Группа злоумышленников, связанная с Китаем и известная как «Ink Dragon», использует распространенные уязвимости в серверах Internet Information Services (IIS) для создания глобальной шпионской сети, которую трудно отследить или вывести из строя, сообщает компания-разработчик средств кибербезопасности Check Point.
Группа, также известная под названиями «Earth Alux» (Trend Micro) и «REF7707» (Elastic Security Labs), ведет свою деятельность с начала 2023 года. Изначально она нацеливалась на правительства стран Юго-Восточной Азии и Южной Америки, но впоследствии расширила сферу своей деятельности, включив в нее европейские страны.
«Ink Dragon» может показаться похожей по своему modus operandi на ряд других китайских групп, занимающихся государственным шпионажем, таких как UNC6354, чьи кампании были направлены против европейских дипломатов.
Однако, согласно недавнему расследованию Check Point, проведенному в офисе европейского правительства, группа перешла к использованию «необычайно изощренного плана действий» с долгосрочными целями.
Ключевым элементом этой стратегии является IIS — устаревшая платформа веб-сервера Microsoft, которая по-прежнему широко используется во многих сетях, особенно в государственном секторе. Эта платформа привлекательна по двум причинам: она широко распространена, а также часто неправильно сконфигурирована и небезопасна.
Кампания начинается с того, что злоумышленники получают доступ к серверу IIS и проникают во внутреннюю сеть, где они собирают локальные учетные данные, изучают административные сеансы и используют их вместе с Microsoft Remote Desktop для бокового перемещения по сети, не привлекая внимания. На этом этапе группа устанавливает пользовательский модуль IIS, который превращает сервер в невидимый «тихий» ретранслятор в рамках более широкой глобальной инфраструктуры группировки.
«Эти серверы пересылают команды и данные между различными жертвами, создавая коммуникационную сеть, которая скрывает истинное происхождение атакующего трафика», — объясняют исследователи Check Point.
Теневая инфраструктура
Атака преследует две цели: скомпрометировать правительственные серверы и получить доступ к их сетям для сбора разведывательной информации, а также использовать их для ретрансляции атакующего трафика к другим скомпрометированным серверам и от них, что значительно затрудняет обнаружение командно-контрольной (C2) инфраструктуры группы.
Эта тактика позволяет ловко обойти проблему зависимости от традиционной C2-инфраструктуры, которая уязвима для отключения и сбоев. Вместо этого захваченные и доверенные правительственные серверы становятся самой инфраструктурой.
«Во всех инцидентах повторяется одна и та же история. Небольшая проблема, связанная с веб-сервером, становится первым шагом. Серия незаметных перемещений приводит к получению контроля над доменом. Затем среда перепрофилируется как часть более крупной сети, которая поддерживает операции против дополнительных целей», — говорится в сообщении Check Point. Что касается самого трафика, группа скрывает связь внутри обычных черновиков электронной почты, маскируя ее под повседневное общение.
По совпадению, Check Point обнаружила, что вторая китайская группа злоумышленников, RudePanda, одновременно использовала уязвимости IIS для компрометации правительственных серверов. Это означало, что RudePanda «оказалась в тех же [скомпрометированных] средах одновременно».
Эти открытия подчеркивают проблему неправильной конфигурации IIS. Помимо предоставления индикаторов компрометации (IoC) группы, Check Point не дает конкретных рекомендаций по противодействию. Тем не менее, можно предложить некоторые действия: проверять модули, работающие на IIS, на соответствие известной надежной базе, включать расширенное ведение журналов IIS, настраивать IIS для снижения вероятности распространенных уязвимостей состояния просмотра и рассмотреть возможность размещения серверов IIS за межсетевым экраном веб-приложений (WAF).
Автор – John E. Dunn
