Структура AK47 C2
Недавно обнаруженная группа злоумышленников, идентифицированная как Storm-2603, связана с эксплуатацией известных уязвимостей безопасности Microsoft SharePoint Server. Предполагается, что эта группа действует из Китая и использует специализированную систему управления (C2), получившую название AK47 C2 (также стилизованную под ak47c2), для организации своих атак.
Платформа AK47 C2 использует два основных метода связи: AK47HTTP (использует протоколы HTTP для связи с C2) и AK47DNS (использует протоколы DNS для скрытой доставки команд).
Эти компоненты помогают вредоносному ПО получать и выполнять команды на зараженных системах через cmd.exe на основе данных, полученных из ответов HTTP- или DNS-сервера.
Оглавление
Использование уязвимостей Microsoft для достижения максимального эффекта
Storm-2603 использует уязвимости SharePoint CVE-2025-49706 и CVE-2025-49704 (также известные как ToolShell) для взлома сетей и внедрения вредоносных программ. Среди них выделяются семейства программ-вымогателей, такие как Warlock (он же X2anylock) и LockBit Black, — необычное сочетание, которое обычно не встречается у крупных киберпреступников.
Одним из ключевых технических показателей является бэкдор под названием dnsclient.exe, входящий в состав пакета AK47 C2, который использует DNS-соединение с поддельным доменом:
update.updatemicfosoft.com, имитирующий сервер обновлений Microsoft для обхода обнаружения.
Гибридный арсенал: открытый исходный код и пользовательские полезные нагрузки
Инструментарий Storm-2603 представляет собой сочетание легитимного программного обеспечения и вредоносных усовершенствований, в том числе:
Часто используемые утилиты:
- masscan – Для сканирования портов и разведки.
- WinPcap – инструмент захвата сетевых пакетов.
- SharpHostInfo – собирает информацию о хосте.
- nxc и PsExec – инструменты удаленного выполнения команд.
Вредоносные дополнения:
- 7z.exe и 7z.dll: легальные двоичные файлы 7-Zip, используемые для загрузки DLL-библиотеки, которая доставляет вирус-вымогатель Warlock.
- bbb.msi: установщик, который загружает clink_dll_x86.dll через clink_x86.exe, что в конечном итоге приводит к развертыванию LockBit Black.
Эти инструменты используются в сочетании с методами BYOVD (принеси свой собственный уязвимый драйвер) для нейтрализации защиты конечных точек, а также с тактикой загрузки сторонних DLL, что еще больше усложняет обнаружение и реагирование.
Географический охват и сомнительные цели
Данные свидетельствуют о том, что Storm-2603 активен как минимум с марта 2025 года, атакуя организации по всей Латинской Америке и Азиатско-Тихоокеанскому региону (АТР). Стратегия группировки, направленная на объединение семейств программ-вымогателей и нацеливание на различные географические секторы, вызывает вопросы о её конечных целях.
Хотя их мотивы остаются неясными, параллели с другими государственными субъектами (в частности, из Китая, Ирана и Северной Кореи), которые использовали программы-вымогатели в геополитических операциях, позволяют предположить, что Storm-2603 может находиться на грани между шпионажем и финансово мотивированным преступлением.
Связь APT и преступности: растущая обеспокоенность
Storm-2603 демонстрирует растущую тенденцию к использованию гибридных атак, сочетающих традиционные методы APT (Advanced Persistent Threat) с программами-вымогателями. Среди примечательных тактик можно выделить:
Тактические моменты:
- Использование перехвата DLL для доставки нескольких видов программ-вымогателей.
- BYOVD демонтирует инструменты защиты конечных точек.
- Опора на инструменты с открытым исходным кодом для обеспечения скрытности и масштабируемости.
Использование группировкой одной и той же инфраструктуры для размещения веб-оболочек (например, spinstall0.aspx) и обеспечения связи с командным центром подчеркивает растущую изощренность современных кибератак.
Операции Storm-2603 демонстрируют опасную эволюцию киберпреступности, где размытые границы между спонсируемым государством шпионажем и вредоносными кампаниями, направленными на получение прибыли, значительно усложняют атрибуцию, защиту и реагирование.
