部门的基础设施,最初集中在东南亚和南美洲,但在欧洲和其他地区的足迹日益增多。该攻击者的活动结合了扎实的软件工程、规范的操作手册以及愿意重用平台原生工具以混入正常的企业遥测数据中。这种组合使他们的入侵既有效又隐蔽。
墨水龙行动的一个显著特点是,他们倾向于将被攻陷的环境转化为更大、分布式中继网络的一部分。通过在多个受害者身上部署ShadowPad IIS监听器模块,该组织有效地将每台被攻陷的服务器转变为能够接收、转发和代理命令的通信节点。这种设计使攻击者不仅能够将流量路由到单个组织网络的更深处,还能完全跨越不同的受害者网络。因此,一次入侵可以悄然成为支持其他地区持续活动的全球多层基础设施中的另一个跳板,将操作控制与先前被攻陷资产的战略重用相结合。
本文还呈现了一个欧洲政府办公室高风险入侵的取证故事,重点介绍了在不同受害者身上观察到的重复性方法。我们详细介绍了在现场观察到的整个杀伤链,包括以Web为中心的初始入侵、手动键盘活动、分阶段加载器、权限提升和凭证窃取组件,以及最终导致域控权的激进横向移动。我们还记录了墨水龙偏爱的多种交付和持久化模式,并解析了FinalDraft后门的新变种,它被用作一个有弹性的、云原生的命令与控制平台。
除了技术细节,本文还展示了墨水龙的工具集和可重复的TTP如何反映出一个成熟的模块化开发模式,该模式在保持一致操作理念的同时,稳步扩展能力。
攻击链
攻击者首先通过ViewState反序列化或基于ToolShell的漏洞利用获得初始访问权限,然后在受感染服务器上部署ShadowPad。他们窃取IIS工作进程凭证,并建立RDP代理进行横向移动,利用RDP和ShadowPad的内置功能以及重用的凭证。在获取域管理员帐户访问权限后,他们实现了域控权。随后,他们在战略机器上部署FinalDraft,并在面向公众的服务器上安装ShadowPad IIS监听器,随着攻击活动的继续,使新的受害者能够连接到攻击者的基础设施。
初始访问
在我们调查的环境中,常见的初始入侵载体是通过公开披露的机器密钥利用ASP.NET ViewState反序列化。在这种情况下,__VIEWSTATE参数通常使用应用程序的machineKey进行保护,但如果该密钥是从公共源复制的,攻击者就可以伪造它。一旦攻击者能够生成有效的签名,他们就可以注入一个特制的ViewState载荷,服务器会将其反序列化,从而导致远程代码执行。
在其他案例中,我们还观察到攻击者滥用了ToolShell SharePoint漏洞。ToolShell是一种针对本地Microsoft SharePoint的攻击链,它结合了身份验证绕过和不安全反序列化,能够在易受攻击的服务器上实现未经身份验证的远程代码执行和Webshell部署。在2025年7月,我们观察到该攻击者在漏洞利用的初始阶段对ToolShell漏洞进行了大规模扫描,表明该攻击者是早期获得该漏洞利用权限的有限攻击者之一。
这表明攻击者拥有多种面向Web的初始入侵选项。实际工作流程很简单:枚举面向互联网的IIS/SharePoint服务器,测试可预测的机器密钥或易受攻击的SharePoint端点,并提交触发反序列化/RCE的特制POST请求或载荷。这些攻击具有隐蔽性,并且能很好地扩展到Web配置不一致的大型组织。
内部操作与杀伤链概述
横向移动
在这些攻击活动中,对手在获得初始立足点后,利用了Web入侵的两个互补优势:特权本地工件和活动管理会话的可见性。
通过获取IIS的machineKey/DecryptionKey或以其他方式恢复站点的加密密钥,攻击者可以解密本地存储的配置块以及站点或其工作进程存储的凭证。实际上,这通常会产生IIS工作进程/应用程序池帐户密码或其他本地机密,这些凭证在主机上具有提升的权限,并且通常在重用相同服务帐户或凭证材料的其他IIS服务器上也具有权限。
掌握本地管理员凭证后,墨水龙从w3wp.exe中的代码执行权限提升到完整的系统控制,然后利用这种控制创建持久性远程访问通道。由于许多组织为了方便管理而在Web农场中重用服务凭证,获取单个IIS凭证可以使攻击者验证同级IIS主机的身份,并以最小的网络噪音进行横向移动。墨水龙经常通过RDP隧道从远程工作站访问内部主机,暴露其机器名,并启用表面看似合法的直接交互式会话。
此后,攻击者的横向移动手册变得直接:部署一个有弹性的植入程序,并使用SMB等原生协议传播它。操作员将三元组复制到可写共享中,创建服务或计划任务来运行载荷,并尝试用看似合理的名称伪装服务/进程。
持久化
我们观察到的最常见模式:
- 计划任务 – 攻击者创建了名称看起来无害的任务,指向分阶段的加载器主机。任务通常设置为在选定时间运行一次,允许操作员引导大规模重新执行,同时最小化嘈杂的周期性回调。
- 服务安装 – 在几台机器上,墨水龙安装了服务,将其加载器作为持久性系统服务启动,服务名称伪装成Windows更新或临时维护。这些服务用于运行侧加载的三元组,保证在重启后自动重启并以SYSTEM权限执行。
值得注意的是,许多分阶段的可执行文件被重命名以类似原生Windows二进制文件,但它们是由AMD、Realtek和NVIDIA等合法供应商进行数字签名的。它们的OriginalFileName元数据与磁盘上的名称不同,表明故意伪装并滥用受信任的签名以混入操作系统。
权限提升
墨水龙结合有针对性的漏洞利用和大量的凭证窃取,迅速将本地控制升级为域级别控制。
- 通过漏洞利用进行本地提权: 在多起事件中,初始的
__VIEWSTATERCE之后,使用了本地提权工具以从Web服务器上下文获取SYSTEM权限。 - 凭证窃取和LSASS转储: 操作员部署了自定义工具,创建LSASS转储并将注册表配置单元导出到目录中,以便离线破解。
- 利用空闲会话: 墨水龙积极枚举关键服务器上的远程桌面会话和管理控制台。至少在一个实例中,攻击者定位到了一个属于域管理员的空闲RDP会话,该会话使用NTLMv2回退通过CredSSP进行了身份验证。由于会话保持断开但未注销,LSASS很可能在内存中保留了相关的登录令牌和NTLM验证器。墨水龙获得了对该主机的SYSTEM级别访问权限,提取了令牌,并重用它来执行经过身份验证的SMB操作。通过这些操作,他们能够写入管理共享并窃取
NTDS.dit和注册表配置单元,这标志着他们实现了全域权限提升和控制。
启用出站
墨水龙修改了主机防火墙规则以允许广泛的出站流量,并有效地将被攻陷的主机转变为不受约束的外泄/代理节点。
该组织创建了一条宽松的出站规则,标记为类似于合法软件,该规则允许所有配置文件下的任意出站流量。该规则在本地创建,已启用,并应用于SYSTEM上下文中的Defender进程。这绕过了上游的出口控制,否则会阻止自定义端口或隧道流量。
构建中继网络
在调查期间,我们发现墨水龙正在积极将被入侵的组织转化为分布式ShadowPad中继网络内的功能通信节点。该功能由IIS监听器模块驱动。该模块不是充当传统的后门,而是使恶意软件能够通过HttpAddUrl API直接注册新的URL监听器,这允许进程动态绑定HTTP端点。这意味着恶意监听器与合法的IIS行为无缝共存,静默拦截所有与其配置匹配的传入HTTP请求。当请求到达时,该模块解密载荷并评估其结构是否符合其专有协议。如果不符合,则回退到真正的IIS逻辑,提供真实的网页内容或返回合法的错误代码。结果是一个难以检测的植入程序,它混入服务器的正常流量模式,同时保留对其隐藏C2通道的完全控制。
通过IIS模块与常规客户端通信
更具战略意义的是该模块如何管理远程对等节点。监听器可以将外部IP地址分类为两种功能角色:服务器和客户端。它会自动将每个列表中的节点配对,以在它们之间转发流量。一旦两个对等节点匹配成功,被攻陷的主机就成为一个实时转发点:从“服务器”端到达的数据直接流式传输到“客户端”,响应也以相同方式返回,有效地将受害者转变为透明的通信桥梁。我们观察到多个实例,其中政府实体无意中充当了C2中继。在某些情况下,受害机器被用作跳板,作为活跃于其他无关目标环境中的ShadowPad客户端的访问节点。这种连锁效应形成了一个由被攻陷基础设施组成的多层网状网络,允许操作员向下游植入程序发出命令,而无需与它们直接通信。
除了在构建大规模外部中继网络中的作用外,ShadowPad IIS模块还公开了传统的内部代理功能,旨在将命令路由到位于同一网络更深处的ShadowPad节点。当攻击者需要向没有直接外部可达性的植入程序发送指令时,IIS模块只需在内部中继流量,其行为很像被攻陷环境内的一个支点。这个概念并不新鲜,但将其集成到合法的IIS工作进程中,使得恶意横向通信与正常的内部服务流量极难区分。
除了中继逻辑本身,该模块留下了异常丰富的取证工件:记录其在外部和内部IP地址之间转发的字节数的调试字符串。这些字符串包括源、目标和载荷大小。在我们的调查中,这些遥测数据对于重建攻击者的通信图至关重要,使我们能够准确映射命令如何进入受害者、如何被中继,以及哪些内部主机被拉入链条。如此精细的日志记录的存在,突显了中继机制对于操作员工作流程的核心地位:受害者不仅被攻陷,而且被主动重新用作通信桥梁,将更广泛的ShadowPad基础设施连接在一起。
从IIS监听器转储的调试日志字符串
这种架构增强了隐蔽性和生存能力。通过将命令路由通过不相关的受害者,真正的控制IP永远不会暴露,网络防御者难以区分恶意的跨组织流量与合法的政府间或基础设施间通信。最重要的是,每个新被攻陷的边界系统都可以立即被重新用作另一个跳板,使墨水龙能够扩展其操作范围,同时掩盖命令流的来源和方向。
工具与入侵后组件
随着我们的分析扩展到初始入侵载体之外,更广泛的工具集开始浮现。墨水龙并非使用单一后门或整体框架进行操作;相反,其入侵具有一系列专门构建的组件,这些组件在操作的不同阶段被激活。以下是我们恢复的入侵后工具的分类,从IIS嵌入的ShadowPad模块到基于调试器的加载器、凭证窃取植入程序和长期命令与控制平台。
观察到的组件摘要
| 类别 | 名称 | 功能 | 简要描述 |
|---|---|---|---|
| IIS后门与C2 | ShadowPad IIS监听器模块 | 核心C2与中继节点 | 拦截选定的IIS流量,解密命令,构建分布式中继网络,并在IIS服务器上暴露完整的ShadowPad后门。 |
| 加载器 | ShadowPad Loader | 载荷交付 | 三元组结构,用于解密并在内存中运行ShadowPad核心,同时删除工件。 |
| 加载器 | CDBLoader | 内存驻留载荷执行 | 使用cdb.exe脚本修补内存、运行shellcode并通过调试器会话加载AES加密的载荷。 |
| 凭证访问 | LalsDumper | LSASS转储提取 | 在LSASS中注册恶意SSP DLL,通过自定义直接系统调用逻辑提取压缩的LSASS内存转储。 |
| 加载器 | 032Loader | 主机相关的载荷加载器 | 使用系统的InstallDate作为熵进行类RC4解密,通过共享内存映射交付载荷。 |
| 模块化RAT | FinalDraft | 长期间谍活动与云C2 | 使用Microsoft Graph API的模块化RAT;支持数据外泄、RDP历史记录窃取、隧道、调度和基于邮箱的命令交换。 |
ShadowPad IIS监听器模块
模块初始化
在此次入侵中部署的ShadowPad IIS监听器模块是一个完全集成的组件,旨在伪装成合法IIS堆栈的一部分,同时悄悄地提供命令与控制及中继能力。其配置块定义了几个操作参数,这些参数决定了它如何响应良性Web流量以及如何处理攻击者控制的消息。这些参数包括一个server type字符串、一个document root路径和一个回退的error page路径。即使配置字段缺失,模块也会回退到现实的默认值。这些值使模块能够与标准的Windows Server安装无缝融合。
配置中最重要的部分是模块将拦截的URL模式列表。这些模式存储为支持通配符的字符串,用分号分隔,并通过Windows的HttpAddUrl API用于注册监听器。该API允许模块将自己附加到任意的HTTP URL前缀,使监听器难以检测,除非在操作系统级别枚举确切的绑定。任何匹配这些模式之一的入站请求都会被捕获,并传递给模块的内部解密和消息解析例程。
|
|
不符合攻击者预期加密结构的请求会被静默地当作正常的IIS流量处理:当可用时,从配置的Web根文件夹提供静态文件,否则返回合法的错误页面。这种回退行为确保监听器保持操作上的隐蔽性,呈现合法的表象,同时仍充当隐蔽的拦截点。
分离式命令架构
一旦请求通过模块的URL匹配、解密和结构检查,ShadowPad IIS监听器就会评估嵌入的命令ID。这些命令分为两大类,均由同一组件处理。
第一类包含负责构建和维护分布式中继网络的指令。这包括将端点注册为“服务器”的命令、将端点注册为“客户端”的命令,以及配对节点、转发流量和维护驱动跳转通信模型的两个队列的逻辑。
第二类在目的上完全不同:一套完整的后门命令集,使操作员能够直接与本地系统交互。这些命令涵盖主机侦察、文件操作、数据收集、载荷分阶段、配置更新、进程控制和网络级操作。换句话说,负责将被攻陷机器链接到跨受害者中继链的同一模块,在该主机上也能完全作为传统的ShadowPad后门运行。
分布式中继网络构建
最具战略意义的能力在于该模块在构建和维护操作员的分布式中继网络中的作用。IIS监听器维护两个并发的对等节点注册表:一个服务器列表和一个客户端列表。节点可以通过专用的命令ID将自己添加到任一列表中。服务器列表中的条目会每30秒重新验证一次,模块会发出确认以确认其持续可用性。放入客户端列表的节点行为不同;如果客户端在30秒内未配对,则会被自动清除,以防止陈旧的链接。
每当新节点插入其中一个列表,并且监听器检测到两个列表都至少包含一个活动条目时,它会将第一个服务器节点与第一个客户端节点配对。此时,它会向服务器发送受害者的IP地址。在此握手之后,模块在两个套接字之间建立双向中继,将每个数据包从服务器→客户端和客户端→服务器传输,无需进一步处理。结果是一个完全透明的跳板,允许上游操作员向下游客户端发送命令,而无需直接与该客户端交互。
中继网络逻辑流程
后门功能
ShadowPad的IIS监听器模块还包括ShadowPad客户端的功能,让攻击者可以在IIS机器上运行不同的命令。这个嵌入的命令集为操作员提供了对受感染主机的广泛控制,支持从侦察到交互式访问再到载荷分阶段的一切操作。
这些命令ID的广度说明了ShadowPad的IIS监听器不仅仅是一个简单的流量转发器;它是一个自包含的控制面,既能够维护分布式中继网络,又能够对运行它的任何机器进行细粒度控制。这种双重性是墨水龙操作理念的核心:具有中继能力的节点兼作功能齐全的接入点,允许操作员保持隐蔽的持久性、收集情报、部署额外工具,以及发出高权限指令,而从不暴露其真实的命令基础设施。
ShadowPad的后门暴露了一个广泛的命令面,旨在为操作员提供对受感染系统的完整手动控制。它始于基本的编排功能,检索完整的命令映射、收集详细的系统快照、启动交互式反向shell,或在需要时干净地关闭植入程序。随后,恶意软件提供了一个广泛的文件管理层,可以枚举驱动器、遍历目录、操作时间戳、按需创建或删除文件和文件夹以及读取、写入、移动或下载数据。辅以丰富的进程和服务控制,允许操作员列出和终止进程、检查加载的模块,并以在合法管理工具中看到的相同精度启动、停止或删除Windows服务。
主要命令方法流程
ShadowPad还支持多种执行模式,包括运行带输出捕获的命令、生成具有完整屏幕缓冲区访问权限的交互式控制台进程,以及通过管道维护长期执行通道。网络方面同样强大:植入程序可以检查本地TCP/UDP表、更改网络条目,甚至通过被感染主机代理或隧道流量来充当支点。实际上,这些功能将后门转变为一个完整的远程操作平台,将系统管理、间谍工具和隐蔽隧道集成到一个单一、紧密集成的模块中。
ShadowPad加载器
ShadowPad是一个模块化的多层后门框架,被广泛归因于中国国家支持的黑客组织,并经常用于长期间谍活动。ShadowPad允许操作员部署用于数据外泄、凭证窃取和横向移动的定制模块。
在墨水龙的行动中,我们观察到许多ShadowPad部署遵循一个循环的三元组侧加载结构:一个可执行文件、一个恶意DLL和一个加密的TMP载荷。合法或伪装的可执行文件加载恶意DLL,该DLL进而从TMP文件中解密并在内存中执行ShadowPad核心,之后删除载荷以最小化取证工件。
墨水龙的ShadowPad加载器的一个值得注意的细节是,不同事件中的许多恶意DLL共享相同的通用名称DLL.dll。DLL加载器是基于MFC的二进制文件,其中的恶意代码使用ScatterBrain进行了大量混淆。
搜索ShadowPad混淆代码的入口点
一旦执行,这些加载器会对存储在同一目录中的配置数据和载荷进行实时解密。
| 路径 | 可执行文件 | DLL |
|---|---|---|
| C:\Users\Public | vncutil64.exe | vncutil64loc.dll |
| C:\Program Files\Microsoft\EdgeApplication | Logs.exe | atiadlxy.dll |
| C:\Program Files\Microsoft\Edge\Application | msedge_proxyLog.exe | msedge_proxyLogLOC.dll |
CDBLoader
墨水龙最独特的TTP之一是利用Microsoft调试器作为执行宿主。
操作员不是启动典型的EXE,而是运行一个WinDbg/CDB脚本会话。提供的config.ini不是一个无害的INI文件。它包含一系列内存编辑/写入字节命令,然后是指令指针的更改,以便执行在攻击者控制的shellcode处继续。shellcode又从磁盘读取一个辅助文件,用硬编码在shellcode中的AES密钥解密它,并将真实的载荷加载到内存中执行。在载荷运行后,调试器实例和辅助文件通常会被删除,只留下短暂的内存驻留代码。
config.ini中的shellcode脚本
LalsDumper
LalsDumper是墨水龙内部使用的LSASS提取链,在多次入侵中被观察到。该序列从一个小型加载器开始,该加载器操作同一文件夹中的伴侣DLL。加载器定位fdp.dll内的一个占位符,用辅助文件的路径覆盖该占位符,并生成一个名为nfdp.dll的已修补DLL。
关键的是,加载器调用AddSecurityPackageA来将该DLL注册为安全支持提供程序,以便lsass.exe加载它,这种技术迫使LSASS自身在进程内加载攻击者代码。
将占位符替换为作为SSP添加的真实名称
已注册的DLL读取rtu.txt,应用简单的XOR来恢复次级载荷,然后将该载荷映射到内存中。该载荷实现了一个自定义的类似于MiniDumpWriteDump的例程,以创建lsass.exe的压缩转储,写入一个ZIP风格的转储文件。
该链使用直接系统调用(在运行时哈希)来规避基于API的钩子和EDR检测。
|
|
该DLL公开了一个名为Tom的函数,该函数作为载荷的运行时入口点,并协调加载器的核心逻辑:当被调用时,Tom在系统TEMP文件夹中创建一个文件,捕获lsass.exe的内存转储,并使用ZIP风格的存档格式将该转储写入.ddt文件。
LalsDumper的主要函数
032Loader
032Loader是一个基于侧加载的加载器,它使用主机特定的熵来解密和执行载荷。被合法可执行文件侧加载后,加载器会修补宿主EXE的代码流,以便在加载后立即将控制权转移到自己的逻辑。
032Loader对可执行文件的修补
然后,加载器从注册表中查询系统的InstallDate,并从该值派生解密密钥。它使用InstallDate作为RC4(或类RC4)解密的种子,对第三方文件块(加密的载荷)进行解密。一旦解密,加载器通过CreateFileMappingW / MapViewOfFile映射载荷,并使用VirtualProtect调整内存保护,然后将执行转移到内存中的载荷。
FinalDraft:新版本
FinalDraft是一个设计精良、功能齐全的远程管理工具,能够接受附加模块以扩展功能并在内部代理网络流量,主要通过滥用Outlook邮件服务的Microsoft Graph API实现。我们分析的样本和行为与之前公开的分析报告一致,但墨水龙的部署显示其功能持续扩展,并进行了精心的操作调整以减少遥测并最大化弹性。
FinalDraft首先定位并解密其配置块。该配置使用从主机ProductId派生的哈希进行XOR加密,使配置具有机器特定性。
FinalDraft配置的解密
解密后,配置暴露植入程序的唯一GUID、首选的通信传输方式、用于消息加密的AES密钥、C2端点和刷新令牌以及其他操作元数据。
|
|
我们观察到最常用的传输方式是COutlookTrans,它利用Microsoft Graph API来隐藏命令与控制流量。FinalDraft使用其配置中嵌入的刷新令牌来获取OAuth访问令牌,并将其本地存储在注册表项下以备后用。命令和响应作为电子邮件草稿交换。这些消息内部的载荷是经过base64编码、AES加密并压缩的,这有助于操作员将指令隐藏在正常的邮箱数据中,并绕过网络过滤。
FinalDraft发送以获取命令的消息
FinalDraft实现了一个模块化命令框架,其中操作员将编码的命令文档推送到受害者的邮箱,植入程序拉取、解密并执行它们。除了标准工具包之外,我们分析的墨水龙变种引入了几个扩展,增加了隐蔽性、操作控制和数据窃取效率。
- 灵活的信标调度: 恶意软件支持高度精细的回调控制,允许操作员定义每日信标窗口或指定植入程序尝试联系其C2的明确时间列表。这种基于时间表的设计有助于将命令流量混入可预测的操作模式中。
- RDP活动窃取:
DumpRDPHistory提取出站和入站RDP使用的证据。 - 安全控制降级: 几个命令有意削弱Windows安全态势以协助持久化和横向移动。
- 高吞吐量数据外泄:
BackgroundFileTransfer引入了专用的异步工作线程,用于大规模数据外泄。它以相当大的数据块流式传输数据,在后台报告进度,并最小化所需的出站连接数。这非常适合通过云代理通道移动大型存档而不引起注意。 - 主机画像与资产清点: 墨水龙将多个侦察例程整合到一个统一的主机配置文件中。
FinalDraft中的IP配置数据字符串
受害者分析
墨水龙的目标模式显示出对政府组织的一贯重视,但除了这一共同特征外,没有明确的指标表明该行动者如何选择其受害者。大多数受影响的组织似乎是为该行动者服务的特定操作目的,而不是反映广泛的、全行业的针对性。
从地理上看,墨水龙 heavily focused on government entities in Southeast Asia and Africa, and in recent months has expanded its activity into Europe. 自2025年7月ToolShell漏洞利用浪潮以来,该行动者稳步增加了其在该地区的活动,越来越集中于欧洲政府部门的目标。墨水龙手法的一个关键方面是利用被入侵的组织作为C2中继节点。因此,我们观察到欧洲受害者被用来不仅针对欧洲的额外机构发起活动,还针对非洲和东南亚的目标。
与RudePanda / REF3927活动的重叠
在我们的调查中,我们还观察到第二个入侵集的证据,该入侵集通常被追踪为RudePanda / REF3927,出现在几个被墨水龙入侵的相同受害者环境中。虽然我们不评估这些活动集群在操作上有关联,但受害者重叠是值得注意的:两个行动者利用相同的面向互联网的服务器漏洞来获得相同组织和系统的立足点。
获得访问权限后,RudePanda依赖其惯用工具集,其中包括:
- 基于Godzilla的Webshells,用于执行内存中的.NET载荷和部署次级组件。
- 属于TOLLBOOTH家族的恶意IIS模块,将命令与控制逻辑直接嵌入Web服务器的处理管道中。
- IIS的
applicationHost.config的配置篡改,与之前的快照进行简单对比就可以暴露未经授权的模块插入。
此外,该行动者部署了一个内核模式rootkit驱动程序wingtb.sys,它是Winkbj.sys的修改和签名变体。其安装使用一个INF文件命名服务为“Wingtb”。该驱动程序源自开源“Hidden” rootkit项目,用于在系统上激活后隐藏文件、进程和注册表项。
最后,在磁盘上恢复了几引用操作员后门套件的.lnk工件,这些与之前文档记录的GoToHTTP工具一致。虽然原始载荷已被删除,但这些链接文件作为RudePanda存在的额外指标。
结论
墨水龙的操作说明了现代间谍活动集群如何武器化被攻陷的基础设施。该组织不是将每个受害者视为要监控或窃取的终端,而是系统地将每个被入侵的边界服务器纳入分布式的ShadowPad中继结构中。IIS监听器模块位于这一战略的核心:一个隐蔽的、低摩擦的组件,它绑定隐藏的URL前缀,在不中断合法服务的情况下拦截流量,并悄悄地将受害者链接到一个多跳的通信网格中。
这种架构在几个方面改变了威胁格局。首先,它赋予了操作员不依赖固定基础设施的有弹性的命令路径。其次,它提供了自然的操作伪装。在不相关的政府或企业网络之间隧穿的流量从外部看是良性的,并且通常混入预期的组织间HTTP流量的特征中。第三,它能够战略性地重用被攻陷的资产:一旦一台主机被注册为ShadowPad中继,它就成为一个持久的支点,即使在初始入侵之后很久也能继续为攻击活动服务。
杀伤链的其余部分强化了这一设计理念。成熟的侧加载模式、模块化加载器三元组、内存驻留载荷、分隔化的权限提升和有纪律的凭证窃取都服务于一个目的:建立持久的高权限访问,以便将受害者转变为可靠的基础设施。无论是部署FinalDraft、分阶段ShadowPad加载器,还是提取全域机密,每个行动都反馈到墨水龙赖以在不同环境间维持持久性的更广泛的通信网络中。
总而言之,墨水龙呈现了一种威胁模型,其中“受感染主机”和“命令基础设施”之间的界限已不复存在。每个立足点都成为更大、由操作员控制的网络中的一个节点——一个随着每个额外受害者而变得更强大的活体网络。因此,防御者必须将入侵不仅视为本地漏洞,还视为外部、由攻击者管理的生态系统中的潜在环节,除非识别并拆除整个中继链,否则关闭单个节点是不够的。墨水龙以中继为中心的架构是迄今为止观察到的ShadowPad更成熟的用途之一。这是一个基于受害者自身构建长期、多组织访问的蓝图。
入侵指标
|
|