AK47 C2 프레임워크
최근 발견된 위협 행위자 Storm-2603이 Microsoft SharePoint Server의 알려진 보안 취약점을 악용한 것으로 밝혀졌습니다. 이 그룹은 중국에서 활동하는 것으로 추정되며, AK47 C2(ak47c2라고도 함)라는 맞춤형 명령제어(C2) 프레임워크를 사용하여 공격을 조직합니다.
AK47 C2 플랫폼은 두 가지 주요 통신 방법을 사용합니다. AK47HTTP(C2 통신에 HTTP 프로토콜 활용) 및 AK47DNS(은밀한 명령 전달에 DNS 프로토콜 활용)입니다.
이러한 구성 요소는 HTTP 또는 DNS 서버 응답에서 구문 분석된 데이터를 기반으로 cmd.exe를 통해 감염된 시스템에서 명령을 수신하고 실행하는 데 도움이 됩니다.
목차
최대 효과를 위한 Microsoft 결함 악용
Storm-2603은 SharePoint 취약점 CVE-2025-49706과 CVE-2025-49704(ToolShell로도 알려짐)를 무기화하여 네트워크를 침해하고 악성 페이로드를 유포했습니다. 이러한 랜섬웨어 중 가장 대표적인 것은 Warlock(일명 X2anylock)과 LockBit Black과 같은 랜섬웨어 계열로, 주류 전자 범죄 조직에서는 일반적으로 발견되지 않는 특이한 조합입니다.
핵심 기술 지표 중 하나는 AK47 C2 제품군의 일부인 dnsclient.exe라는 백도어가 스푸핑된 도메인과 DNS 기반 통신을 사용한다는 것입니다.
update.updatemicfosoft.com은 감지를 피하기 위해 Microsoft 업데이트 서버를 모방합니다.
하이브리드 무기고: 오픈 소스와 맞춤형 페이로드의 만남
Storm-2603의 툴킷은 다음을 포함하여 합법적인 소프트웨어와 악성 향상 기능이 혼합되어 있음을 보여줍니다.
일반적으로 사용되는 유틸리티:
- masscan – 포트 스캐닝 및 정찰용.
- WinPcap – 네트워크 패킷 캡처 도구.
- SharpHostInfo – 호스트 기반 정보를 수집합니다.
- nxc 및 PsExec – 원격 명령 실행 도구.
악성 추가 사항:
- 7z.exe 및 7z.dll: Warlock 랜섬웨어를 전달하는 DLL을 사이드로딩하는 데 악용되는 합법적인 7-Zip 바이너리입니다.
- bbb.msi: clink_x86.exe를 통해 clink_dll_x86.dll을 사이드로딩하여 최종적으로 LockBit Black 배포를 가져오는 설치 프로그램입니다.
이러한 도구는 BYOVD(취약한 드라이버를 직접 가져오는 것) 기술과 함께 사용되어 엔드포인트 방어를 무력화하고 DLL 사이드로딩 전술과 함께 사용되어 탐지 및 대응을 더욱 복잡하게 만듭니다.
지리적 도달 범위 및 모호한 목표
증거에 따르면 Storm-2603은 최소 2025년 3월부터 활동해 왔으며, 라틴 아메리카와 아시아 태평양(APAC) 지역의 여러 기관을 표적으로 삼고 있습니다. 랜섬웨어 계열을 결합하고 다양한 지역 시장을 표적으로 삼는 이 조직의 전략은 궁극적인 목표에 대한 의문을 제기합니다.
동기는 여전히 불분명하지만, 지정학적 작전에 랜섬웨어를 사용한 다른 국가적 행위자(특히 중국, 이란, 북한)와의 유사점을 고려하면 Storm-2603은 간첩과 재정적 동기의 범죄 사이의 경계에 있을 가능성이 있습니다.
APT-범죄 연계: 점점 커지는 우려
Storm-2603은 기존의 지능형 지속 위협(APT) 기법과 랜섬웨어 공격을 혼합하는 하이브리드 위협 행위자의 증가 추세를 잘 보여줍니다. 주목할 만한 전술은 다음과 같습니다.
전술적 하이라이트:
- DLL 하이재킹을 이용해 여러 종류의 랜섬웨어를 유포합니다.
- BYOVD로 엔드포인트 보호 도구가 해체됩니다.
- 은밀성과 확장성을 위해 오픈소스 도구에 의존합니다.
이 그룹은 웹 셸(spinstall0.aspx 등)을 호스팅하고 C2 통신을 원활하게 하기 위해 동일한 인프라를 사용한다는 점에서 현대 사이버 공격이 점점 더 정교해지고 있음을 보여줍니다.
스톰-2603의 작전은 사이버범죄의 위험한 진화를 보여줍니다. 국가가 지원하는 간첩 활동과 이익을 추구하는 맬웨어 캠페인 간의 경계가 모호해지면서 귀속, 방어 및 대응이 훨씬 더 복잡해졌습니다.
