הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית מסגרת AK47 C2

מסגרת AK47 C2

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

גורם איום שנחשף לאחרונה, שזוהה כ-Storm-2603, נקשר לניצול פגיעויות אבטחה ידועות ב-Microsoft SharePoint Server. קבוצה זו חשודה כפעילה מסין ומשתמשת במסגרת פיקוד ובקרה (C2) מותאמת אישית בשם AK47 C2 (מסוגנן גם כ-ak47c2) כדי לתזמר את התקפותיה.

פלטפורמת AK47 C2 משתמשת בשתי שיטות תקשורת עיקריות: AK47HTTP (משתמש בפרוטוקולי HTTP לתקשורת C2) ו-AK47DNS (משתמש בפרוטוקולי DNS למסירת פקודות חשאיות).

רכיבים אלה עוזרים לתוכנה הזדונית לקבל ולבצע פקודות במערכות נגועות דרך cmd.exe, בהתבסס על נתונים שנותחו מתגובות שרת HTTP או DNS.

ניצול פגמים של מיקרוסופט להשגת השפעה מרבית

Storm-2603 השתמשה בנשק של פגיעויות SharePoint CVE-2025-49706 ו-CVE-2025-49704 (הידועות גם כ-ToolShell) כדי לפרוץ לרשתות ולפרוס מטענים זדוניים. העיקריות שבהן הן משפחות של תוכנות כופר כמו Warlock (הידוע גם כ-X2anylock) ו-LockBit Black, שילוב יוצא דופן שלא נצפה בדרך כלל בקרב מפעילי פשיעה אלקטרונית מרכזיים.

באחד המדדים הטכניים המרכזיים, דלת אחורית בשם dnsclient.exe, חלק מחבילת AK47 C2, משתמשת בתקשורת מבוססת DNS עם דומיין מזויף:
update.updatemicfosoft.com, המחקה שרת עדכונים של מיקרוסופט כדי להתחמק מגילוי.

ארסנל היברידי: קוד פתוח פוגש מטענים מותאמים אישית

ערכת הכלים של Storm-2603 מדגימה שילוב של תוכנות לגיטימיות ושיפורים זדוניים, כולל:

כלי עזר נפוצים:

  • masscan – לסריקת נמלים וסיור.
  • WinPcap – כלי ללכידת חבילות רשת.
  • SharpHostInfo – אוסף מידע מבוסס מארח.
  • nxc ו-PsExec - כלי ביצוע פקודות מרחוק.

תוספות זדוניות:

  • 7z.exe ו-7z.dll: קבצים בינאריים לגיטימיים של 7-Zip מנוצלים כדי לטעון בצד את קובץ DLL שמספק תוכנת כופר Warlock.
  • bbb.msi: מתקין שגורם לטעינה צדדית של clink_dll_x86.dll דרך clink_x86.exe, וכתוצאה מכך פריסת LockBit Black.

כלים אלה משמשים בשילוב עם טכניקות BYOVD (הבא את מנהל ההתקן הפגיע שלך) כדי לנטרל הגנות של נקודות קצה, יחד עם טקטיקות טעינה צדדית של קבצי DLL, מה שמסבך עוד יותר את הזיהוי והתגובה.

טווח גיאוגרפי ויעדים מעורפלים

ראיות מצביעות על כך ש-Storm-2603 פעילה לפחות מאז מרץ 2025, ומכוונת לגופים ברחבי אמריקה הלטינית ואזור אסיה-פסיפיק (APAC). האסטרטגיה של הקבוצה לשלב משפחות של תוכנות כופר ולכוון למגזרים גיאוגרפיים מגוונים מעלה שאלות לגבי מטרותיה הסופיות.

למרות שהמניעים שלהם נותרו מעורפלים, הקבלות עם גורמים אחרים במדינות לאום (בעיקר מסין, איראן וצפון קוריאה) שהשתמשו בתוכנות כופר בפעולות גיאופוליטיות מצביעות על כך ש-Storm-2603 עשויה לחצות את הגבול שבין ריגול לפשע בעל מניע כלכלי.

הקשר בין APT לפלילים: דאגה גוברת

Storm-2603 מדגימה מגמה גוברת של גורמי איום היברידיים, אלו המשלבים טכניקות מסורתיות של איום מתמשך מתקדם (APT) עם פעולות כופר. הטקטיקות הבולטות כוללות:

נקודות עיקריות טקטיות:

  • שימוש בחטיפת DLL כדי להעביר מספר זנים של תוכנות כופר.
  • BYOVD תפרק את כלי הגנת נקודות הקצה.
  • הסתמכות על כלי קוד פתוח לצורך חשאיות ויכולת הרחבה.

השימוש של הקבוצה באותה תשתית לאירוח קונכיות אינטרנט (כגון spinstall0.aspx) וקידום תקשורת C2 מדגיש את התחכום הגובר של מתקפות סייבר מודרניות.

פעולותיה של Storm-2603 חושפות התפתחות מסוכנת בפשעי סייבר, שבה קווי המתאר המטושטשים בין ריגול בחסות המדינה לבין קמפיינים של תוכנות זדוניות המונעות על ידי רווח הופכים את הייחוס, ההגנה והתגובה למורכבים משמעותית.

מגמות

מסמך משותף - הונאת דוא"ל בנושא הצעת עסק ורשימת מוצרים

פישינג, ספאם
מומחי אבטחת סייבר זיהו קמפיין ספאם זדוני הכולל מיילים הונאה שכותרתו 'מסמך משותף - הצעה עסקית ורשימת מוצרים'. הודעות מטעות אלו טוענות כי הנמען קיבל הצעה עסקית ופרטי מוצר קשורים, אך במציאות, הן נועדו לגנוב פרטי התחברות רגישים. חשוב להדגיש כי מיילים אלה אינם קשורים לחברות, ארגונים או ספקי שירותים לגיטימיים, למרות ניסיונותיהם להיראות אותנטיים. טקטיקות מטעות מאחורי ההונאה הודעות הדוא"ל המרמה...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
36,128
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...