AK47 C2 -kehys
Äskettäin paljastunut uhkatoimija, Storm-2603, on yhdistetty Microsoft SharePoint Serverin tunnettujen tietoturva-aukkojen hyödyntämiseen. Ryhmän epäillään toimivan Kiinasta käsin ja käyttävän hyökkäystensä järjestämiseen mukautettua komento- ja hallintajärjestelmää (C2).
AK47 C2 -alusta käyttää kahta ensisijaista viestintämenetelmää: AK47HTTP (käyttää HTTP-protokollia C2-viestintään) ja AK47DNS (hyödyntää DNS-protokollia peiteltyyn komentojen toimitukseen).
Nämä komponentit auttavat haittaohjelmaa vastaanottamaan ja suorittamaan komentoja tartunnan saaneissa järjestelmissä cmd.exe-tiedoston kautta HTTP- tai DNS-palvelinvastauksista jäsennettyä dataa käyttäen.
Sisällysluettelo
Microsoftin heikkouksien hyödyntäminen maksimaalisen vaikutuksen saavuttamiseksi
Storm-2603 on aseistanut SharePoint-haavoittuvuudet CVE-2025-49706 ja CVE-2025-49704 (tunnetaan myös nimellä ToolShell) verkkoihin murtautumiseksi ja haitallisten hyötykuvien levittämiseksi. Näistä tärkeimpiä ovat kiristysohjelmaperheet, kuten Warlock (eli X2anylock) ja LockBit Black, epätavallinen yhdistelmä, jota ei tyypillisesti havaita valtavirran sähköisen rikollisuuden harjoittajilla.
Yhdessä keskeisistä teknisistä indikaattoreista dnsclient.exe-niminen takaovi, joka on osa AK47 C2 -pakettia, käyttää DNS-pohjaista viestintää väärennetyn verkkotunnuksen kanssa:
update.updatemicfosoft.com, joka matkii Microsoftin päivityspalvelinta välttääkseen havaitsemisen.
Hybrid Arsenal: Avoin lähdekoodi kohtaa mukautetut hyötykuormat
Storm-2603:n työkalupakki esittelee sekoituksen laillisia ohjelmistoja ja haitallisia parannuksia, mukaan lukien:
Yleisesti käytetyt apuohjelmat:
- masscan – Satamien skannaukseen ja tiedusteluun.
- WinPcap – Verkkopakettien sieppaustyökalu.
- SharpHostInfo – Kerää isäntäpohjaisia tietoja.
- nxc ja PsExec – Etäkomentojen suoritustyökalut.
Haitalliset lisäykset:
- 7z.exe ja 7z.dll: Laillisia 7-Zip-binääritiedostoja hyödynnettiin Warlock-kiristyshaittaohjelman toimittavan DLL-tiedoston sivulataukseen.
- bbb.msi: Asennusohjelma, joka lataa clink_dll_x86.dll-tiedoston sivulatauksena clink_x86.exe-tiedoston kautta, mikä lopulta johtaa LockBit Blackin käyttöönottoon.
Näitä työkaluja käytetään yhdessä BYOVD (Bring Your Own Vulnerable Driver) -tekniikoiden kanssa päätepisteiden puolustusmekanismien neutraloimiseksi yhdessä DLL-sivulataustaktiikoiden kanssa, mikä vaikeuttaa havaitsemista ja reagointia entisestään.
Maantieteellinen ulottuvuus ja hämärät tavoitteet
Todisteet viittaavat siihen, että Storm-2603 on ollut aktiivinen ainakin maaliskuusta 2025 lähtien ja kohdistanut iskujaan toimijoihin Latinalaisessa Amerikassa ja Aasian ja Tyynenmeren alueella (APAC). Ryhmän strategia yhdistää kiristysohjelmaperheitä ja kohdistaa iskujaan eri maantieteellisille sektoreille herättää kysymyksiä sen perimmäisistä tavoitteista.
Vaikka heidän motiivinsa ovat edelleen hämärän peitossa, yhtäläisyydet muiden kansallisvaltioiden (erityisesti Kiinan, Iranin ja Pohjois-Korean) kanssa, jotka ovat käyttäneet kiristyshaittaohjelmia geopoliittisissa operaatioissa, viittaavat siihen, että Storm-2603 saattaa asettua vakoilun ja taloudellisesti motivoituneen rikollisuuden rajalle.
APT-rikollisuusyhteys: Kasvava huolenaihe
Storm-2603 on esimerkki hybridiuhkien aiheuttajien kasvavasta trendistä, eli niiden, jotka yhdistävät perinteisiä edistyneiden pysyvien uhkien (APT) tekniikoita kiristyshaittaohjelmien toimintaan. Huomionarvoisia taktiikoita ovat:
Taktiset kohokohdat:
- DLL-kaappauksen käyttö useiden kiristysohjelmakantojen levittämiseen.
- BYOVD purkaa päätepisteiden suojaustyökalut.
- Avoimen lähdekoodin työkalujen käyttö piilotetun toiminnan ja skaalautuvuuden takaamiseksi.
Ryhmän saman infrastruktuurin käyttö web-kuorien (kuten spinstall0.aspx) isännöintiin ja C2-viestinnän helpottamiseen korostaa nykyaikaisten kyberhyökkäysten kasvavaa monimutkaisuutta.
Storm-2603:n toiminta paljastaa kyberrikollisuuden vaarallisen kehityksen, jossa valtion tukeman vakoilun ja voittoa tavoittelevien haittaohjelmakampanjoiden välinen hämärtynyt raja monimutkaistaa huomattavasti tekijöiden osoitusta, puolustusta ja reagointia.
