Rangka Kerja AK47 C2

Pelakon ancaman yang ditemui baru-baru ini, dikenal pasti sebagai Storm-2603, telah dikaitkan dengan eksploitasi kelemahan keselamatan yang diketahui dalam Pelayan Microsoft SharePoint. Kumpulan ini disyaki beroperasi di luar China dan menggunakan rangka kerja Command-and-Control (C2) tersuai yang digelar AK47 C2 (juga digayakan sebagai ak47c2) untuk mengatur serangannya.

Platform AK47 C2 menggunakan dua kaedah komunikasi utama: AK47HTTP (Menggunakan protokol HTTP untuk komunikasi C2) dan AK47DNS (Memanfaatkan protokol DNS untuk penghantaran arahan rahsia).

Komponen ini membantu perisian hasad menerima dan melaksanakan arahan pada sistem yang dijangkiti melalui cmd.exe, berdasarkan data yang dihuraikan daripada respons pelayan HTTP atau DNS.

Memanfaatkan Kepincangan Microsoft untuk Kesan Maksimum

Storm-2603 telah mempersenjatai kelemahan SharePoint CVE-2025-49706 dan CVE-2025-49704 (juga dikenali sebagai ToolShell) untuk melanggar rangkaian dan menggunakan muatan berniat jahat. Ketua di kalangan ini ialah keluarga perisian tebusan seperti Warlock (aka X2anylock) dan LockBit Black, gabungan luar biasa yang biasanya tidak diperhatikan dalam kalangan pengendali e-jenayah arus perdana.

Dalam salah satu penunjuk teknikal utama, pintu belakang bernama dnsclient.exe, sebahagian daripada suite AK47 C2, menggunakan komunikasi berasaskan DNS dengan domain palsu:
update.updatemicfosoft.com, meniru pelayan kemas kini Microsoft untuk mengelakkan pengesanan.

Arsenal Hibrid: Sumber Terbuka Memenuhi Muatan Tersuai

Kit alat Storm-2603 menunjukkan gabungan perisian yang sah dan peningkatan berniat jahat, termasuk:

Utiliti yang Biasa Digunakan:

• masscan – Untuk imbasan port dan peninjauan.
• WinPcap – Alat tangkapan paket rangkaian.
• SharpHostInfo – Mengumpul maklumat berasaskan hos.
• nxc dan PsExec – Alat pelaksanaan arahan jauh.

Penambahan Hasad:

• 7z.exe dan 7z.dll: Perduaan 7-Zip yang sah dieksploitasi untuk memuatkan sisi DLL yang menyampaikan perisian tebusan Warlock.
• bbb.msi: Pemasang yang memuatkan clink_dll_x86.dll melalui clink_x86.exe, akhirnya menghasilkan penggunaan LockBit Black.

Alat ini digunakan bersama-sama dengan teknik BYOVD (Bawa Pemandu Rentan Anda Sendiri) untuk meneutralkan pertahanan titik akhir, bersama-sama dengan taktik pemuatan sisi DLL, merumitkan lagi pengesanan dan tindak balas.

Jangkauan Geografi dan Objektif Berbayang

Bukti menunjukkan Storm-2603 telah aktif sejak sekurang-kurangnya Mac 2025, menyasarkan entiti di seluruh Amerika Latin dan rantau Asia-Pasifik (APAC). Strategi kumpulan untuk menggabungkan keluarga perisian tebusan dan menyasarkan pelbagai sektor geografi menimbulkan persoalan tentang matlamat utamanya.

Walaupun motivasi mereka kekal kabur, selari dengan pelakon negara bangsa lain (terutamanya dari China, Iran, dan Korea Utara) yang telah menggunakan perisian tebusan dalam operasi geopolitik mencadangkan bahawa Storm-2603 mungkin mengatasi garis antara pengintipan dan jenayah bermotifkan kewangan.

Nexus Penjenayah APT: Kebimbangan yang semakin meningkat

Storm-2603 mencontohkan trend peningkatan pelakon ancaman hibrid, mereka yang mencampurkan teknik Ancaman Berterusan Lanjutan (APT) tradisional dengan operasi perisian tebusan. Taktik yang patut diberi perhatian termasuk:

Sorotan Taktikal:

• Penggunaan rampasan DLL untuk menyampaikan pelbagai jenis perisian tebusan.
• BYOVD untuk membongkar alat perlindungan titik akhir.
• Pergantungan pada alat sumber terbuka untuk siluman dan skalabiliti.

Penggunaan infrastruktur yang sama oleh kumpulan untuk mengehos cangkerang web (seperti spinstall0.aspx) dan memudahkan komunikasi C2 menggariskan peningkatan kecanggihan serangan siber moden.

Operasi Storm-2603 mendedahkan evolusi berbahaya dalam jenayah siber, di mana garis kabur antara pengintipan yang ditaja kerajaan dan kempen perisian hasad yang dipacu keuntungan menjadikan atribusi, pertahanan dan tindak balas dengan ketara lebih kompleks.