Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Struktura AK47 C2

Struktura AK47 C2

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Niedawno odkryto grupę atakującą, zidentyfikowaną jako Storm-2603, która została powiązana z wykorzystaniem znanych luk w zabezpieczeniach programu Microsoft SharePoint Server. Podejrzewa się, że grupa ta działa z Chin i wykorzystuje niestandardową platformę Command-and-Control (C2) o nazwie AK47 C2 (znaną również jako ak47c2) do organizowania ataków.

Platforma AK47 C2 wykorzystuje dwie podstawowe metody komunikacji: AK47HTTP (wykorzystuje protokoły HTTP do komunikacji C2) i AK47DNS (wykorzystuje protokoły DNS do ukrytego przekazywania poleceń).

Komponenty te pomagają złośliwemu oprogramowaniu odbierać i wykonywać polecenia w zainfekowanych systemach za pośrednictwem cmd.exe, w oparciu o dane pochodzące z odpowiedzi serwera HTTP lub DNS.

Wykorzystanie luk w oprogramowaniu Microsoft w celu uzyskania maksymalnego wpływu

Storm-2603 wykorzystał luki w zabezpieczeniach SharePoint CVE-2025-49706 i CVE-2025-49704 (znane również jako ToolShell) do włamania się do sieci i wdrażania złośliwych pakietów. Najważniejsze z nich to rodziny ransomware, takie jak Warlock (znany również jako X2anylock) i LockBit Black, nietypowe połączenie, którego zazwyczaj nie obserwuje się wśród głównych operatorów e-przestępczości.

Jednym z kluczowych wskaźników technicznych jest backdoor o nazwie dnsclient.exe, będący częścią pakietu AK47 C2, który wykorzystuje komunikację opartą na DNS z fałszywą domeną:
update.updatemicfosoft.com, imitujący serwer aktualizacji firmy Microsoft w celu uniknięcia wykrycia.

Hybrydowy arsenał: oprogramowanie typu open source spotyka niestandardowe ładunki

Zestaw narzędzi Storm-2603 stanowi połączenie legalnego oprogramowania i złośliwych udoskonaleń, w tym:

Często używane narzędzia:

  • masscan – Do skanowania portów i rozpoznania.
  • WinPcap – narzędzie do przechwytywania pakietów sieciowych.
  • SharpHostInfo – gromadzi informacje o hoście.
  • nxc i PsExec – narzędzia do zdalnego wykonywania poleceń.

Złośliwe dodatki:

  • 7z.exe i 7z.dll: Wykorzystano legalne pliki binarne 7-Zip do bocznego załadowania biblioteki DLL, która powoduje zainfekowanie systemu ransomware Warlock.
  • bbb.msi: Instalator, który pobiera plik clink_dll_x86.dll za pośrednictwem pliku clink_x86.exe, co ostatecznie skutkuje wdrożeniem LockBit Black.

Narzędzia te są stosowane w połączeniu z technikami BYOVD (Bring Your Own Vulnerable Driver) w celu neutralizowania zabezpieczeń punktów końcowych, a także z taktykami bocznego ładowania bibliotek DLL, co jeszcze bardziej komplikuje wykrywanie i reagowanie.

Zasięg geograficzny i niejasne cele

Dowody wskazują, że Storm-2603 jest aktywny co najmniej od marca 2025 roku, atakując podmioty w Ameryce Łacińskiej i regionie Azji i Pacyfiku (APAC). Strategia grupy polegająca na łączeniu rodzin ransomware i atakowaniu zróżnicowanych sektorów geograficznych rodzi pytania o jej ostateczne cele.

Chociaż motywy grupy pozostają niejasne, podobieństwa do innych podmiotów państwowych (zwłaszcza z Chin, Iranu i Korei Północnej), które wykorzystywały oprogramowanie ransomware w operacjach geopolitycznych, wskazują, że Storm-2603 może balansować na granicy szpiegostwa i przestępstwa o podłożu finansowym.

Powiązania APT-przestępczość: rosnące obawy

Storm-2603 jest przykładem rosnącego trendu hybrydowych ataków, łączących tradycyjne techniki zaawansowanego, trwałego zagrożenia (APT) z operacjami ransomware. Do godnych uwagi taktyk należą:

Najważniejsze informacje taktyczne:

  • Wykorzystanie przechwytywania bibliotek DLL do rozprzestrzeniania różnych odmian oprogramowania ransomware.
  • BYOVD umożliwia dezinstalację narzędzi ochrony punktów końcowych.
  • Poleganie na narzędziach typu open-source zapewniających ukrycie i skalowalność.

Wykorzystywanie przez grupę tej samej infrastruktury do hostowania powłok internetowych (takich jak spinstall0.aspx) i ułatwiania komunikacji C2 podkreśla rosnącą wyrafinowanie współczesnych ataków cybernetycznych.

Działania Storm-2603 ujawniają niebezpieczną ewolucję cyberprzestępczości, w której zacierają się granice między szpiegostwem sponsorowanym przez państwo a kampaniami złośliwego oprogramowania nastawionymi na zysk. W rezultacie ustalanie autorstwa, obrona i reagowanie na atak stają się znacznie bardziej złożone.

Popularne

Współdzielony dokument – oszustwo e-mailowe z...

Phishing, Spam
Eksperci ds. cyberbezpieczeństwa zidentyfikowali złośliwą kampanię spamową obejmującą fałszywe wiadomości e-mail zatytułowane „Współdzielony dokument – oferta biznesowa i lista produktów”. Te zwodnicze wiadomości twierdzą, że odbiorca otrzymał ofertę biznesową i powiązane z nią szczegóły produktu, ale w rzeczywistości mają na celu kradzież poufnych danych logowania. Należy podkreślić, że te...

Najczęściej oglądane

Ładowanie...