- Ink Dragonのキャンペーンは、設定不備のあるIISおよびSharePointサーバーを悪用して欧州各国政府に侵入
- 同グループはFinalDraftバックドアを用い、C2通信を通常のMicrosoftクラウド活動に紛れ込ませる
- 世界各地の政府機関や通信事業者など数十の組織が、さらなる作戦のための中継ノードに転用された
中国の国家支援型脅威アクターとして知られるInk Dragonが、初期侵入に設定不備のある機器を利用し、通常のトラフィックに紛れ込むことで永続化を確立しつつ、欧州各国政府への侵入範囲を拡大していると専門家が警告した。
サイバーセキュリティ研究者のCheck Point Softwareによる報告書は、攻撃者が将来の作戦のための中継ノードとしてMicrosoft IISおよびSharePointサーバーを利用していると主張している。
「この段階は通常、目立ったノイズが少なく、同一の認証情報や管理パターンを共有するインフラを通じて拡散することが特徴です」とCheck Pointの研究者は述べた。
FinalDraftの更新
初期アクセスにおいて、同グループはゼロデイやその他の脆弱性を悪用しない。そうした手法はセキュリティソリューションや警報を作動させる可能性が高いからだ。代わりに、サーバーの弱点や設定不備を探り、検知をかいくぐることに成功している。
ドメインレベルのアクセス権を持つアカウントを見つけると、同グループは他のシステムへと展開し、バックドアやその他のマルウェアをインストールし、長期的なアクセスを確立して機密データを流出させる。
ツール群の中で、Ink DragonはFinalDraftと呼ばれるバックドアを保有しており、最近、一般的なMicrosoftクラウド活動に紛れ込むよう更新されたという。そのC2通信は通常、メールアカウントの「下書き」フォルダーに残される。さらに興味深いのは、このマルウェアが通常の営業時間中にのみ動作する点である。トラフィックが多く、不審な活動を見つけにくい時間帯だからだ。
最後に、攻撃者が侵害したサーバーへの永続的アクセスを確保すると、インターネットに公開されたシステムにカスタムのIISベースのモジュールをインストールして被害者のインフラを転用し、悪意ある作戦のための中継ポイントへと変える。
Check Pointは明白な理由から被害者名を明かせなかったが、欧州、アジア、アフリカの政府機関や通信会社を含む「数十」の組織が被害を受けたことは明らかにした。
「影響を受けた組織の身元や具体的な国名は開示できませんが、当該アクターが2025年後半に中継ベースの作戦を開始し、その後、各中継点から時間の経過とともに被害範囲が段階的に拡大していく様子を観測しました」と研究者は述べた。
