Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Πλαίσιο AK47 C2

Πλαίσιο AK47 C2

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Ένας πρόσφατα αποκαλυφθείς απειλητικός παράγοντας, που αναγνωρίστηκε ως Storm-2603, έχει συνδεθεί με την εκμετάλλευση γνωστών ευπαθειών ασφαλείας στον Microsoft SharePoint Server. Αυτή η ομάδα είναι ύποπτη ότι λειτουργεί από την Κίνα και χρησιμοποιεί ένα προσαρμοσμένο πλαίσιο Command-and-Control (C2) με την ονομασία AK47 C2 (επίσης τυποποιημένο ως ak47c2) για την ενορχήστρωση των επιθέσεών της.

Η πλατφόρμα AK47 C2 χρησιμοποιεί δύο κύριες μεθόδους επικοινωνίας: AK47HTTP (Χρησιμοποιεί πρωτόκολλα HTTP για επικοινωνία C2) και AK47DNS (Αξιοποιεί πρωτόκολλα DNS για μυστική παράδοση εντολών).

Αυτά τα στοιχεία βοηθούν το κακόβουλο λογισμικό να λαμβάνει και να εκτελεί εντολές σε μολυσμένα συστήματα μέσω του cmd.exe, με βάση δεδομένα που αναλύονται από απαντήσεις διακομιστή HTTP ή DNS.

Αξιοποίηση των ελαττωμάτων της Microsoft για μέγιστο αντίκτυπο

Το Storm-2603 έχει χρησιμοποιήσει ως όπλο τα τρωτά σημεία του SharePoint CVE-2025-49706 και CVE-2025-49704 (γνωστά και ως ToolShell) για να παραβιάζουν δίκτυα και να αναπτύσσουν κακόβουλα ωφέλιμα φορτία. Μεταξύ αυτών, κυριότερες είναι οι οικογένειες ransomware όπως το Warlock (γνωστό και ως X2anylock) και το LockBit Black, ένας ασυνήθιστος συνδυασμός που δεν παρατηρείται συνήθως μεταξύ των mainstream φορέων ηλεκτρονικού εγκλήματος.

Σε έναν από τους βασικούς τεχνικούς δείκτες, ένα backdoor με το όνομα dnsclient.exe, μέρος της σουίτας AK47 C2, χρησιμοποιεί επικοινωνία που βασίζεται σε DNS με έναν πλαστογραφημένο τομέα:
update.updatemicfosoft.com, μιμούμενο έναν διακομιστή ενημερώσεων της Microsoft για να αποφύγει τον εντοπισμό.

Υβριδικό Οπλοστάσιο: Ο Ανοιχτός Κώδικας Συναντά Προσαρμοσμένα Φορτία

Το κιτ εργαλείων του Storm-2603 παρουσιάζει ένα μείγμα νόμιμου λογισμικού και κακόβουλων βελτιώσεων, όπως:

Βοηθητικά προγράμματα που χρησιμοποιούνται συνήθως:

  • masscan – Για σάρωση και αναγνώριση θυρών.
  • WinPcap – Εργαλείο καταγραφής πακέτων δικτύου.
  • SharpHostInfo – Συλλέγει πληροφορίες που βασίζονται σε κεντρικούς υπολογιστές.
  • nxc και PsExec – Εργαλεία απομακρυσμένης εκτέλεσης εντολών.

Κακόβουλες προσθήκες:

  • 7z.exe και 7z.dll: Νόμιμα δυαδικά αρχεία 7-Zip που αξιοποιήθηκαν για την παράπλευρη φόρτωση ενός DLL που παραδίδει το ransomware Warlock.
  • bbb.msi: Ένα πρόγραμμα εγκατάστασης που φορτώνει το clink_dll_x86.dll μέσω του clink_x86.exe, με τελικό αποτέλεσμα την ανάπτυξη του LockBit Black.

Αυτά τα εργαλεία χρησιμοποιούνται σε συνδυασμό με τεχνικές BYOVD (Bring Your Own Vulnerable Driver - Φέρτε το Δικό σας Ευάλωτο Πρόγραμμα Οδήγησης) για την εξουδετέρωση των αμυντικών συστημάτων των τελικών σημείων, μαζί με τακτικές παράκαμψης DLL, περιπλέκοντας περαιτέρω την ανίχνευση και την απόκριση.

Γεωγραφική Εμβέλεια και Σκιώδεις Στόχοι

Τα στοιχεία υποδηλώνουν ότι ο Storm-2603 είναι ενεργός τουλάχιστον από τον Μάρτιο του 2025, στοχεύοντας οντότητες σε όλη τη Λατινική Αμερική και την περιοχή Ασίας-Ειρηνικού (APAC). Η στρατηγική της ομάδας να συνδυάζει οικογένειες ransomware και να στοχεύει σε διαφορετικούς γεωγραφικούς τομείς εγείρει ερωτήματα σχετικά με τους απώτερους στόχους της.

Αν και τα κίνητρά τους παραμένουν ασαφή, οι παραλληλισμοί με άλλους εθνικούς παράγοντες (κυρίως από την Κίνα, το Ιράν και τη Βόρεια Κορέα) που έχουν χρησιμοποιήσει ransomware σε γεωπολιτικές επιχειρήσεις υποδηλώνουν ότι το Storm-2603 μπορεί να βρίσκεται στα όρια μεταξύ κατασκοπείας και εγκλήματος με οικονομικά κίνητρα.

Η σχέση APT-Εγκλήματος: Μια αυξανόμενη ανησυχία

Το Storm-2603 αποτελεί παράδειγμα μιας αυξανόμενης τάσης των υβριδικών απειλητικών παραγόντων, εκείνων που συνδυάζουν τις παραδοσιακές τεχνικές Προηγμένης Επίμονης Απειλής (APT) με επιχειρήσεις ransomware. Αξιοσημείωτες τακτικές περιλαμβάνουν:

Τακτικά Κύρια Σημεία:

  • Χρήση hijacking DLL για την παράδοση πολλαπλών στελεχών ransomware.
  • BYOVD για την αποσυναρμολόγηση εργαλείων προστασίας τελικών σημείων.
  • Εξάρτηση από εργαλεία ανοιχτού κώδικα για μυστικότητα και επεκτασιμότητα.

Η χρήση της ίδιας υποδομής από την ομάδα για τη φιλοξενία web shells (όπως το spinstall0.aspx) και τη διευκόλυνση των επικοινωνιών C2 υπογραμμίζει την αυξανόμενη πολυπλοκότητα των σύγχρονων κυβερνοεπιθέσεων.

Οι επιχειρήσεις του Storm-2603 αποκαλύπτουν μια επικίνδυνη εξέλιξη στο κυβερνοέγκλημα, όπου τα θολά όρια μεταξύ της κρατικά χρηματοδοτούμενης κατασκοπείας και των καμπανιών κακόβουλου λογισμικού με στόχο το κέρδος καθιστούν την απόδοση, την άμυνα και την αντίδραση σημαντικά πιο περίπλοκες.

Τάσεις

Κοινόχρηστο Έγγραφο - Απάτη μέσω email με...

Phishing, Ανεπιθύμητη αλληλογραφία
Οι ειδικοί στον κυβερνοχώρο έχουν εντοπίσει μια κακόβουλη καμπάνια ανεπιθύμητης αλληλογραφίας που περιλαμβάνει δόλια email με τίτλο «Κοινόχρηστο Έγγραφο – Επιχειρηματική Πρόταση και Λίστα Προϊόντων». Αυτά τα παραπλανητικά μηνύματα ισχυρίζονται ότι στον παραλήπτη έχει σταλεί μια επιχειρηματική πρόταση και σχετικές λεπτομέρειες προϊόντος, αλλά στην πραγματικότητα έχουν σχεδιαστεί για να κλέψουν...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
36,128
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...