Rámec AK47 C2

Nedávno odhalený aktér hrozby identifikovaný ako Storm-2603 bol spojený so zneužívaním známych bezpečnostných zraniteľností v serveri Microsoft SharePoint Server. Táto skupina údajne pôsobí z Číny a na organizovanie svojich útokov využíva vlastný systém Command-and-Control (C2) s názvom AK47 C2 (tiež štylizovaný ako ak47c2).

Platforma AK47 C2 využíva dve hlavné komunikačné metódy: AK47HTTP (využíva protokoly HTTP pre komunikáciu C2) a AK47DNS (využíva protokoly DNS pre skryté doručovanie príkazov).

Tieto komponenty pomáhajú malvéru prijímať a vykonávať príkazy na infikovaných systémoch prostredníctvom cmd.exe na základe údajov analyzovaných z odpovedí HTTP alebo DNS servera.

Využívanie chýb spoločnosti Microsoft pre maximálny vplyv

Storm-2603 využil zraniteľnosti SharePointu CVE-2025-49706 a CVE-2025-49704 (známe aj ako ToolShell) na narušenie sietí a nasadenie škodlivého obsahu. Medzi ne patria najmä rodiny ransomvéru ako Warlock (tiež známy ako X2anylock) a LockBit Black, čo je nezvyčajná kombinácia, ktorá sa u bežných operátorov elektronickej kriminality bežne nevyskytuje.

Jedným z kľúčových technických ukazovateľov je zadné vrátko s názvom dnsclient.exe, ktoré je súčasťou balíka AK47 C2 a používa komunikáciu založenú na DNS s falošnou doménou:
update.updatemicfosoft.com, ktorý napodobňuje server aktualizácií spoločnosti Microsoft, aby sa vyhol detekcii.

Hybridný arzenál: Open-source sa stretáva s vlastnými užitočnými dátami

Sada nástrojov Storm-2603 predstavuje kombináciu legitímneho softvéru a škodlivých vylepšení vrátane:

Bežne používané nástroje:

• masscan – Na skenovanie a prieskum portov.
• WinPcap – nástroj na zachytávanie sieťových paketov.
• SharpHostInfo – Zhromažďuje informácie o hostiteľovi.
• nxc a PsExec – nástroje na vykonávanie vzdialených príkazov.

Škodlivé doplnky:

• 7z.exe a 7z.dll: Legitímne binárne súbory 7-Zip zneužívané na načítanie DLL, ktorá doručuje ransomvér Warlock.
• bbb.msi: Inštalátor, ktorý načíta súbor clink_dll_x86.dll prostredníctvom súboru clink_x86.exe, čo nakoniec vedie k nasadeniu LockBit Black.

Tieto nástroje sa používajú v spojení s technikami BYOVD (Bring Your Own Vulnerable Driver) na neutralizáciu obrany koncových bodov spolu s taktikami bočného načítavania DLL, čo ďalej komplikuje detekciu a reakciu.

Geografický dosah a nejasné ciele

Dôkazy naznačujú, že Storm-2603 je aktívny minimálne od marca 2025 a zameriava sa na subjekty v Latinskej Amerike a ázijsko-tichomorskom regióne (APAC). Stratégia skupiny kombinovať rodiny ransomvéru a zacieliť na rôzne geografické sektory vyvoláva otázky o jej konečných cieľoch.

Hoci ich motivácia zostáva nejasná, paralely s inými aktérmi národných štátov (najmä z Číny, Iránu a Severnej Kórey), ktorí použili ransomvér v geopolitických operáciách, naznačujú, že Storm-2603 by sa mohol nachádzať na hranici medzi špionážou a finančne motivovanou kriminalitou.

Prepojenie medzi APT a trestnou činnosťou: rastúci problém

Storm-2603 je príkladom rastúceho trendu hybridných aktérov hrozieb, ktorí kombinujú tradičné techniky pokročilých perzistentných hrozieb (APT) s operáciami ransomvéru. Medzi pozoruhodné taktiky patria:

Taktické prednosti:

• Použitie únosu DLL na doručenie viacerých kmeňov ransomvéru.
• BYOVD zruší nástroje na ochranu koncových bodov.
• Spoliehanie sa na nástroje s otvoreným zdrojovým kódom pre utajenie a škálovateľnosť.

Využívanie rovnakej infraštruktúry skupinou na hosťovanie webových prostredí (ako napríklad spinstall0.aspx) a uľahčenie komunikácie C2 podčiarkuje rastúcu sofistikovanosť moderných kybernetických útokov.

Operácie Storm-2603 odhaľujú nebezpečný vývoj v kyberkriminalite, kde rozmazané hranice medzi štátom sponzorovanou špionážou a ziskom zameranými kampaňami so škodlivým softvérom výrazne komplikujú pripisovanie, obranu a reakciu.