- Kampanye Ink Dragon melanggar pemerintah Eropa dengan mengeksploitasi server IIS dan SharePoint yang salah dikonfigurasi
- Grup ini menggunakan pintu belakang FinalDraft untuk memadukan lalu lintas C2 dengan aktivitas cloud Microsoft normal
- Lusinan entitas pemerintah dan telekomunikasi di seluruh dunia diubah menjadi titik relai untuk operasi lebih lanjut
Ink Dragon, yang dikenal sebagai aktor ancaman yang disponsori negara Tiongkok, telah memperluas jangkauannya ke pemerintah-pemerintah Eropa, menggunakan perangkat yang salah dikonfigurasi untuk masuk pertama kali, dan membangun persistensi dengan memadukannya dengan lalu lintas reguler, demikian peringatan para ahli.
A laporan dari peneliti keamanan siber Check Point Software mengklaim bahwa penyerang menggunakannya Microsoft Server IIS dan SharePoint sebagai node relai untuk operasi di masa mendatang.
“Tahap ini biasanya ditandai dengan tingkat kebisingan yang rendah dan menyebar melalui infrastruktur yang memiliki kredensial atau pola pengelolaan yang sama,” kata peneliti Check Point.
Pembaruan FinalDraft
Untuk akses awal, grup ini tidak menyalahgunakan zero-day, atau kerentanan lainnya, karena hal tersebut kemungkinan besar akan memicu solusi keamanan dan alarm. Sebaliknya, mereka menyelidiki server untuk mencari kelemahan dan kesalahan konfigurasi, sehingga berhasil tidak terdeteksi radar.
Setelah menemukan akun dengan akses tingkat domain, grup tersebut memperluas ke sistem lain, memasang pintu belakang dan malware lainnya, membuat akses jangka panjang, dan mengambil data sensitif.
Di kotak peralatannya, Ink Dragon memiliki pintu belakang yang disebut FinalDraft, yang baru-baru ini diperbarui agar menyatu dengan aktivitas cloud Microsoft pada umumnya. Dikatakan. Lalu lintas C2-nya biasanya tertinggal di folder “draft” akun email. Yang juga menarik adalah perangkat lunak perusak hanya berfungsi selama jam kerja biasa, ketika lalu lintas lebih padat dan ketika lebih sulit untuk menemukan aktivitas mencurigakan.
Terakhir, setelah penyerang mengamankan akses terus-menerus ke server yang disusupi, mereka menggunakan kembali infrastruktur korban dengan memasang modul khusus berbasis IIS pada sistem yang terhubung ke internet, mengubahnya menjadi titik relai untuk operasi berbahaya mereka.
Check Point tidak dapat menyebutkan nama para korban, karena alasan yang jelas, namun terungkap bahwa “beberapa lusin” entitas terkena serangan, termasuk organisasi pemerintah dan perusahaan telekomunikasi di Eropa, Asia, dan Afrika.
“Meskipun kami tidak dapat mengungkapkan identitas atau negara tertentu dari entitas yang terkena dampak, kami mengamati aktor tersebut memulai operasi berbasis relai pada paruh kedua tahun 2025, diikuti dengan perluasan cakupan korban secara bertahap dari setiap relai dari waktu ke waktu,” kata para peneliti.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
