AK47 C2 ਫਰੇਮਵਰਕ

ਹਾਲ ਹੀ ਵਿੱਚ ਸਾਹਮਣੇ ਆਏ ਇੱਕ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਵਿਅਕਤੀ, ਜਿਸਦੀ ਪਛਾਣ Storm-2603 ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਨੂੰ Microsoft SharePoint ਸਰਵਰ ਵਿੱਚ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਸ਼ੋਸ਼ਣ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਸ ਸਮੂਹ 'ਤੇ ਚੀਨ ਤੋਂ ਬਾਹਰ ਕੰਮ ਕਰਨ ਦਾ ਸ਼ੱਕ ਹੈ ਅਤੇ ਆਪਣੇ ਹਮਲਿਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ AK47 C2 (ਜਿਸਨੂੰ ak47c2 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨਾਮਕ ਇੱਕ ਕਸਟਮ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਫਰੇਮਵਰਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

AK47 C2 ਪਲੇਟਫਾਰਮ ਦੋ ਮੁੱਖ ਸੰਚਾਰ ਵਿਧੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ: AK47HTTP (C2 ਸੰਚਾਰ ਲਈ HTTP ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ) ਅਤੇ AK47DNS (ਗੁਪਤ ਕਮਾਂਡ ਡਿਲੀਵਰੀ ਲਈ DNS ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ)।

ਇਹ ਹਿੱਸੇ ਮਾਲਵੇਅਰ ਨੂੰ HTTP ਜਾਂ DNS ਸਰਵਰ ਜਵਾਬਾਂ ਤੋਂ ਪਾਰਸ ਕੀਤੇ ਡੇਟਾ ਦੇ ਆਧਾਰ 'ਤੇ cmd.exe ਰਾਹੀਂ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ।

ਵੱਧ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵ ਲਈ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੀਆਂ ਖਾਮੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ

Storm-2603 ਨੇ SharePoint ਕਮਜ਼ੋਰੀਆਂ CVE-2025-49706 ਅਤੇ CVE-2025-49704 (ਜਿਸਨੂੰ ToolShell ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨੂੰ ਨੈੱਟਵਰਕਾਂ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਅਤੇ ਖਤਰਨਾਕ ਪੇਲੋਡ ਤੈਨਾਤ ਕਰਨ ਲਈ ਹਥਿਆਰ ਬਣਾਇਆ ਹੈ। ਇਹਨਾਂ ਵਿੱਚੋਂ ਮੁੱਖ ਰੈਨਸਮਵੇਅਰ ਪਰਿਵਾਰ ਹਨ ਜਿਵੇਂ ਕਿ ਵਾਰਲਾਕ (ਉਰਫ਼ X2anylock) ਅਤੇ ਲੌਕਬਿਟ ਬਲੈਕ, ਇੱਕ ਅਸਾਧਾਰਨ ਸੁਮੇਲ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਮੁੱਖ ਧਾਰਾ ਦੇ ਈ-ਕ੍ਰਾਈਮ ਆਪਰੇਟਰਾਂ ਵਿੱਚ ਨਹੀਂ ਦੇਖਿਆ ਜਾਂਦਾ ਹੈ।

ਇੱਕ ਮੁੱਖ ਤਕਨੀਕੀ ਸੂਚਕਾਂ ਵਿੱਚ, dnsclient.exe ਨਾਮਕ ਇੱਕ ਬੈਕਡੋਰ, ਜੋ ਕਿ AK47 C2 ਸੂਟ ਦਾ ਹਿੱਸਾ ਹੈ, ਇੱਕ ਨਕਲੀ ਡੋਮੇਨ ਨਾਲ DNS-ਅਧਾਰਿਤ ਸੰਚਾਰ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ:
update.updatemicfosoft.com, ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇੱਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਅਪਡੇਟ ਸਰਵਰ ਦੀ ਨਕਲ ਕਰਨਾ।

ਹਾਈਬ੍ਰਿਡ ਆਰਸੈਨਲ: ਓਪਨ-ਸੋਰਸ ਕਸਟਮ ਪੇਲੋਡ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ

Storm-2603 ਦੀ ਟੂਲਕਿੱਟ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਅਤੇ ਖਤਰਨਾਕ ਸੁਧਾਰਾਂ ਦੇ ਮਿਸ਼ਰਣ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਆਮ ਤੌਰ 'ਤੇ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਸਹੂਲਤਾਂ:

• ਮਾਸਸਕੈਨ - ਪੋਰਟ ਸਕੈਨਿੰਗ ਅਤੇ ਖੋਜ ਲਈ।
• WinPcap - ਨੈੱਟਵਰਕ ਪੈਕੇਟ ਕੈਪਚਰ ਟੂਲ।
• SharpHostInfo - ਹੋਸਟ-ਅਧਾਰਿਤ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ।
• nxc ਅਤੇ PsExec - ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਟੂਲ।

ਨੁਕਸਾਨਦੇਹ ਜੋੜ:

• 7z.exe ਅਤੇ 7z.dll: ਜਾਇਜ਼ 7-ਜ਼ਿਪ ਬਾਈਨਰੀਆਂ ਨੂੰ ਇੱਕ DLL ਨੂੰ ਸਾਈਡਲੋਡ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ ਜੋ ਵਾਰਲੌਕ ਰੈਨਸਮਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
• bbb.msi: ਇੱਕ ਇੰਸਟਾਲਰ ਜੋ clink_dll_x86.dll ਨੂੰ clink_x86.exe ਰਾਹੀਂ ਸਾਈਡਲੋਡ ਕਰਦਾ ਹੈ, ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ LockBit Black ਤੈਨਾਤੀ ਹੁੰਦੀ ਹੈ।

ਇਹਨਾਂ ਔਜ਼ਾਰਾਂ ਦੀ ਵਰਤੋਂ BYOVD (Bring Your Own Vulnerable Driver) ਤਕਨੀਕਾਂ ਦੇ ਨਾਲ ਮਿਲ ਕੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਤਾਂ ਜੋ ਐਂਡਪੁਆਇੰਟ ਡਿਫੈਂਸ ਨੂੰ ਬੇਅਸਰ ਕੀਤਾ ਜਾ ਸਕੇ, ਨਾਲ ਹੀ DLL ਸਾਈਡਲੋਡਿੰਗ ਰਣਨੀਤੀਆਂ ਵੀ ਸ਼ਾਮਲ ਹਨ, ਜੋ ਖੋਜ ਅਤੇ ਜਵਾਬ ਨੂੰ ਹੋਰ ਵੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੀਆਂ ਹਨ।

ਭੂਗੋਲਿਕ ਪਹੁੰਚ ਅਤੇ ਪਰਛਾਵੇਂ ਉਦੇਸ਼

ਸਬੂਤ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ Storm-2603 ਘੱਟੋ-ਘੱਟ ਮਾਰਚ 2025 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਜੋ ਕਿ ਲਾਤੀਨੀ ਅਮਰੀਕਾ ਅਤੇ ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ (APAC) ਖੇਤਰ ਦੀਆਂ ਇਕਾਈਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਰੈਨਸਮਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨੂੰ ਜੋੜਨ ਅਤੇ ਵਿਭਿੰਨ ਭੂਗੋਲਿਕ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੀ ਸਮੂਹ ਦੀ ਰਣਨੀਤੀ ਇਸਦੇ ਅੰਤਮ ਟੀਚਿਆਂ ਬਾਰੇ ਸਵਾਲ ਖੜ੍ਹੇ ਕਰਦੀ ਹੈ।

ਹਾਲਾਂਕਿ ਉਨ੍ਹਾਂ ਦੀਆਂ ਪ੍ਰੇਰਣਾਵਾਂ ਧੁੰਦਲੀਆਂ ਰਹਿੰਦੀਆਂ ਹਨ, ਪਰ ਹੋਰ ਰਾਸ਼ਟਰ-ਰਾਜ ਅਦਾਕਾਰਾਂ (ਖਾਸ ਕਰਕੇ ਚੀਨ, ਈਰਾਨ ਅਤੇ ਉੱਤਰੀ ਕੋਰੀਆ ਤੋਂ) ਨਾਲ ਸਮਾਨਤਾਵਾਂ, ਜਿਨ੍ਹਾਂ ਨੇ ਭੂ-ਰਾਜਨੀਤਿਕ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਰੈਨਸਮਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ, ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਸਟੋਰਮ-2603 ਜਾਸੂਸੀ ਅਤੇ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਅਪਰਾਧ ਵਿਚਕਾਰ ਰੇਖਾ ਨੂੰ ਫੈਲਾ ਸਕਦਾ ਹੈ।

ਏਪੀਟੀ-ਅਪਰਾਧਿਕ ਗਠਜੋੜ: ਇੱਕ ਵਧਦੀ ਚਿੰਤਾ

ਸਟੋਰਮ-2603 ਹਾਈਬ੍ਰਿਡ ਖ਼ਤਰੇ ਦੇ ਕਾਰਕੁਨਾਂ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦਾ ਹੈ, ਜੋ ਰਵਾਇਤੀ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਖ਼ਤਰੇ (APT) ਤਕਨੀਕਾਂ ਨੂੰ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਮਿਲਾਉਂਦੇ ਹਨ। ਧਿਆਨ ਦੇਣ ਯੋਗ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਰਣਨੀਤਕ ਹਾਈਲਾਈਟਸ:

• ਕਈ ਰੈਨਸਮਵੇਅਰ ਸਟ੍ਰੇਨ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ DLL ਹਾਈਜੈਕਿੰਗ ਦੀ ਵਰਤੋਂ।
• BYOVD ਐਂਡਪੁਆਇੰਟ ਪ੍ਰੋਟੈਕਸ਼ਨ ਟੂਲਸ ਨੂੰ ਖਤਮ ਕਰੇਗਾ।
• ਸਟੀਲਥ ਅਤੇ ਸਕੇਲੇਬਿਲਟੀ ਲਈ ਓਪਨ-ਸੋਰਸ ਟੂਲਸ 'ਤੇ ਨਿਰਭਰਤਾ।

ਗਰੁੱਪ ਵੱਲੋਂ ਵੈੱਬ ਸ਼ੈੱਲਾਂ (ਜਿਵੇਂ ਕਿ spinstall0.aspx) ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਅਤੇ C2 ਸੰਚਾਰ ਦੀ ਸਹੂਲਤ ਲਈ ਉਸੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਆਧੁਨਿਕ ਸਮੇਂ ਦੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੀ ਵਧਦੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਸਟੋਰਮ-2603 ਦੇ ਕਾਰਜ ਸਾਈਬਰ ਅਪਰਾਧ ਵਿੱਚ ਇੱਕ ਖ਼ਤਰਨਾਕ ਵਿਕਾਸ ਦਾ ਖੁਲਾਸਾ ਕਰਦੇ ਹਨ, ਜਿੱਥੇ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਜਾਸੂਸੀ ਅਤੇ ਮੁਨਾਫ਼ਾ-ਸੰਚਾਲਿਤ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਵਿਚਕਾਰ ਧੁੰਦਲੀਆਂ ਲਾਈਨਾਂ ਵਿਸ਼ੇਸ਼ਤਾ, ਬਚਾਅ ਅਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਨੂੰ ਕਾਫ਼ੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੀਆਂ ਹਨ।