AK47 C2 फ्रेमवर्क
हालै पत्ता लागेको एक खतरा अभिनेता, जसलाई Storm-2603 भनेर चिनिन्छ, माइक्रोसफ्ट शेयरपोइन्ट सर्भरमा ज्ञात सुरक्षा कमजोरीहरूको शोषणसँग जोडिएको छ। यो समूह चीनबाट सञ्चालन हुने आशंका गरिएको छ र आफ्नो आक्रमणहरू व्यवस्थित गर्न AK47 C2 (ak47c2 को रूपमा पनि शैलीबद्ध) नामक कस्टम कमाण्ड-एन्ड-कन्ट्रोल (C2) फ्रेमवर्क प्रयोग गर्दछ।
AK47 C2 प्लेटफर्मले दुई प्राथमिक सञ्चार विधिहरू प्रयोग गर्दछ: AK47HTTP (C2 सञ्चारको लागि HTTP प्रोटोकलहरू प्रयोग गर्दछ) र AK47DNS (गोप्य आदेश डेलिभरीको लागि DNS प्रोटोकलहरू प्रयोग गर्दछ)।
यी कम्पोनेन्टहरूले मालवेयरलाई HTTP वा DNS सर्भर प्रतिक्रियाहरूबाट पार्स गरिएको डेटाको आधारमा cmd.exe मार्फत संक्रमित प्रणालीहरूमा आदेशहरू प्राप्त गर्न र कार्यान्वयन गर्न मद्दत गर्छन्।
सामग्रीको तालिका
अधिकतम प्रभावको लागि माइक्रोसफ्टका कमजोरीहरूको शोषण
Storm-2603 ले SharePoint भेद्यताहरू CVE-2025-49706 र CVE-2025-49704 (ToolShell को रूपमा पनि चिनिन्छ) लाई नेटवर्कहरू तोड्न र दुर्भावनापूर्ण पेलोडहरू तैनाथ गर्न हतियार बनाएको छ। यी मध्ये प्रमुख वारलक (उर्फ X2anylock) र लकबिट ब्ल्याक जस्ता ransomware परिवारहरू हुन्, जुन सामान्यतया मुख्यधारा ई-अपराध अपरेटरहरूमा अवलोकन गरिएको असामान्य संयोजन होइन।
एउटा प्रमुख प्राविधिक सूचकमा, AK47 C2 सुइटको भाग dnsclient.exe नामक ब्याकडोरले नक्कली डोमेनसँग DNS-आधारित सञ्चार प्रयोग गर्दछ:
update.updatemicfosoft.com, पत्ता लगाउनबाट बच्न माइक्रोसफ्ट अपडेट सर्भरको नक्कल गर्दै।
हाइब्रिड आर्सेनल: खुला स्रोतले अनुकूलन पेलोडहरू पूरा गर्दछ
Storm-2603 को टुलकिटले वैध सफ्टवेयर र दुर्भावनापूर्ण वृद्धिहरूको मिश्रण प्रदर्शन गर्दछ, जसमा समावेश छन्:
सामान्यतया प्रयोग हुने उपयोगिताहरू:
- मासस्क्यान - पोर्ट स्क्यानिङ र टोहीको लागि।
- WinPcap - नेटवर्क प्याकेट क्याप्चर उपकरण।
- SharpHostInfo - होस्ट-आधारित जानकारी सङ्कलन गर्दछ।
- nxc र PsExec - रिमोट कमाण्ड कार्यान्वयन उपकरणहरू।
दुर्भावनापूर्ण थपहरू:
- 7z.exe र 7z.dll: वारलक र्यान्समवेयर डेलिभर गर्ने DLL लाई साइडलोड गर्न वैध 7-Zip बाइनरीहरूको प्रयोग गरियो।
- bbb.msi: एउटा स्थापनाकर्ता जसले clink_dll_x86.dll लाई clink_x86.exe मार्फत साइडलोड गर्छ, जसले गर्दा अन्ततः LockBit Black तैनाती हुन्छ।
यी उपकरणहरू BYOVD (Bring Your Own Vulnerable Driver) प्रविधिहरूसँग संयोजनमा प्रयोग गरिन्छ जसले DLL साइडलोडिङ रणनीतिहरूसँगै, पत्ता लगाउने र प्रतिक्रियालाई अझ जटिल बनाउँछ, अन्त्य बिन्दु प्रतिरक्षाहरूलाई बेअसर गर्दछ।
भौगोलिक पहुँच र छायादार उद्देश्यहरू
प्रमाणले संकेत गर्छ कि Storm-2603 कम्तिमा मार्च २०२५ देखि सक्रिय छ, ल्याटिन अमेरिका र एशिया-प्रशान्त (APAC) क्षेत्रभरिका संस्थाहरूलाई लक्षित गर्दै। ransomware परिवारहरूलाई संयोजन गर्ने र विविध भौगोलिक क्षेत्रहरूलाई लक्षित गर्ने समूहको रणनीतिले यसको अन्तिम लक्ष्यहरूमाथि प्रश्न उठाउँछ।
यद्यपि उनीहरूको प्रेरणा अस्पष्ट छ, भूराजनीतिक कार्यहरूमा र्यान्समवेयर प्रयोग गर्ने अन्य राष्ट्र-राज्य अभिनेताहरू (विशेष गरी चीन, इरान र उत्तर कोरियाबाट) सँग समानताहरूले सुझाव दिन्छ कि Storm-2603 ले जासुसी र आर्थिक रूपमा प्रेरित अपराध बीचको रेखालाई पार गर्न सक्छ।
एपीटी-आपराधिक गठबन्धन: बढ्दो चिन्ता
Storm-2603 ले हाइब्रिड खतरा अभिनेताहरूको बढ्दो प्रवृत्तिको उदाहरण दिन्छ, जसले परम्परागत उन्नत पर्सिस्टेन्ट थ्रेट (APT) प्रविधिहरूलाई ransomware सञ्चालनसँग मिसाउँछन्। उल्लेखनीय रणनीतिहरूमा समावेश छन्:
रणनीतिक हाइलाइटहरू:
- धेरै ransomware स्ट्रेनहरू डेलिभर गर्न DLL अपहरणको प्रयोग।
- BYOVD ले अन्तिम बिन्दु सुरक्षा उपकरणहरू भत्काउनेछ।
- स्टिल्थ र स्केलेबिलिटीको लागि खुला स्रोत उपकरणहरूमा निर्भरता।
समूहले वेब शेलहरू (जस्तै spinstall0.aspx) होस्ट गर्न र C2 सञ्चारलाई सहज बनाउन उही पूर्वाधारको प्रयोगले आधुनिक समयका साइबर आक्रमणहरूको बढ्दो परिष्कारलाई रेखांकित गर्दछ।
Storm-2603 को सञ्चालनले साइबर अपराधमा खतरनाक विकासको खुलासा गर्छ, जहाँ राज्य-प्रायोजित जासुसी र नाफा-संचालित मालवेयर अभियानहरू बीचको धमिलो रेखाहरूले श्रेय, प्रतिरक्षा, र प्रतिक्रियालाई उल्लेखनीय रूपमा जटिल बनाउँछ।
