Ponuda s popustom na više licenci
Baza prijetnji Malware Okvir za AK47 C2

Okvir za AK47 C2

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Nedavno otkriveni akter prijetnje, identificiran kao Storm-2603, povezan je s iskorištavanjem poznatih sigurnosnih ranjivosti u Microsoft SharePoint Serveru. Sumnja se da ova skupina djeluje iz Kine i koristi prilagođeni okvir za upravljanje i kontrolu (C2) nazvan AK47 C2 (također stiliziran kao ak47c2) za orkestriranje svojih napada.

Platforma AK47 C2 koristi dvije primarne metode komunikacije: AK47HTTP (koristi HTTP protokole za C2 komunikaciju) i AK47DNS (koristi DNS protokole za prikrivenu dostavu naredbi).

Ove komponente pomažu zlonamjernom softveru primati i izvršavati naredbe na zaraženim sustavima putem cmd.exe, na temelju podataka analiziranih iz odgovora HTTP ili DNS poslužitelja.

Iskorištavanje Microsoftovih nedostataka za maksimalan učinak

Storm-2603 je iskoristio ranjivosti SharePointa CVE-2025-49706 i CVE-2025-49704 (također poznate kao ToolShell) za probijanje u mreže i postavljanje zlonamjernih sadržaja. Među njima su glavne obitelji ransomwarea poput Warlocka (poznatog i kao X2anylock) i LockBit Blacka, neobična kombinacija koja se obično ne primjećuje među glavnim operaterima e-kriminala.

U jednom od ključnih tehničkih pokazatelja, backdoor pod nazivom dnsclient.exe, dio AK47 C2 paketa, koristi komunikaciju temeljenu na DNS-u s lažnom domenom:
update.updatemicfosoft.com, oponašajući Microsoftov poslužitelj za ažuriranje kako bi izbjegao otkrivanje.

Hibridni arsenal: Otvoreni kod susreće prilagođene korisne sadržaje

Storm-2603 alati predstavljaju mješavinu legitimnog softvera i zlonamjernih poboljšanja, uključujući:

Često korišteni uslužni programi:

  • masscan – Za skeniranje luka i izviđanje.
  • WinPcap – Alat za hvatanje mrežnih paketa.
  • SharpHostInfo – Prikuplja informacije o hostu.
  • nxc i PsExec – Alati za izvršavanje udaljenih naredbi.

Zlonamjerni dodaci:

  • 7z.exe i 7z.dll: Legitimne 7-Zip binarne datoteke iskorištene za bočno učitavanje DLL-a koji isporučuje Warlock ransomware.
  • bbb.msi: Instalacijski program koji učitava clink_dll_x86.dll putem clink_x86.exe, što u konačnici rezultira implementacijom LockBit Blacka.

Ovi se alati koriste zajedno s BYOVD (Bring Your Own Vulnerable Driver) tehnikama za neutraliziranje obrane krajnjih točaka, zajedno s taktikama bočnog učitavanja DLL-a, što dodatno komplicira otkrivanje i odgovor.

Geografski doseg i sumnjivi ciljevi

Dokazi upućuju na to da je Storm-2603 aktivan najmanje od ožujka 2025., ciljajući subjekte diljem Latinske Amerike i azijsko-pacifičke (APAC) regije. Strategija skupine koja kombinira obitelji ransomwarea i cilja različite geografske sektore postavlja pitanja o njezinim krajnjim ciljevima.

Iako su im motivacije i dalje nejasne, paralele s drugim nacionalnim državama (posebno iz Kine, Irana i Sjeverne Koreje) koje su koristile ransomware u geopolitičkim operacijama sugeriraju da bi Storm-2603 mogao balansirati između špijunaže i financijski motiviranog kriminala.

Veza između APT-a i kriminala: rastuća zabrinutost

Storm-2603 primjer je rastućeg trenda hibridnih prijetnji, onih koji kombiniraju tradicionalne tehnike naprednih trajnih prijetnji (APT) s operacijama ransomwarea. Značajne taktike uključuju:

Taktički naglasci:

  • Korištenje otmice DLL-ova za isporuku više sojeva ransomwarea.
  • BYOVD će ukinuti alate za zaštitu krajnjih točaka.
  • Oslanjanje na alate otvorenog koda za prikrivenost i skalabilnost.

Korištenje iste infrastrukture od strane grupe za hosting web ljuski (poput spinstall0.aspx) i olakšavanje C2 komunikacije naglašava sve veću sofisticiranost modernih kibernetičkih napada.

Operacije Storm-2603 otkrivaju opasnu evoluciju kibernetičkog kriminala, gdje zamagljene granice između špijunaže koju sponzorira država i profitno orijentiranih kampanja zlonamjernog softvera znatno otežavaju atribuciju, obranu i odgovor.

U trendu

Nagledanije

Učitavam...