AK47 C2 Framework
Наскоро разкрит хакер, идентифициран като Storm-2603, е свързан с експлоатацията на известни уязвимости в сигурността на Microsoft SharePoint Server. За тази група се подозира, че действа от Китай и използва персонализирана система за командване и контрол (C2), наречена AK47 C2 (също стилизирана като ak47c2), за да организира атаките си.
Платформата AK47 C2 използва два основни метода за комуникация: AK47HTTP (използва HTTP протоколи за C2 комуникация) и AK47DNS (използва DNS протоколи за скрито доставяне на команди).
Тези компоненти помагат на зловредния софтуер да получава и изпълнява команди на заразените системи чрез cmd.exe, въз основа на данни, анализирани от отговорите на HTTP или DNS сървъра.
Съдържание
Използване на недостатъци на Microsoft за максимално въздействие
Storm-2603 е използвал уязвимостите в SharePoint CVE-2025-49706 и CVE-2025-49704 (известна също като ToolShell), за да прониква в мрежи и да разполага със злонамерени полезни товари. Сред тях са водещи семейства рансъмуер като Warlock (известен още като X2anylock) и LockBit Black, необичайна комбинация, която не се наблюдава сред масовите оператори на електронни престъпления.
В един от ключовите технически индикатори, задната вратичка с име dnsclient.exe, част от пакета AK47 C2, използва DNS-базирана комуникация с фалшив домейн:
update.updatemicfosoft.com, имитирайки сървър за актуализации на Microsoft, за да избегне откриването.
Хибриден арсенал: Отвореният код среща персонализираните полезни товари
Инструментариумът на Storm-2603 демонстрира комбинация от легитимен софтуер и злонамерени подобрения, включително:
Често използвани помощни програми:
- masscan – За сканиране на портове и разузнаване.
- WinPcap – инструмент за заснемане на мрежови пакети.
- SharpHostInfo – Събира информация, базирана на хоста.
- nxc и PsExec – Инструменти за дистанционно изпълнение на команди.
Злонамерени добавки:
- 7z.exe и 7z.dll: Легитимни 7-Zip двоични файлове, използвани за странично зареждане на DLL, който доставя Warlock ransomware.
- bbb.msi: Инсталатор, който зарежда clink_dll_x86.dll чрез clink_x86.exe, което в крайна сметка води до внедряване на LockBit Black.
Тези инструменти се използват заедно с техниките BYOVD (Bring Your Own Vulnerable Driver) за неутрализиране на защитата на крайните точки, заедно с тактики за странично зареждане на DLL, което допълнително усложнява откриването и реагирането.
Географски обхват и сенчести цели
Доказателствата сочат, че Storm-2603 е активна поне от март 2025 г., насочена към организации в Латинска Америка и Азиатско-тихоокеанския регион (APAC). Стратегията на групата за комбиниране на семейства ransomware и насочване към различни географски сектори повдига въпроси относно крайните ѝ цели.
Въпреки че мотивите им остават неясни, паралелите с други национални държави (особено от Китай, Иран и Северна Корея), които са използвали ransomware в геополитически операции, предполагат, че Storm-2603 може да се окаже на границата между шпионажа и финансово мотивираните престъпления.
Връзката между APT и престъпността: нарастваща загриженост
Буря-2603 е пример за нарастваща тенденция на хибридни злонамерени лица, които комбинират традиционните техники за напреднали постоянни заплахи (APT) с операции с ransomware. Забележителни тактики включват:
Тактически акценти:
- Използване на отвличане на DLL файлове за доставяне на множество щамове на ransomware.
- BYOVD ще премахне инструментите за защита на крайните точки.
- Разчитане на инструменти с отворен код за скритост и мащабируемост.
Използването от групата на една и съща инфраструктура за хостване на уеб шелове (като spinstall0.aspx) и улесняване на C2 комуникациите подчертава нарастващата сложност на съвременните кибератаки.
Операциите на Storm-2603 разкриват опасна еволюция в киберпрестъпността, където размитите граници между спонсорирания от държавата шпионаж и кампаниите със зловреден софтуер, насочени към печалба, правят атрибуцията, защитата и реагирането значително по-сложни.
