AK47 C2-rammeværk
En nyligt afsløret trusselsaktør, identificeret som Storm-2603, er blevet forbundet med udnyttelsen af kendte sikkerhedssårbarheder i Microsoft SharePoint Server. Denne gruppe mistænkes for at operere fra Kina og anvender et brugerdefineret Command-and-Control (C2) framework kaldet AK47 C2 (også stiliseret som ak47c2) til at orkestrere sine angreb.
AK47 C2-platformen anvender to primære kommunikationsmetoder: AK47HTTP (bruger HTTP-protokoller til C2-kommunikation) og AK47DNS (udnytter DNS-protokoller til levering af skjulte kommandoer).
Disse komponenter hjælper malwaren med at modtage og udføre kommandoer på inficerede systemer via cmd.exe, baseret på data analyseret fra HTTP- eller DNS-serversvar.
Indholdsfortegnelse
Udnyttelse af Microsofts fejl for maksimal effekt
Storm-2603 har udnyttet SharePoint-sårbarhederne CVE-2025-49706 og CVE-2025-49704 (også kendt som ToolShell) som våben til at bryde netværk og udrulle ondsindede data. De vigtigste blandt disse er ransomware-familier som Warlock (også kendt som X2anylock) og LockBit Black, en usædvanlig kombination, der typisk ikke ses blandt almindelige e-kriminalitetsoperatører.
I en af de vigtigste tekniske indikatorer bruger en bagdør ved navn dnsclient.exe, en del af AK47 C2-pakken, DNS-baseret kommunikation med et forfalsket domæne:
update.updatemicfosoft.com, der efterligner en Microsoft-opdateringsserver for at undgå at blive opdaget.
Hybrid Arsenal: Open Source møder brugerdefinerede nyttelaster
Storm-2603's værktøjssæt demonstrerer en blanding af legitim software og skadelige forbedringer, herunder:
Almindeligt anvendte værktøjer:
- masscan – Til havnescanning og rekognoscering.
- WinPcap – Værktøj til netværkspakkeindsamling.
- SharpHostInfo – Indsamler værtsbaserede oplysninger.
- nxc og PsExec – Værktøjer til fjernudførelse af kommandoer.
Ondsindede tilføjelser:
- 7z.exe og 7z.dll: Legitime 7-Zip-binære filer udnyttet til at sideloade en DLL, der leverer Warlock ransomware.
- bbb.msi: Et installationsprogram, der sideloader clink_dll_x86.dll via clink_x86.exe, hvilket i sidste ende resulterer i LockBit Black-implementering.
Disse værktøjer bruges sammen med BYOVD-teknikker (Bring Your Own Vulnerable Driver) til at neutralisere endpoint-forsvar, sammen med DLL-sideloading-taktikker, hvilket yderligere komplicerer detektion og reaktion.
Geografisk rækkevidde og skyggefulde mål
Beviser tyder på, at Storm-2603 har været aktiv siden mindst marts 2025 og har målrettet enheder i Latinamerika og Asien-Stillehavsregionen (APAC). Gruppens strategi om at kombinere ransomware-familier og målrette forskellige geografiske sektorer rejser spørgsmål om dens endelige mål.
Selvom deres motivationer forbliver uklare, tyder paralleller med andre nationalstatslige aktører (især fra Kina, Iran og Nordkorea), der har anvendt ransomware i geopolitiske operationer, på, at Storm-2603 muligvis befinder sig på grænsen mellem spionage og økonomisk motiveret kriminalitet.
Forholdet mellem APT og kriminalitet: En voksende bekymring
Storm-2603 eksemplificerer en stigende tendens af hybride trusselsaktører, dem der blander traditionelle Advanced Persistent Threat (APT) teknikker med ransomware-operationer. Bemærkelsesværdige taktikker inkluderer:
Taktiske højdepunkter:
- Brug af DLL-kapring til at levere flere ransomware-stammer.
- BYOVD afvikler værktøjer til endpoint-beskyttelse.
- Afhængighed af open source-værktøjer for stealth og skalerbarhed.
Gruppens brug af den samme infrastruktur til hosting af web shells (som spinstall0.aspx) og facilitering af C2-kommunikation understreger den stigende sofistikering af moderne cyberangreb.
Storm-2603's operationer afslører en farlig udvikling inden for cyberkriminalitet, hvor slørede linjer mellem statsstøttet spionage og profitdrevne malwarekampagner gør tilskrivning, forsvar og reaktion betydeligt mere kompleks.
