AK47 C2 फ्रेमवर्क

हाल ही में उजागर हुए एक ख़तरा अभिनेता, जिसकी पहचान स्टॉर्म-2603 के रूप में हुई है, को माइक्रोसॉफ्ट शेयरपॉइंट सर्वर में ज्ञात सुरक्षा कमज़ोरियों का फायदा उठाने से जोड़ा गया है। इस समूह के चीन से संचालित होने का संदेह है और यह अपने हमलों को अंजाम देने के लिए AK47 C2 (जिसे ak47c2 भी कहा जाता है) नामक एक कस्टम कमांड-एंड-कंट्रोल (C2) फ्रेमवर्क का इस्तेमाल करता है।

AK47 C2 प्लेटफॉर्म दो प्राथमिक संचार विधियों का उपयोग करता है: AK47HTTP (C2 संचार के लिए HTTP प्रोटोकॉल का उपयोग करता है) और AK47DNS (गुप्त कमांड डिलीवरी के लिए DNS प्रोटोकॉल का लाभ उठाता है)।

ये घटक मैलवेयर को HTTP या DNS सर्वर प्रतिक्रियाओं से प्राप्त डेटा के आधार पर cmd.exe के माध्यम से संक्रमित सिस्टम पर कमांड प्राप्त करने और निष्पादित करने में मदद करते हैं।

अधिकतम प्रभाव के लिए माइक्रोसॉफ्ट की खामियों का फायदा उठाना

स्टॉर्म-2603 ने नेटवर्क में सेंध लगाने और दुर्भावनापूर्ण पेलोड तैनात करने के लिए SharePoint की कमजोरियों CVE-2025-49706 और CVE-2025-49704 (जिसे टूलशेल भी कहा जाता है) को हथियार बना लिया है। इनमें वॉरलॉक (उर्फ X2anylock) और लॉकबिट ब्लैक जैसे रैंसमवेयर परिवार प्रमुख हैं, जो एक असामान्य संयोजन है जो आमतौर पर मुख्यधारा के ई-क्राइम ऑपरेटरों में नहीं देखा जाता है।

प्रमुख तकनीकी संकेतकों में से एक में, dnsclient.exe नामक एक बैकडोर, जो AK47 C2 सुइट का हिस्सा है, एक नकली डोमेन के साथ DNS-आधारित संचार का उपयोग करता है:
update.updatemicfosoft.com, पता लगाने से बचने के लिए माइक्रोसॉफ्ट अपडेट सर्वर की नकल करता है।

हाइब्रिड शस्त्रागार: ओपन-सोर्स और कस्टम पेलोड का संगम

स्टॉर्म-2603 का टूलकिट वैध सॉफ्टवेयर और दुर्भावनापूर्ण संवर्द्धनों का मिश्रण प्रदर्शित करता है, जिसमें शामिल हैं:

सामान्यतः प्रयुक्त उपयोगिताएँ:

• मासस्कैन - पोर्ट स्कैनिंग और टोही के लिए।
• WinPcap - नेटवर्क पैकेट कैप्चर टूल.
• SharpHostInfo - होस्ट-आधारित जानकारी एकत्र करता है।
• nxc और PsExec - दूरस्थ कमांड निष्पादन उपकरण।

दुर्भावनापूर्ण जोड़:

• 7z.exe और 7z.dll: वैध 7-ज़िप बाइनरी का उपयोग एक DLL को साइडलोड करने के लिए किया जाता है जो वॉरलॉक रैनसमवेयर वितरित करता है।
• bbb.msi: एक इंस्टॉलर जो clink_x86.exe के माध्यम से clink_dll_x86.dll को साइडलोड करता है, जिसके परिणामस्वरूप अंततः LockBit Black परिनियोजन होता है।

इन उपकरणों का उपयोग BYOVD (अपना स्वयं का कमजोर ड्राइवर लाओ) तकनीकों के साथ संयोजन में किया जाता है, ताकि एंडपॉइंट सुरक्षा को बेअसर किया जा सके, साथ ही DLL साइडलोडिंग रणनीति के साथ, पता लगाने और प्रतिक्रिया को और अधिक जटिल बनाया जा सके।

भौगोलिक पहुंच और अस्पष्ट उद्देश्य

सबूत बताते हैं कि स्टॉर्म-2603 कम से कम मार्च 2025 से सक्रिय है और लैटिन अमेरिका और एशिया-प्रशांत (APAC) क्षेत्र की संस्थाओं को निशाना बना रहा है। रैंसमवेयर परिवारों को मिलाकर और विविध भौगोलिक क्षेत्रों को निशाना बनाकर इस समूह की रणनीति इसके अंतिम लक्ष्यों पर सवाल उठाती है।

यद्यपि उनकी मंशा अभी भी अस्पष्ट है, लेकिन अन्य राष्ट्र-राज्य अभिनेताओं (विशेष रूप से चीन, ईरान और उत्तर कोरिया) के साथ समानताएं, जिन्होंने भू-राजनीतिक कार्यों में रैनसमवेयर का उपयोग किया है, यह सुझाव देती हैं कि स्टॉर्म-2603 जासूसी और वित्तीय रूप से प्रेरित अपराध के बीच की रेखा को पार कर सकता है।

एपीटी-आपराधिक गठजोड़: एक बढ़ती चिंता

स्टॉर्म-2603 हाइब्रिड थ्रेट एक्टर्स के बढ़ते चलन का उदाहरण है, जो पारंपरिक एडवांस्ड परसिस्टेंट थ्रेट (APT) तकनीकों को रैंसमवेयर ऑपरेशनों के साथ मिलाते हैं। उल्लेखनीय रणनीतियाँ इस प्रकार हैं:

सामरिक मुख्य बिंदु:

• एकाधिक रैनसमवेयर स्ट्रेन वितरित करने के लिए DLL अपहरण का उपयोग।
• BYOVD का उपयोग अंतबिंदु सुरक्षा उपकरणों को नष्ट करने के लिए किया जाएगा।
• गुप्तता और मापनीयता के लिए ओपन-सोर्स उपकरणों पर निर्भरता।

समूह द्वारा वेब शेल्स (जैसे spinstall0.aspx) की मेजबानी और C2 संचार को सुविधाजनक बनाने के लिए समान बुनियादी ढांचे का उपयोग आधुनिक साइबर हमलों की बढ़ती परिष्कृतता को रेखांकित करता है।

स्टॉर्म-2603 की गतिविधियां साइबर अपराध में एक खतरनाक विकास को उजागर करती हैं, जहां राज्य प्रायोजित जासूसी और लाभ-संचालित मैलवेयर अभियानों के बीच धुंधली रेखाएं आरोप, बचाव और प्रतिक्रिया को काफी अधिक जटिल बना देती हैं।