Nhóm tin tặc Trung Quốc phát tán mã độc ShadowPad và FINALDRAFT

Vừa qua, các chuyên gia bảo mật thuộc Check Point Research đã ra cảnh báo về nhóm Ink Dragon - một nhóm tin tặc Trung Quốc đang mở rộng phạm vi hoạt động của mình với nhiều nạn nhân mới trong khu vực, đa phần là các doanh nghiệp, chính phủ thuộc các quốc gia Đông Nam Á, Châu Âu và Nam Mỹ.

Thông tin chi tiết

Ink Dragon - một tổ chức tội phạm mạng còn được biết đến dưới những cái tên như CL-STA-0049, Earth Alux hay REF7707, được cho là có liên kết với chính phủ Trung Quốc đã hoạt động ít nhất từ đầu năm 2023 cho tới nay. Trong khoảng thời gian hoạt động của mình, Ink Dragon đã liên tục nhắm mục tiêu vào cơ sở hạ tầng các tổ chức chính phủ, doanh nghiệp viễn thông tại khu vực Đông Nam Á, Nam Mỹ và đang có xu hướng mở rộng sang châu Âu cùng một số khu vực khác.

Đặc điểm của Ink Dragon là nhóm có xu hướng biến các môi trường bị xâm nhập thành một phần của mạng lưới chuyển tiếp (relay network) phân tán quy mô lớn, kết hợp các kỹ thuật tinh vi cùng chiến lược bài bản khiến các cuộc tấn công của nhóm trở thành một mối đe doạ đáng lưu tâm. Với việc triển khai mô-đun ShadowPad IIS Listener trên các nạn nhân, nhóm đã biến mỗi máy chủ bị chiếm quyền điều khiển thành một mắt xích trung gian phục vụ cho những mục đích tấn công tại nhiều nơi khác, giúp mở rộng, gia tăng phạm vi cũng như tính hiệu quả của mỗi chiến dịch.

Chuỗi tấn công

Mục tiêu của nhóm là các lỗ hổng giải tuần tự hoá VỉewState (ViewState deserialization) hoặc khai thác ToolShell, sau đó triển khai mã độc ShadowPad trên máy chủ bị chiếm quyền. Chúng thu thập thông tin đăng nhập của tiến trình IIS (IIS worker credentials) và thiết lập một RDP proxy để di chuyển ngang hàng (move laterally), sử dụng RDP cùng các tính năng tích hợp của ShadowPad kết hợp với các tài khoản đã đánh cắp được. Sau khi chiếm được quyền quản trị tên miền (Domain Admin), chúng hoàn toàn kiểm soát hệ thống (domain dominance). Từ đó, chúng triển khai mã độc FinalDraft trên các máy chủ chiến lược và cài đặt trình nghe lén ShadowPad IIS listener trên các máy chủ hướng ra Internet, cho phép các nạn nhân mới kết nối vào hạ tầng của kẻ tấn công khi chiến dịch tiếp diễn.

1. Xâm nhập ban đầu (Initial Access)

• Vectơ tấn công: Nhắm vào các máy chủ web thông qua hai con đường chính:

  • ViewState Deserialization: Lợi dụng các mã khóa bảo mật (machineKey) bị lộ công khai để chèn mã độc vào tham số __VIEWSTATE, dẫn đến thực thi mã từ xa (RCE).

  • Lỗ hổng ToolShell (SharePoint): Sử dụng chuỗi khai thác (như CVE-2025-49706, CVE-2025-49704) để chiếm quyền điều khiển SharePoint mà không cần xác thực.

• Hành động: Sau khi xâm nhập thành công, chúng triển khai mã độc ShadowPad.

2. Di chuyển ngang hàng (Lateral Movement)

• Khai thác thông tin: Đánh cắp thông tin đăng nhập từ IIS (worker/app-pool) và lợi dụng việc dùng chung mật khẩu giữa các máy chủ để lây lan sang các máy lân cận.

• Điều khiển: Thiết lập RDP proxy/tunnel để truy cập tương tác sâu hơn vào mạng nội bộ.

• Lan truyền mã độc: Sử dụng giao thức SMB để sao chép bộ ba tệp tin (triad) gồm: tệp thực thi sạch (.EXE) + DLL độc hại (side-loading) + dữ liệu mã hóa (.blob).

3. Duy trì sự hiện diện (Persistence)

• Tác vụ lập lịch: Tạo các tác vụ tên SYSCHECK chạy dưới quyền SYSTEM.

• Dịch vụ hệ thống: Cài đặt các dịch vụ giả danh bản cập nhật Windows (ví dụ: WindowsTempUpdate).

• Ngụy trang: Sử dụng tệp thực thi có chữ ký số hợp lệ của các hãng lớn (AMD, NVIDIA, Realtek) nhưng đổi tên tệp (như conhost.exe) để trà trộn vào hệ thống.

4. Leo thang đặc quyền (Privilege Escalation)

• Chiếm quyền SYSTEM: Sử dụng công cụ PrintNotifyPotato để nâng quyền từ bối cảnh máy chủ web.

• Thu hoạch thông tin đăng nhập: Triển khai công cụ LalsDumper để trích xuất dữ liệu từ tiến trình LSASS và Registry nhằm lấy mật khẩu và mã hash.

• Chiếm quyền tên miền: Săn tìm các phiên RDP nhàn rỗi của Domain Admin, lấy cắp mã thông báo (token) và trích xuất tệp cơ sở dữ liệu người dùng NTDS.dit để kiểm soát toàn bộ hệ thống.

5. Thiết lập kết nối ra ngoài (Enabling Egress)

• Vô hiệu hóa kiểm soát: Sửa đổi tường lửa cục bộ để cho phép mọi lưu lượng truy cập ra ngoài (Any → Any).

• Giả mạo: Đặt tên quy tắc tường lửa giống với tiến trình tin cậy của Windows Defender (Microsoft MsMpEng) nhằm vượt qua các hệ thống giám sát mạng.

• Mở rộng: Cài đặt ShadowPad IIS Listener trên các máy chủ hướng ra Internet để biến chúng thành các nút trung chuyển cho các chiến dịch tấn công tiếp theo.

Triển khai relay network

Bước 1: Chiếm quyền điều khiển luồng HTTP (HTTP Interception)

Thay vì sử dụng các cổng giao tiếp lạ dễ bị tường lửa phát hiện, nhóm này cài đặt một mô-đun độc hại vào tiến trình IIS Worker hợp lệ.

• Kỹ thuật: Sử dụng API HttpAddUrl để đăng ký các điểm cuối (endpoints) HTTP(S) mới ngay trên máy chủ đang hoạt động.

• Mục tiêu: Cho phép mã độc cùng tồn tại với các dịch vụ web hợp lệ. Nó chỉ "thu giữ" các yêu cầu có cấu trúc lệnh riêng biệt, còn lại vẫn để IIS xử lý bình thường để tránh gây nghi ngờ.

Bước 2: Phân loại và Ghép đôi các nút (Node Categorization)

Sau khi kiểm soát được máy chủ, Ink Dragon biến nó thành một "cầu nối" bằng cách phân loại các địa chỉ IP kết nối đến:

• Phân vai: Chia các thực thể bên ngoài thành hai nhóm: Server (máy chủ điều khiển) và Client (máy nạn nhân khác hoặc nút cấp dưới).

• Ghép đôi tự động: Hệ thống tự động kết nối các nút từ hai danh sách này để tạo thành một luồng truyền tin xuyên suốt.

Bước 3: Thiết lập luồng chuyển tiếp đa tầng (Multi-layered Proxying)

Kẻ tấn công sử dụng máy chủ bị chiếm đóng cho hai mục đích định hướng lưu lượng:

• Chuyển tiếp nội bộ (Internal Pivot): Đưa lệnh từ bên ngoài vào các máy chủ nằm sâu trong mạng nội bộ (vốn không có internet).

• Chuyển tiếp xuyên tổ chức (External Relay): Dùng máy chủ của tổ chức A làm "bước nhảy" (hop) để điều khiển mã độc tại tổ chức B. Điều này giúp che giấu hoàn toàn địa chỉ IP gốc của kẻ tấn công.

Bước 4: Vô hiệu hóa các rào cản mạng (Egress Enabling)

Để đảm bảo mạng lưới vận hành trơn tru mà không bị các hệ thống giám sát chặn lại:

• Sửa tường lửa: Nhóm này tự tạo các quy tắc cho phép mọi lưu lượng đi ra (Any → Any) ngay trên máy chủ nạn nhân.

• Ngụy trang: Đặt tên quy tắc theo các tiến trình tin cậy (như của Windows Defender) để đánh lừa các quản trị viên hệ thống.

Bước 5: Duy trì và Mở rộng mạng lưới (Scalability)

Mỗi nạn nhân mới bị nhiễm ShadowPad IIS Module sẽ lập tức trở thành một mắt xích mới trong hạ tầng điều khiển (C2). Kiến trúc dạng lưới (mesh) này giúp mạng lưới của Ink Dragon có khả năng sống sót cao: nếu một mắt xích bị phát hiện và ngắt kết nối, kẻ tấn công vẫn có thể điều hướng qua các nút khác.

Khắc phục & Khuyến nghị

Hoạt động của Ink Dragon minh chứng cho một sự thay đổi trong cách các nhóm tin tặc hiện đại "vũ khí hóa" hạ tầng bị xâm nhập. Thay vì coi mỗi nạn nhân là một điểm cuối (endpoint) để giám sát hoặc thu hoạch dữ liệu, nhóm này hệ thống hóa việc đưa mọi máy chủ biên bị chiếm quyền vào một mạng lưới chuyển tiếp (relay fabric) ShadowPad phân tán. Mô-đun IIS Listener chính là trọng tâm của chiến lược này: một thành phần ẩn mình, ít gây xáo trộn, có khả năng liên kết các tiền tố URL ẩn, chặn lưu lượng truy cập mà không làm gián đoạn các dịch vụ hợp lệ, và âm thầm kết nối các nạn nhân lại với nhau thành một mạng lưới liên lạc đa tầng (multi-hop). Để đối phó với mô hình "mạng lưới chuyển tiếp" của Ink Dragon, người dùng và các tổ chức cần tập trung vào 4 nhóm giải pháp cốt lõi:

1. Bảo mật hạ tầng Web (Chặn lối vào)

• Vá lỗi khẩn cấp: Cập nhật bản vá cho SharePoint (chuỗi ToolShell) và IIS ngay lập tức.

• Quản lý MachineKey: Thay đổi các machineKey mặc định hoặc công khai trong cấu hình ASP.NET để chặn khai thác ViewState.

2. Vô hiệu hóa mạng lưới chuyển tiếp (Chặn hạ tầng)

• Quét URL Listener: Sử dụng script kiểm tra các URL prefix lạ được đăng ký trái phép qua API hệ thống trên máy chủ IIS.

• Kiểm soát Egress (Luồng ra): Chặn các quy tắc tường lửa cho phép mọi kết nối ra ngoài (Any → Any) và giám sát các thay đổi tường lửa cục bộ giả danh tiến trình Windows.

3. Chống di chuyển ngang hàng (Chặn lan truyền)

• Cô lập tài khoản: Tuyệt đối không dùng chung tài khoản dịch vụ (Service Account) cho nhiều máy chủ web.

• Quản trị phiên làm việc: Tự động đăng xuất (Log off) các phiên RDP nhàn rỗi để ngăn chặn việc đánh cắp Token và mã hash từ bộ nhớ (LSASS).

4. Giám sát và Truy vết (Phát hiện)

• Kiểm tra tệp tin: Rà soát các tệp thực thi có chữ ký số thật (AMD, NVIDIA...) nhưng sai tên gốc (OriginalFileName).

• Phân tích Log: Tìm kiếm các chuỗi gỡ lỗi (debug strings) ghi lại lưu lượng chuyển tiếp giữa các IP để tái dựng và triệt phá toàn bộ chuỗi mắt xích (relay chain).

IOCs

Tham khảo

1. Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation