AK47 C2 ietvars
Nesen atklāts apdraudējuma izpildītājs, kas identificēts kā Storm-2603, ir saistīts ar zināmu drošības ievainojamību izmantošanu Microsoft SharePoint Server. Pastāv aizdomas, ka šī grupa darbojas no Ķīnas un izmanto pielāgotu vadības un kontroles (C2) sistēmu ar nosaukumu AK47 C2 (arī stilizēta kā ak47c2), lai organizētu savus uzbrukumus.
AK47 C2 platforma izmanto divas galvenās saziņas metodes: AK47HTTP (izmanto HTTP protokolus C2 saziņai) un AK47DNS (izmanto DNS protokolus slepenai komandu piegādei).
Šie komponenti palīdz ļaunprogrammatūrai saņemt un izpildīt komandas inficētajās sistēmās, izmantojot cmd.exe, pamatojoties uz datiem, kas parsēti no HTTP vai DNS servera atbildēm.
Satura rādītājs
Microsoft trūkumu izmantošana maksimālai ietekmei
Storm-2603 ir ierocis SharePoint ievainojamības CVE-2025-49706 un CVE-2025-49704 (pazīstamas arī kā ToolShell), lai iekļūtu tīklos un izvietotu ļaunprātīgas slodzes. Galvenās no tām ir izspiedējvīrusu saimes, piemēram, Warlock (pazīstams arī kā X2anylock) un LockBit Black — neparasta kombinācija, kas parasti nav novērota starp galvenajiem e-noziegumu operatoriem.
Vienā no galvenajiem tehniskajiem rādītājiem aizmugurējās durvis ar nosaukumu dnsclient.exe, kas ir daļa no AK47 C2 komplekta, izmanto uz DNS balstītu saziņu ar viltotu domēnu:
update.updatemicfosoft.com, kas atdarina Microsoft atjauninājumu serveri, lai izvairītos no atklāšanas.
Hibrīda arsenāls: atvērtā koda programmatūra satiek pielāgotas lietderīgās slodzes
Storm-2603 rīkkopa demonstrē likumīgas programmatūras un ļaunprātīgu uzlabojumu sajaukumu, tostarp:
Bieži izmantotās utilītas:
- masscan – ostu skenēšanai un izlūkošanai.
- WinPcap – tīkla pakešu uztveršanas rīks.
- SharpHostInfo – apkopo informāciju par resursdatoru.
- nxc un PsExec – attālinātās komandu izpildes rīki.
Ļaunprātīgi papildinājumi:
- 7z.exe un 7z.dll: likumīgi 7-Zip binārie faili tiek izmantoti, lai sānielādētu DLL, kas piegādā Warlock izspiedējvīrusu.
- bbb.msi: Instalēšanas programma, kas sānielādē clink_dll_x86.dll, izmantojot clink_x86.exe, kā rezultātā tiek izvietots LockBit Black.
Šie rīki tiek izmantoti kopā ar BYOVD (Bring Your Own Vulnerable Driver — Paņemiet līdzi savu ievainojamo draiveri) metodēm, lai neitralizētu galapunktu aizsardzību, kā arī ar DLL sānielādes taktiku, kas vēl vairāk sarežģī noteikšanu un reaģēšanu.
Ģeogrāfiskā sasniedzamība un neskaidri mērķi
Pierādījumi liecina, ka Storm-2603 ir bijis aktīvs vismaz kopš 2025. gada marta, mērķējot uz vienībām visā Latīņamerikā un Āzijas un Klusā okeāna (APAC) reģionā. Grupas stratēģija apvienot izspiedējvīrusu saimes un mērķēt uz dažādām ģeogrāfiskām nozarēm rada jautājumus par tās galvenajiem mērķiem.
Lai gan viņu motivācija joprojām ir neskaidra, paralēles ar citiem nacionālo valstu dalībniekiem (īpaši no Ķīnas, Irānas un Ziemeļkorejas), kas ir izmantojuši izspiedējvīrusus ģeopolitiskās operācijās, liecina, ka Storm-2603 varētu atrasties uz robežas starp spiegošanu un finansiāli motivētu noziegumu.
APT un noziedzības saikne: pieaugošas bažas
Storm-2603 ir piemērs pieaugošai hibrīddraudu dalībnieku tendencei, proti, tiem, kas apvieno tradicionālās uzlaboto pastāvīgo draudu (APT) metodes ar izspiedējvīrusu operācijām. Ievērības cienīgas taktikas ir šādas:
Taktiskie svarīgākie aspekti:
- DLL nolaupīšanas izmantošana, lai piegādātu vairākus izspiedējvīrusu celmus.
- BYOVD demontēt galapunktu aizsardzības rīkus.
- Paļaušanās uz atvērtā pirmkoda rīkiem slepenības un mērogojamības nodrošināšanai.
Grupas vienas un tās pašas infrastruktūras izmantošana tīmekļa čaulu (piemēram, spinstall0.aspx) mitināšanai un C2 saziņas veicināšanai uzsver mūsdienu kiberuzbrukumu pieaugošo sarežģītību.
Storm-2603 operācijas atklāj bīstamu kibernoziedzības evolūciju, kur neskaidras robežas starp valsts sponsorētu spiegošanu un peļņas gūšanas nolūkā veiktām ļaunprogrammatūras kampaņām ievērojami sarežģī vainas noteikšanu, aizsardzību un reaģēšanu.
