AK47 C2 raamistik
Hiljuti avastatud ohutegija, keda on identifitseeritud kui Storm-2603, on seostatud Microsoft SharePoint Serveri teadaolevate turvanõrkuste ärakasutamisega. Kahtlustatakse, et see rühmitus tegutseb Hiinast ja kasutab oma rünnakute korraldamiseks kohandatud juhtimis- ja kontrolliraamistikku (C2), mida nimetatakse AK47 C2-ks (stiliseeritud ka kui ak47c2).
AK47 C2 platvorm kasutab kahte peamist suhtlusmeetodit: AK47HTTP (kasutab C2 suhtluseks HTTP-protokolle) ja AK47DNS (kasutab DNS-protokolle salajase käskude edastamiseks).
Need komponendid aitavad pahavaral cmd.exe kaudu nakatunud süsteemides käske vastu võtta ja täita, mis põhinevad HTTP- või DNS-serveri vastustest parsitud andmetel.
Sisukord
Microsofti vigade ärakasutamine maksimaalse mõju saavutamiseks
Storm-2603 on muutnud SharePointi haavatavused CVE-2025-49706 ja CVE-2025-49704 (tuntud ka kui ToolShell) relvaks, et tungida võrkudesse ja levitada pahatahtlikke ressursse. Nende hulgas on peamised lunavara perekonnad nagu Warlock (tuntud ka kui X2anylock) ja LockBit Black – ebatavaline kombinatsioon, mida tavapäraste e-kuritegevuse operaatorite seas tavaliselt ei esine.
Ühes peamises tehnilises indikaatoris kasutab AK47 C2 komplekti kuuluv tagauks nimega dnsclient.exe DNS-põhist suhtlust võltsdomeeniga:
update.updatemicfosoft.com, mis jäljendab Microsofti värskendusserverit, et vältida tuvastamist.
Hübriidarsenal: avatud lähtekoodiga tarkvara ja kohandatud kasulikud koormused
Storm-2603 tööriistakomplekt demonstreerib segu legitiimsest tarkvarast ja pahatahtlikest täiustustest, sealhulgas:
Tavaliselt kasutatavad utiliidid:
- masscan – Sadamate skaneerimiseks ja luureks.
- WinPcap – võrgupakettide püüdmise tööriist.
- SharpHostInfo – Kogub hostipõhist teavet.
- nxc ja PsExec – kaugkäskude täitmise tööriistad.
Pahatahtlikud lisandused:
- 7z.exe ja 7z.dll: legitiimseid 7-Zip binaarfaile kasutati ära Warlocki lunavara edastava DLL-i külglaadimiseks.
- bbb.msi: Installer, mis laadib clink_dll_x86.dll faili clink_x86.exe kaudu, mille tulemuseks on LockBit Blacki juurutamine.
Neid tööriistu kasutatakse koos BYOVD (Bring Your Own Vulnerable Driver) tehnikatega, et neutraliseerida lõpp-punkti kaitset, koos DLL-i külglaadimise taktikaga, mis veelgi raskendab tuvastamist ja reageerimist.
Geograafiline ulatus ja varjatud eesmärgid
Tõendid viitavad sellele, et Storm-2603 on olnud aktiivne vähemalt alates 2025. aasta märtsist, sihtides üksusi kogu Ladina-Ameerikas ja Aasia ja Vaikse ookeani piirkonnas. Grupi strateegia lunavaraperekondade kombineerimiseks ja erinevate geograafiliste sektorite sihtimiseks tekitab küsimusi selle lõppeesmärkide kohta.
Kuigi nende motivatsioon on endiselt ebaselge, viitavad paralleelid teiste rahvusriikide osalejatega (eelkõige Hiinast, Iraanist ja Põhja-Koreast), kes on geopoliitilistes operatsioonides lunavara kasutanud, sellele, et Storm-2603 võib paikneda spionaaži ja rahaliselt motiveeritud kuritegevuse piiril.
APT ja kuritegevuse seos: kasvav mure
Storm-2603 on näide hübriidohtude tekitajate kasvavast trendist, kus traditsioonilisi täiustatud püsiva ohu (APT) tehnikaid kombineeritakse lunavaraoperatsioonidega. Märkimisväärsete taktikate hulka kuuluvad:
Taktikalised esiletõstmised:
- DLL-i kaaperdamise kasutamine mitmete lunavara tüvede levitamiseks.
- BYOVD lõpp-punkti kaitsetööriistade lammutamiseks.
- Varjatud toimimise ja skaleeritavuse tagamiseks tuginetakse avatud lähtekoodiga tööriistadele.
See, et grupp kasutab veebikestade (nt spinstall0.aspx) majutamiseks ja C2-suhtluse hõlbustamiseks sama infrastruktuuri, rõhutab tänapäevaste küberrünnakute üha keerukamaks muutumist.
Storm-2603 operatsioonid paljastavad küberkuritegevuse ohtliku arengu, kus hägused piirid riiklikult toetatud spionaaži ja kasumile orienteeritud pahavarakampaaniate vahel muudavad omistamise, kaitsmise ja reageerimise oluliselt keerulisemaks.
