Rejtőzködés a szervereken
A támadások általában úgy kezdődnek, hogy az Ink Dragon a gyengén konfigurált Microsoft IIS- és SharePoint-szervereket térképezi fel. Nem törekednek nulladik napi hibák (zero-day) kihasználására, inkább kevésbé feltűnő réseket keresnek, hogy ne keltsenek gyanút. Miután sikerül bejutniuk, megszerzik a belépési adatokat, és meglévő fiókokkal folytatják a rendszerek kompromittálását, így beleolvadnak a szokásos hálózati forgalomba.
Rafinált trükkök
Ha sikerül jogosultságot szerezniük, tartós hozzáférést építenek ki a fontos rendszerekhez. Hátsóajtókat telepítenek, amelyeken keresztül érzékeny adatokat és mentett jelszavakat gyűjtenek. Az Ink Dragon emellett frissítette a FinalDraft nevű trójai programját is: a kártevő most már képes elrejtőzni a Microsoft felhőszolgáltatásának szokványos hálózati forgalmában, parancsforgalmát postafiók-piszkozatokba ágyazza.
Az új változat csak munkaidőben kommunikál, elkerülve az éjszakai feltűnést, ráadásul gyorsabbá teszi a nagyobb fájlok átvitelét is.
Trendi kémkedés – kínai és orosz módra
Miután az átjátszópontok kiépültek, a támadók kompromittált infrastruktúráról indítják támadásaikat, egyedi IIS-modulokat telepítenek ezekre a szerverekre, amivel bonyolult reléhálót hoznak létre. Ez a kommunikációs módszer elrejti a valódi támadókat.
A feltárás során egy másik kínai csoport, a RudePanda rejtőzködő tevékenysége is lelepleződött, amely ugyanazokat a sérülékenységeket használta ki. Ez jól mutatja, milyen gyorsan alkalmazkodnak az állami hátterű kibertámadók – hasonló taktikákat figyeltek meg orosz csoportoknál is. Az Amazon is figyelmeztet, hogy már 2021 óta zajlik hasonló reléhálózat-építés, főként energiaipari, távközlési és technológiai célpontok ellen – a kompromittált eszközök között már AWS-alapú szerverek is megjelentek.
