ស៊ុម AK47 C2
តួអង្គគំរាមកំហែងដែលបានរកឃើញថ្មីៗនេះ ត្រូវបានកំណត់អត្តសញ្ញាណថាជា Storm-2603 ត្រូវបានភ្ជាប់ទៅនឹងការកេងប្រវ័ញ្ចនៃភាពងាយរងគ្រោះសុវត្ថិភាពដែលគេស្គាល់នៅក្នុង Microsoft SharePoint Server ។ ក្រុមនេះត្រូវបានគេសង្ស័យថាធ្វើប្រតិបត្តិការចេញពីប្រទេសចិន ហើយប្រើប្រាស់ក្របខ័ណ្ឌ Command-and-Control (C2) ផ្ទាល់ខ្លួនដែលដាក់ឈ្មោះថា AK47 C2 (ក៏មានរចនាប័ទ្មជា ak47c2) ដើម្បីរៀបចំការវាយប្រហាររបស់ខ្លួន។
វេទិកា AK47 C2 ប្រើវិធីទំនាក់ទំនងចម្បងពីរ៖ AK47HTTP (ប្រើពិធីការ HTTP សម្រាប់ការទំនាក់ទំនង C2) និង AK47DNS (ប្រើប្រាស់ពិធីការ DNS សម្រាប់ការចែកចាយពាក្យបញ្ជាសម្ងាត់) ។
សមាសធាតុទាំងនេះជួយឱ្យមេរោគទទួល និងប្រតិបត្តិពាក្យបញ្ជានៅលើប្រព័ន្ធមេរោគតាមរយៈ cmd.exe ដោយផ្អែកលើទិន្នន័យដែលបានញែកចេញពី HTTP ឬ DNS server responses ។
តារាងមាតិកា
ការទាញយកគុណវិបត្តិរបស់ Microsoft សម្រាប់ផលប៉ះពាល់អតិបរមា
Storm-2603 បានបំពាក់អាវុធនូវភាពងាយរងគ្រោះរបស់ SharePoint CVE-2025-49706 និង CVE-2025-49704 (ត្រូវបានគេស្គាល់ផងដែរថាជា ToolShell) ដើម្បីបំពានបណ្តាញ និងដាក់ពង្រាយបន្ទុកដែលមានគំនិតអាក្រក់។ មេក្នុងចំណោមទាំងនេះគឺជាគ្រួសារ ransomware ដូចជា Warlock (aka X2anylock) និង LockBit Black ដែលជាការរួមបញ្ចូលគ្នាមិនធម្មតាដែលជាធម្មតាមិនត្រូវបានគេសង្កេតឃើញក្នុងចំណោមប្រតិបត្តិករឧក្រិដ្ឋកម្មអេឡិចត្រូនិចទូទៅ។
នៅក្នុងសូចនករបច្ចេកទេសសំខាន់ៗមួយ backdoor ដែលមានឈ្មោះថា dnsclient.exe ដែលជាផ្នែកមួយនៃឈុត AK47 C2 ប្រើការទំនាក់ទំនងដែលមានមូលដ្ឋានលើ DNS ជាមួយដែនក្លែងបន្លំ៖
update.updatemicfosoft.com ធ្វើត្រាប់តាមម៉ាស៊ីនមេធ្វើបច្ចុប្បន្នភាព Microsoft ដើម្បីគេចពីការរកឃើញ។
ក្រុម Arsenal កូនកាត់៖ ប្រភពបើកចំហ ឆ្លើយតបនឹងការបង់ប្រាក់ផ្ទាល់ខ្លួន
ប្រអប់ឧបករណ៍របស់ Storm-2603 បង្ហាញពីការបញ្ចូលគ្នានៃកម្មវិធីស្របច្បាប់ និងការកែលម្អព្យាបាទ រួមទាំង៖
ឧបករណ៍ប្រើប្រាស់ទូទៅ៖
- Masscan - សម្រាប់ការស្កេនច្រក និងការឈ្លបយកការណ៍។
- WinPcap - ឧបករណ៍ចាប់យកកញ្ចប់បណ្តាញ។
- SharpHostInfo - ប្រមូលព័ត៌មានផ្អែកលើម៉ាស៊ីន។
- nxc និង PsExec - ឧបករណ៍ប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។
ការបន្ថែមព្យាបាទ៖
- 7z.exe និង 7z.dll៖ ប្រព័ន្ធគោលពីរ 7-Zip ស្របច្បាប់ត្រូវបានកេងប្រវ័ញ្ចដើម្បីផ្ទុក DLL ដែលចែកចាយ Warlock ransomware ។
- bbb.msi៖ កម្មវិធីដំឡើងដែលផ្ទុក clink_dll_x86.dll តាមរយៈ clink_x86.exe ទីបំផុតបណ្តាលឱ្យមានការដាក់ពង្រាយ LockBit Black ។
ឧបករណ៍ទាំងនេះត្រូវបានប្រើប្រាស់ដោយភ្ជាប់ជាមួយបច្ចេកទេស BYOVD (នាំយកកម្មវិធីបញ្ជាដែលងាយរងគ្រោះផ្ទាល់ខ្លួនរបស់អ្នក) ដើម្បីបន្សាបការការពារចំណុចបញ្ចប់ រួមជាមួយនឹងយុទ្ធសាស្ត្រផ្ទុកចំហៀងរបស់ DLL ដែលធ្វើអោយការរកឃើញ និងការឆ្លើយតបកាន់តែស្មុគស្មាញ។
Geographic Reach និង Shadowy Objectives
ភ័ស្តុតាងបង្ហាញថា Storm-2603 បានសកម្មតាំងពីខែមីនា ឆ្នាំ 2025 មកម្ល៉េះ ដោយបានកំណត់គោលដៅអង្គភាពនានានៅទូទាំងអាមេរិកឡាទីន និងតំបន់អាស៊ីប៉ាស៊ីហ្វិក (APAC)។ យុទ្ធសាស្ត្ររបស់ក្រុមនៃការរួមបញ្ចូលក្រុមគ្រួសារ ransomware និងកំណត់គោលដៅលើវិស័យភូមិសាស្រ្តចម្រុះ បង្កើតជាសំណួរអំពីគោលដៅចុងក្រោយរបស់វា។
ទោះបីជាការលើកទឹកចិត្តរបស់ពួកគេនៅតែមានភាពស្រពិចស្រពិលក៏ដោយ ស្របជាមួយនឹងតួអង្គរដ្ឋផ្សេងទៀត (ជាពិសេសពីប្រទេសចិន អ៊ីរ៉ង់ និងកូរ៉េខាងជើង) ដែលបានប្រើប្រាស់ ransomware នៅក្នុងប្រតិបត្តិការភូមិសាស្ត្រនយោបាយ បានបង្ហាញថា Storm-2603 អាចដើរលើខ្សែបន្ទាត់រវាងចារកម្ម និងឧក្រិដ្ឋកម្មដែលជំរុញដោយហិរញ្ញវត្ថុ។
APT-Criminal Nexus: ការព្រួយបារម្ភដែលកំពុងកើនឡើង
Storm-2603 ជាឧទាហរណ៍ពីនិន្នាការកើនឡើងនៃតួអង្គគំរាមកំហែងកូនកាត់ អ្នកដែលលាយបច្ចេកវិជ្ជា Advanced Persistent Threat (APT) ប្រពៃណីជាមួយនឹងប្រតិបត្តិការ ransomware ។ យុទ្ធសាស្ត្រគួរឲ្យកត់សម្គាល់រួមមាន៖
ការរំលេចយុទ្ធសាស្ត្រ៖
- ការប្រើប្រាស់ការលួច DLL ដើម្បីចែកចាយមេរោគ ransomware ជាច្រើន។
- BYOVD ដើម្បីរុះរើឧបករណ៍ការពារចំណុចបញ្ចប់។
- ការពឹងផ្អែកលើឧបករណ៍ប្រភពបើកចំហសម្រាប់ការបំបាំងកាយ និងការធ្វើមាត្រដ្ឋាន។
ការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធដូចគ្នារបស់ក្រុមសម្រាប់ការបង្ហោះសែលគេហទំព័រ (ដូចជា spinstall0.aspx) និងការសម្របសម្រួលទំនាក់ទំនង C2 គូសបញ្ជាក់អំពីការកើនឡើងនៃភាពស្មុគស្មាញនៃការវាយប្រហារតាមអ៊ីនធឺណិតសម័យទំនើប។
ប្រតិបត្តិការរបស់ Storm-2603 បង្ហាញពីការវិវត្តដ៏គ្រោះថ្នាក់នៅក្នុងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដែលបន្ទាត់ព្រិលៗរវាងចារកម្មដែលឧបត្ថម្ភដោយរដ្ឋ និងយុទ្ធនាការមេរោគដែលជំរុញដោយប្រាក់ចំណេញ ធ្វើឱ្យការវាយតម្លៃ ការការពារ និងការឆ្លើយតបកាន់តែស្មុគស្មាញ។
