PR

中国系Ink Dragonが政府機関を侵害、ShadowPadとFINALDRAFT

Security

Source:https://thehackernews.com/2025/12/china-linked-ink-dragon-hacks.html

🛡 概要

中国に連なると評価される攻撃グループ「Ink Dragon」(別名: Jewelbug, CL-STA-0049, Earth Alux, REF7707)が、2025年7月以降、欧州の政府機関を主標的に、アジア・南米・アフリカの通信事業者等にも侵入を拡大しています。彼らはShadowPadやFINALDRAFT(別名: Squidoor)といった堅牢な後段ツール群を組み合わせ、脆弱な公開Webアプリを足掛かりに侵入、被害組織のIISサーバを中継ノード化して多段のC2網を構築することで、秘匿性と持続性を両立させています。活動は継続中で、数十件規模の被害が確認されています。

🔍 技術詳細

攻撃チェーンは、インターネット公開アプリの脆弱サービス悪用から始まり、Webシェル投下を経て追加ペイロード(VARGEITやCobalt Strikeビーコン等)を展開します。特筆すべきは、ASP.NETのmachineKeyが予測可能・誤管理である環境に対してViewStateのデシリアライズ攻撃を行い、IIS/SharePoint上で権限を獲得する手口です。攻撃者はその後、カスタムのShadowPad IIS Listenerモジュールを導入し、侵害済みサーバをコマンド・トラフィックのプロキシとして組み込みます。これにより1件の侵入が、別組織へ跨る多層C2の踏み台へと静かに拡張され、検知と封じ込めを困難化させます。

ツールチェーンは単一バックドアに依存せず、複数コンポーネントを段階的に投入します。例として、ShadowPad Loader(メモリ上でコアを復号・実行)、CDBLoader(Microsoft Console Debugger cdb.exe を悪用しシェルコード実行・暗号化ペイロード読込)、LalsDumper(LSASSダンプ取得)、032Loader(復号・実行ローダ)、FINALDRAFT(Outlook/Microsoft Graph APIを悪用する改良版C2)などが確認されています。FINALDRAFTは被害者のメールボックスにエンコード済みコマンド文書をプッシュし、エージェントがプル・復号・実行するモジュール型フレームワークを実装しています。NANOREMOTE(Google Drive APIで入出力)は報告時点の観測では未確認ですが、環境に応じて使い分ける運用が示唆されています。

横展開では、IISのmachineKeyから得たローカル管理者資格情報をRDPトンネル経由で流用、スケジュールタスク作成やサービス登録で永続化、LSASSダンプ・レジストリハイブ取得で権限拡大を図ります。防御回避としてホストのファイアウォール規則を改変し、外向き通信を許可してShadowPadリレー網に組み込みます。少なくとも一例では、Network Level Authentication(CredSSP)のNTLMv2フォールバックで認証されたドメイン管理者の切断済みRDPセッションが残存し、LSASSにログオン・トークンとNTLM検証情報が保持されていたため、SYSTEM権限下でトークン抽出・再利用し、SMBで管理共有に書込み、NTDS.ditとハイブを流出させてドメイン全体の支配に到達しています。

⚠ 影響

ドメイン全体の乗っ取り、機密情報の窃取、IaaS/オンプレ双方へ跨る横展開、中継化による他組織侵入の踏み台化が起こり得ます。IISモジュール常駐とGraph/クラウドAPI偽装により、通常のテレメトリに溶け込むため、長期潜伏と段階的なデータ流出リスクが高い点が要警戒です。

🛠 対策

  • パッチと設定衛生(CIS Control 7, 16 / NIST CSF PR.IP):SharePoint/IIS/関連ミドルウェアを最新化。ASP.NET machineKeyは組織固有・十分な強度に再生成し、ViewStateMAC/Encryptionを有効化。不要なデバッグ機能無効化。
  • 公開面の強化(CIS 12, 13 / CSF PR.AC, PR.DS):WAFでViewState/序数的パラメータの異常検知、管理エンドポイント制限、管理用RDPはVPN+Bastion経由のみ。
  • 資格情報保護(CIS 6, 5 / CSF PR.AC):LSASS保護(RunAsPPL/WDAC/ASR「LSASSからの資格情報窃取を遮断」)。NTLMの使用最小化、切断RDPセッションの自動ログオフ/時間制限をGPOで強制。
  • 永続化対策(CIS 8, 2 / CSF DE.CM):IISのモジュール/ハンドラ差分の整合性監視、applicationHost.configのFIM、cdb.exe等デバッガ実行のアプリ制御。
  • 出口対策(CIS 12, 13 / CSF PR.PT):サーバから外向き通信をゼロトラスト原則で明示許可のみに。未知宛先・東西トラフィックのTLS SNI/DNS解析。
  • メール・Graph監視(CIS 8 / CSF DE.CM):不審なアプリ同意/サービスプリンシパルのGraphアクセス、メールボックスへの異常なアイテム追加・既読化の振る舞い検知。
  • インシデント対応(CSF RS, RC):中継の連鎖を前提に、一次ノードだけでなく関連ノードの同定・隔離・証跡保全を標準手順に組込み。

📌 SOC視点

  • プロセス/サービス:w3wp.exeからの子プロセス(cdb.exe, rundll32.exe, regsvr32.exe)の生成(Sysmon ID 1)、不審なサービス登録(System 7045)。
  • 資格情報アクセス:LSASSへのOpenProcess(Sysmon ID 10)、Procdumpや未署名ダンパの実行、Cobalt Strikeのminidump系API使用のヒューリスティック。
  • IIS改変:applicationHost.configの変更監視、未知のモジュールDLLがinetsrv配下に出現(Sysmon ID 11/2/7)。IISログでPOST高頻度・異常User-Agent・/_layouts/等への連続アクセス。
  • 横展開/中継:切断RDPセッションの残存(Security 4778/4779)、特権ログオン(4624 Type10/3, 4672)、SMB書込み(5145)。
  • ネットワーク:被害組織間や非公開クラウドへのHTTP(S)/DNSトンネル(Sysmon ID 3)。Graph/Google Drive APIへの異常頻度アクセス(時間帯・端末乖離)。
  • ファイアウォール改変:netsh/PowerShellによるルール変更(Security 4688, 4946-4948)。

📈 MITRE ATT&CK

  • Initial Access: Exploit Public-Facing Application (T1190) — 公開Webアプリの脆弱性悪用とWebシェル設置。
  • Persistence: Web Shell (T1505.003), IIS Components (T1505.004), Scheduled Task (T1053.005), Windows Service (T1543.003) — 永続化複合手法。
  • Execution: Command and Scripting Interpreter (T1059) — Cobalt Strike/コマンド実行。
  • Credential Access: OS Credential Dumping (T1003.001/003) — LSASS/NTDS.dit取得。
  • Lateral Movement: Remote Services RDP/SMB (T1021.001/002) — トークン/NTLM素材を用いた横展開。
  • Defense Evasion: Impair Defenses (T1562.004), Signed Binary Proxy Execution(cdb.exe)(T1218) — FW改変と正規バイナリ悪用。
  • Command and Control: Web Protocols (T1071.001), Web Service/API(Graph/Drive)(T1102), Proxy: Multi-hop (T1090.003) — クラウドAPIと多段中継。
  • Exfiltration: Exfiltration Over C2 Channel (T1041), Exfiltration to Cloud Storage (T1567.002) — メール/クラウド経由の流出。

🏢 組織規模別助言

  • 小規模(〜50名):IIS/SharePointの運用外部委託やマネージドWAFの活用を検討。RDPの完全閉塞とVPN+MFA徹底。バックアップの分離保管。
  • 中規模(50〜500名):machineKeyの棚卸・再生成、Graph/クラウドAPIのアプリ同意監査を四半期化。EDRでw3wp子プロセス検知ルールを導入。
  • 大規模(500名以上):ゼロトラスト・セグメンテーションでサーバの外向き通信を最小化。IIS構成のFIM、攻撃面(SharePoint/IIS)に対する継続的検査(DAST/SCA)をCI/CDに組込み。

🔎 類似事例

  • SharePoint RCE(CVE-2019-0604, CVSS 8.6)— 中国系グループにより過去広範に悪用された前例あり。
  • SharePoint Elevation of Privilege(CVE-2023-29357, CVSS 9.8)+RCE(CVE-2023-24955, CVSS 7.2)の連鎖悪用事例。
  • Telerik UI .NET 逆シリアライズ(CVE-2019-18935, CVSS 9.8)— Webシェル投下の足掛かりとして多用。
  • ShadowPadはWinnti系クラスターでの長期利用実績があり、中継網の構築手口と親和性が高いとされる。
  • 同一環境に他クラスター(REF3927/RudePanda)が同時存在するコリジョン観測例(運用連携の証拠は無し)。

🧭 次の一手

  • 即時点検:IISモジュール差分、w3wp子プロセス、切断RDPセッション、外向き通信の未知宛先を確認。
  • 構成是正:machineKey再生成、ViewState MAC/暗号化有効化、RDPの自動ログオフ設定、LSASS保護。
  • 検知強化:cdb.exe・regsvr32.exeの不審実行、applicationHost.config改変、Graph/Drive API濫用のアラート整備。
  • 封じ込め:IISがC2中継となっている前提で、関連ノードの同定と一斉遮断計画を準備。