AK47 C2 Framework

تم الكشف مؤخرًا عن جهة تهديد، تُعرف باسم Storm-2603، ورُبطت باستغلال ثغرات أمنية معروفة في خادم Microsoft SharePoint. ويُشتبه في أن هذه المجموعة تعمل انطلاقًا من الصين، وتستخدم نظام قيادة وتحكم (C2) مُخصصًا يُسمى AK47 C2 (أو ak47c2) لتنظيم هجماتها.

تستخدم منصة AK47 C2 طريقتين أساسيتين للاتصال: AK47HTTP (تستخدم بروتوكولات HTTP لاتصالات C2) وAK47DNS (تستفيد من بروتوكولات DNS لتسليم الأوامر السرية).

تساعد هذه المكونات البرامج الضارة على تلقي الأوامر وتنفيذها على الأنظمة المصابة عبر cmd.exe، استنادًا إلى البيانات التي تم تحليلها من استجابات خادم HTTP أو DNS.

استغلال عيوب مايكروسوفت لتحقيق أقصى قدر من التأثير

استغلت العاصفة 2603 ثغرتي SharePoint CVE-2025-49706 وCVE-2025-49704 (المعروفتين أيضًا باسم ToolShell) لاختراق الشبكات ونشر حمولات خبيثة. ومن أبرز هذه الثغرات عائلات برامج الفدية مثل Warlock (المعروف أيضًا باسم X2anylock) وLockBit Black، وهو مزيج غير مألوف لا يُلاحظ عادةً بين مُجرمي الجرائم الإلكترونية الرئيسيين.

في أحد المؤشرات الفنية الرئيسية، يستخدم برنامج خلفي يسمى dnsclient.exe، وهو جزء من مجموعة AK47 C2، اتصالاً قائمًا على DNS مع نطاق مزيف:
update.updatemicfosoft.com، يحاكي خادم تحديثات Microsoft للتهرب من الاكتشاف.

ترسانة هجينة: مفتوح المصدر يلتقي بحمولات مخصصة

تُظهر مجموعة أدوات Storm-2603 مزيجًا من البرامج المشروعة والتحسينات الضارة، بما في ذلك:

الأدوات المساعدة المستخدمة بشكل شائع:

• masscan – لمسح المنافذ والاستطلاع.
• WinPcap – أداة التقاط حزم الشبكة.
• SharpHostInfo – يجمع المعلومات المستندة إلى المضيف.
• nxc و PsExec – أدوات تنفيذ الأوامر عن بعد.

الإضافات الخبيثة:

• 7z.exe و7z.dll: تم استغلال ثنائيات 7-Zip المشروعة لتحميل DLL الذي ينقل فيروس الفدية Warlock.
• bbb.msi: برنامج تثبيت يقوم بتحميل clink_dll_x86.dll من خلال clink_x86.exe، مما يؤدي في النهاية إلى نشر LockBit Black.

يتم استخدام هذه الأدوات بالاشتراك مع تقنيات BYOVD (إحضار برنامج التشغيل المعرض للخطر الخاص بك) لتحييد دفاعات نقطة النهاية، إلى جانب تكتيكات التحميل الجانبي لـ DLL، مما يؤدي إلى تعقيد عملية الكشف والاستجابة بشكل أكبر.

النطاق الجغرافي والأهداف الغامضة

تشير الأدلة إلى أن Storm-2603 نشط منذ مارس 2025 على الأقل، مستهدفًا كيانات في جميع أنحاء أمريكا اللاتينية ومنطقة آسيا والمحيط الهادئ. وتثير استراتيجية المجموعة المتمثلة في دمج عائلات برامج الفدية واستهداف قطاعات جغرافية متنوعة تساؤلات حول أهدافها النهائية.

ورغم أن دوافعهم لا تزال غامضة، فإن أوجه التشابه مع جهات فاعلة أخرى من دول قومية (خاصة من الصين وإيران وكوريا الشمالية) استخدمت برامج الفدية في عمليات جيوسياسية تشير إلى أن مجموعة Storm-2603 قد تقع على الخط الفاصل بين التجسس والجريمة ذات الدوافع المالية.

العلاقة بين التهديدات المتقدمة المستمرة والجرائم الإلكترونية: مصدر قلق متزايد

يُجسّد Storm-2603 اتجاهًا متزايدًا لجهات التهديد الهجينة، التي تمزج تقنيات التهديد المستمر المتقدم (APT) التقليدية مع عمليات برامج الفدية. ومن أبرز هذه التكتيكات:

أبرز النقاط التكتيكية:

• استخدام اختطاف DLL لإيصال سلالات متعددة من برامج الفدية.
• BYOVD لتفكيك أدوات حماية نقطة النهاية.
• الاعتماد على أدوات مفتوحة المصدر للتخفي وإمكانية التوسع.

إن استخدام المجموعة لنفس البنية التحتية لاستضافة واجهات الويب (مثل spinstall0.aspx) وتسهيل اتصالات C2 يؤكد على التطور المتزايد للهجمات الإلكترونية في العصر الحديث.

تكشف عمليات Storm-2603 عن تطور خطير في مجال الجرائم الإلكترونية، حيث تؤدي الخطوط غير الواضحة بين التجسس الذي ترعاه الدولة وحملات البرامج الضارة التي تعمل على تحقيق الربح إلى جعل الإسناد والدفاع والاستجابة أكثر تعقيدًا بشكل كبير.