AK47 C2 sistema
Neseniai aptiktas grėsmių subjektas, identifikuotas kaip „Storm-2603“, buvo susietas su žinomų „Microsoft SharePoint Server“ saugumo spragų išnaudojimu. Įtariama, kad ši grupuotė veikia iš Kinijos ir savo atakoms organizuoti naudoja specialiai sukurtą komandų ir kontrolės (C2) sistemą, pavadintą AK47 C2 (taip pat stilizuotą kaip ak47c2).
AK47 C2 platforma naudoja du pagrindinius ryšio metodus: AK47HTTP (C2 ryšiui naudoja HTTP protokolus) ir AK47DNS (slaptam komandų perdavimui naudoja DNS protokolus).
Šie komponentai padeda kenkėjiškai programai gauti ir vykdyti komandas užkrėstose sistemose per cmd.exe, remiantis duomenimis, išanalizuotais iš HTTP arba DNS serverio atsakymų.
Turinys
„Microsoft“ trūkumų išnaudojimas siekiant maksimalaus poveikio
„Storm-2603“ pavertė „SharePoint“ pažeidžiamumus CVE-2025-49706 ir CVE-2025-49704 (taip pat žinomus kaip „ToolShell“), skirtus įsilaužti į tinklus ir dislokuoti kenkėjiškas programas. Svarbiausios iš jų yra išpirkos reikalaujančių programų šeimos, tokios kaip „Warlock“ (dar žinomas kaip „X2anylock“) ir „LockBit Black“ – neįprastas derinys, paprastai nepasireiškiantis tarp pagrindinių elektroninių nusikaltimų operatorių.
Viename iš pagrindinių techninių rodiklių, užpakalinės durys, vadinamos dnsclient.exe, kuri yra AK47 C2 rinkinio dalis, naudoja DNS pagrindu veikiantį ryšį su netikru domenu:
update.updatemicfosoft.com, imituojantis „Microsoft“ naujinimų serverį, siekiant išvengti aptikimo.
Hibridinis arsenalas: atvirojo kodo ir pritaikytų naudingųjų krūvių derinys
„Storm-2603“ įrankių rinkinys demonstruoja teisėtos programinės įrangos ir kenkėjiškų patobulinimų derinį, įskaitant:
Dažniausiai naudojamos komunalinės paslaugos:
- masscan – Uosto skenavimui ir žvalgybai.
- „WinPcap“ – tinklo paketų fiksavimo įrankis.
- „SharpHostInfo“ – renka informaciją apie prieglobą.
- nxc ir PsExec – nuotolinio komandų vykdymo įrankiai.
Kenkėjiški papildymai:
- 7z.exe ir 7z.dll: teisėti 7-Zip dvejetainiai failai išnaudoti siekiant įkelti DLL failą, kuris pristato „Warlock“ išpirkos reikalaujančią programinę įrangą.
- bbb.msi: Diegimo programa, kuri per clink_x86.exe įkelia clink_dll_x86.dll, galiausiai įdiegdama „LockBit Black“.
Šie įrankiai naudojami kartu su BYOVD (angl. „Bring Your Own Vulnerable Driver“) metodais, siekiant neutralizuoti galinių įrenginių apsaugą, kartu su DLL šalutinio įkėlimo taktika, o tai dar labiau apsunkina aptikimą ir reagavimą.
Geografinė aprėptis ir neaiškūs tikslai
Įrodymai rodo, kad „Storm-2603“ veikia mažiausiai nuo 2025 m. kovo mėn., taikydama subjektus visoje Lotynų Amerikoje ir Azijos ir Ramiojo vandenyno (APAC) regione. Grupės strategija derinti išpirkos reikalaujančių programų šeimas ir taikytis į įvairius geografinius sektorius kelia klausimų dėl jos galutinių tikslų.
Nors jų motyvai lieka migloti, paralelės su kitais nacionalinių valstybių veikėjais (ypač iš Kinijos, Irano ir Šiaurės Korėjos), kurie geopolitinėse operacijose naudojo išpirkos reikalaujančias programas, rodo, kad „Storm-2603“ gali būti tarp šnipinėjimo ir finansiškai motyvuotų nusikaltimų.
APT ir nusikalstamumo sąsaja: didėjantis susirūpinimas
„Storm-2603“ yra augančios hibridinių grėsmių veikėjų, kurie derina tradicines pažangių nuolatinių grėsmių (APT) technikas su išpirkos reikalaujančių programų operacijomis, tendencijos pavyzdys. Verta paminėti šiuos taktinius metodus:
Taktiniai akcentai:
- DLL užgrobimo naudojimas siekiant pateikti kelias išpirkos reikalaujančias programinės įrangos atmainas.
- BYOVD išmontuos galinių taškų apsaugos įrankius.
- Pasikliaujama atvirojo kodo įrankiais, siekiant slapto veikimo ir mastelio keitimo.
Tai, kad grupė naudoja tą pačią infrastruktūrą žiniatinklio apvalkalams (pvz., spinstall0.aspx) talpinti ir C2 ryšiui palengvinti, pabrėžia didėjantį šiuolaikinių kibernetinių atakų sudėtingumą.
„Storm-2603“ operacijos atskleidžia pavojingą kibernetinių nusikaltimų evoliuciją, kai neryškios ribos tarp valstybės remiamo šnipinėjimo ir pelno siekiančių kenkėjiškų programų kampanijų gerokai apsunkina priskyrimą, gynybą ir reagavimą.
