Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware AK47 C2 keretrendszer

AK47 C2 keretrendszer

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy nemrég leleplezett fenyegetést, a Storm-2603-at a Microsoft SharePoint Server ismert biztonsági réseinek kihasználásával hozták összefüggésbe. A csoport feltehetően Kínából működik, és egy AK47 C2 (más néven ak47c2) névre keresztelt, egyedi Command-and-Control (C2) keretrendszert használ a támadások megszervezéséhez.

Az AK47 C2 platform két fő kommunikációs módszert alkalmaz: AK47HTTP-t (HTTP protokollokat használ a C2 kommunikációhoz) és AK47DNS-t (DNS protokollokat használ a titkos parancsok kézbesítéséhez).

Ezek az összetevők segítik a rosszindulatú programot a cmd.exe fájlon keresztül parancsok fogadásában és végrehajtásában a fertőzött rendszereken, a HTTP vagy DNS szerver válaszaiból elemzett adatok alapján.

A Microsoft hibáinak kihasználása a maximális hatás érdekében

A Storm-2603 fegyverként használta fel a CVE-2025-49706 és a CVE-2025-49704 (más néven ToolShell) SharePoint sebezhetőségeket, hogy behatolhasson a hálózatokba és rosszindulatú fájlokat telepíthessen. Ezek közé tartoznak a zsarolóvírus-családok, mint például a Warlock (más néven X2anylock) és a LockBit Black, egy szokatlan kombináció, amely nem jellemző a mainstream e-bűnözéssel foglalkozó operátorok körében.

Az egyik kulcsfontosságú technikai mutatóban az AK47 C2 csomag részeként található dnsclient.exe nevű hátsó ajtó DNS-alapú kommunikációt használ egy hamis domainnel:
update.updatemicfosoft.com, amely egy Microsoft frissítőkiszolgálót utánoz az észlelés elkerülése érdekében.

Hibrid Arzenál: Nyílt forráskódú és egyedi hasznos terhelések találkozása

A Storm-2603 eszközkészlete legitim szoftverek és rosszindulatú fejlesztések keverékét mutatja be, beleértve:

Gyakran használt segédprogramok:

  • masscan – Kikötői szkenneléshez és felderítéshez.
  • WinPcap – Hálózati csomagrögzítő eszköz.
  • SharpHostInfo – Gazdagép-alapú információkat gyűjt.
  • nxc és PsExec – Távoli parancsfuttató eszközök.

Rosszindulatú kiegészítések:

  • 7z.exe és 7z.dll: Legális 7-Zip binárisokat kihasználva oldalra töltöttek be egy Warlock zsarolóvírust tartalmazó DLL-t.
  • bbb.msi: Egy telepítő, amely a clink_x86.exe fájlon keresztül tölti be a clink_dll_x86.dll fájlt, ami végül a LockBit Black telepítését eredményezi.

Ezeket az eszközöket a BYOVD (Bring Your Own Vulnerable Driver – Saját sebezhető illesztőprogram használata) technikákkal együtt használják a végponti védelem semlegesítésére, valamint a DLL-ek oldalra töltési taktikájával, ami tovább bonyolítja az észlelést és a reagálást.

Földrajzi lefedettség és homályos célok

A bizonyítékok arra utalnak, hogy a Storm-2603 legalább 2025 márciusa óta aktív, és Latin-Amerikában és az ázsiai-csendes-óceáni (APAC) régióban számos szervezetet céloz meg. A csoport stratégiája, amely a zsarolóvírus-családok kombinálására és a különböző földrajzi szektorok megcélzására épül, kérdéseket vet fel a végső céljaival kapcsolatban.

Bár motivációik továbbra is homályosak, a párhuzamok más nemzetállami szereplőkkel (nevezetesen Kínával, Iránnal és Észak-Koreával), akik zsarolóvírusokat alkalmaztak geopolitikai műveletekben, arra utalnak, hogy a Storm-2603 a kémkedés és a pénzügyi indíttatású bűncselekmények határán mozoghat.

Az APT és a bűnözés közötti összefüggés: egyre növekvő aggodalomra ad okot

A Storm-2603 a hibrid fenyegetések elkövetőinek egyre növekvő trendjét példázza, akik a hagyományos, fejlett perzisztens fenyegetések (APT) technikáit ötvözik a zsarolóvírus-műveletekkel. A figyelemre méltó taktikák közé tartoznak:

Taktikai kiemelések:

  • DLL-eltérítés használata több zsarolóvírus-törzs terjesztésére.
  • A BYOVD leállítja a végpontvédelmi eszközöket.
  • A nyílt forráskódú eszközökre való támaszkodás a lopakodás és a skálázhatóság érdekében.

Az, hogy a csoport ugyanazt az infrastruktúrát használja webes shell-ek (például spinstall0.aspx) tárolására és a C2-kommunikáció elősegítésére, rávilágít a modern kori kibertámadások egyre kifinomultabb jellegére.

A Storm-2603 műveletei a kiberbűnözés veszélyes fejlődési irányát tárják fel, ahol az államilag támogatott kémkedés és a profitorientált rosszindulatú programkampányok közötti elmosódó határvonalak jelentősen bonyolultabbá teszik a felelősség megállapítását, a védekezést és a válaszlépéseket.

Felkapott

Megosztott dokumentum - Üzleti ajánlattal és...

Adathalászat, Spam
Kiberbiztonsági szakértők azonosítottak egy rosszindulatú spamkampányt, amely csalárd e-maileket tartalmazott, melynek címe „Megosztott dokumentum – Üzleti ajánlat és terméklista”. Ezek a megtévesztő üzenetek azt állítják, hogy a címzett üzleti ajánlatot és a kapcsolódó termékadatokat kapott, de valójában érzékeny bejelentkezési adatok ellopására szolgálnak. Fontos kiemelni, hogy ezek az...

Legnézettebb

Betöltés...