Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós AK47 C2 Framework

AK47 C2 Framework

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Un actor d'amenaces recentment descobert, identificat com Storm-2603, ha estat vinculat a l'explotació de vulnerabilitats de seguretat conegudes a Microsoft SharePoint Server. Se sospita que aquest grup opera des de la Xina i utilitza un marc de treball personalitzat de comandament i control (C2) anomenat AK47 C2 (també estilitzat com ak47c2) per orquestrar els seus atacs.

La plataforma AK47 C2 utilitza dos mètodes de comunicació principals: AK47HTTP (utilitza protocols HTTP per a la comunicació C2) i AK47DNS (aprofita els protocols DNS per al lliurament d'ordres encobertes).

Aquests components ajuden el programari maliciós a rebre i executar ordres en sistemes infectats mitjançant cmd.exe, basant-se en dades analitzades de les respostes del servidor HTTP o DNS.

Explotació dels defectes de Microsoft per a un impacte màxim

Storm-2603 ha convertit les vulnerabilitats de SharePoint CVE-2025-49706 i CVE-2025-49704 (també conegudes com a ToolShell) en una arma per violar les xarxes i desplegar càrregues útils malicioses. Entre les principals hi ha famílies de ransomware com ara Warlock (també conegut com a X2anylock) i LockBit Black, una combinació inusual que no s'observa típicament entre els operadors convencionals de delicte electrònic.

En un dels indicadors tècnics clau, una porta del darrere anomenada dnsclient.exe, que forma part del conjunt AK47 C2, utilitza comunicació basada en DNS amb un domini falsificat:
update.updatemicfosoft.com, imitant un servidor d'actualització de Microsoft per evadir la detecció.

Arsenal híbrid: codi obert es troba amb càrregues útils personalitzades

El conjunt d'eines de Storm-2603 demostra una barreja de programari legítim i millores malicioses, incloent:

Utilitats d'ús comú:

  • massscan – Per a l'escaneig i el reconeixement de ports.
  • WinPcap: eina de captura de paquets de xarxa.
  • SharpHostInfo: recopila informació basada en l'amfitrió.
  • nxc i PsExec: eines d'execució remota d'ordres.

Addicions malicioses:

  • 7z.exe i 7z.dll: Binaris legítims de 7-Zip explotats per carregar lateralment una DLL que lliura el ransomware Warlock.
  • bbb.msi: Un instal·lador que carrega lateralment clink_dll_x86.dll a través de clink_x86.exe, cosa que finalment resulta en la implementació de LockBit Black.

Aquestes eines s'utilitzen juntament amb tècniques BYOVD (Bring Your Own Vulnerable Driver) per neutralitzar les defenses dels endpoints, juntament amb tàctiques de càrrega lateral de DLL, cosa que complica encara més la detecció i la resposta.

Abast geogràfic i objectius enigmàtics

L'evidència suggereix que Storm-2603 ha estat actiu des d'almenys el març del 2025, dirigint-se a entitats de tota l'Amèrica Llatina i la regió Àsia-Pacífic (APAC). L'estratègia del grup de combinar famílies de ransomware i dirigir-se a diversos sectors geogràfics planteja preguntes sobre els seus objectius finals.

Tot i que les seves motivacions continuen sent confuses, els paral·lelismes amb altres actors estatals (en particular de la Xina, l'Iran i Corea del Nord) que han utilitzat ransomware en operacions geopolítiques suggereixen que Storm-2603 podria estar a cavall entre l'espionatge i el crim amb motivació financera.

El nexe APT-Criminal: una preocupació creixent

Storm-2603 exemplifica una tendència creixent d'actors d'amenaces híbrides, aquells que combinen tècniques tradicionals d'amenaces persistents avançades (APT) amb operacions de ransomware. Entre les tàctiques més destacades hi ha:

Aspectes tàctics destacats:

  • Ús del segrest de DLL per distribuir múltiples soques de ransomware.
  • BYOVD per desmantellar eines de protecció de punts finals.
  • Dependència d'eines de codi obert per a la discreció i l'escalabilitat.

L'ús que fa el grup de la mateixa infraestructura per allotjar shells web (com ara spininstall0.aspx) i facilitar les comunicacions C2 subratlla la creixent sofisticació dels ciberatacs moderns.

Les operacions de Storm-2603 revelen una perillosa evolució en la ciberdelinqüència, on les línies borroses entre l'espionatge patrocinat per l'estat i les campanyes de programari maliciós amb ànim de lucre fan que l'atribució, la defensa i la resposta siguin significativament més complexes.

Tendència

Més vist

Carregant...