Okvir AK47 C2

Nedavno odkriti akter grožnje, identificiran kot Storm-2603, je bil povezan z izkoriščanjem znanih varnostnih ranljivosti v strežniku Microsoft SharePoint Server. Sumi se, da ta skupina deluje iz Kitajske in za orkestriranje napadov uporablja prilagojen sistem za upravljanje in nadzor (C2), imenovan AK47 C2 (stiliziran tudi kot ak47c2).

Platforma AK47 C2 uporablja dva glavna načina komunikacije: AK47HTTP (uporablja protokole HTTP za komunikacijo C2) in AK47DNS (uporablja protokole DNS za prikrito dostavo ukazov).

Te komponente pomagajo zlonamerni programski opremi prejemati in izvajati ukaze na okuženih sistemih prek cmd.exe na podlagi podatkov, razčlenjenih iz odgovorov strežnika HTTP ali DNS.

Izkoriščanje Microsoftovih napak za največji učinek

Storm-2603 je ranljivosti SharePointa CVE-2025-49706 in CVE-2025-49704 (znane tudi kot ToolShell) uporabil za vdor v omrežja in nameščanje zlonamernih koristnih tovorov. Med njimi so najpomembnejše družine izsiljevalske programske opreme, kot sta Warlock (znan tudi kot X2anylock) in LockBit Black, nenavadna kombinacija, ki je običajno ne opazimo med glavnimi izvajalci e-kriminala.

Eden ključnih tehničnih kazalnikov je, da zadnja vrata z imenom dnsclient.exe, ki so del paketa AK47 C2, uporabljajo komunikacijo na osnovi DNS z lažno domeno:
update.updatemicfosoft.com, ki posnema Microsoftov strežnik za posodobitve, da bi se izognil zaznavanju.

Hibridni arzenal: odprtokodna programska oprema sreča prilagojene koristne tovore

Komplet orodij Storm-2603 prikazuje mešanico legitimne programske opreme in zlonamernih izboljšav, vključno z:

Pogosto uporabljeni pripomočki:

• masscan – Za skeniranje pristanišč in izvidovanje.
• WinPcap – orodje za zajemanje omrežnih paketov.
• SharpHostInfo – Zbira informacije o gostitelju.
• nxc in PsExec – Orodja za oddaljeno izvajanje ukazov.

Zlonamerni dodatki:

• 7z.exe in 7z.dll: Legitimne binarne datoteke 7-Zip, izkoriščene za nalaganje DLL-ja, ki prenaša izsiljevalsko programsko opremo Warlock.
• bbb.msi: Namestitveni program, ki naloži datoteko clink_dll_x86.dll prek datoteke clink_x86.exe, kar na koncu povzroči namestitev programa LockBit Black.

Ta orodja se uporabljajo skupaj s tehnikami BYOVD (Bring Your Own Vulnerable Driver) za nevtralizacijo obrambe končnih točk, skupaj s taktikami stranskega nalaganja DLL, kar še dodatno otežuje odkrivanje in odzivanje.

Geografski doseg in nejasni cilji

Dokazi kažejo, da je Storm-2603 aktiven vsaj od marca 2025 in je usmerjen proti subjektom v Latinski Ameriki in azijsko-pacifiški regiji (APAC). Strategija skupine, ki združuje družine izsiljevalske programske opreme in cilja na različne geografske sektorje, sproža vprašanja o njenih končnih ciljih.

Čeprav njihovi motivi ostajajo nejasni, vzporednice z drugimi akterji nacionalnih držav (zlasti iz Kitajske, Irana in Severne Koreje), ki so uporabljali izsiljevalsko programsko opremo v geopolitičnih operacijah, kažejo, da bi lahko Storm-2603 presegel mejo med vohunjenjem in finančno motiviranim kriminalom.

Povezava med APT in kriminalom: naraščajoča skrb

Storm-2603 ponazarja naraščajoči trend hibridnih groženj, ki združujejo tradicionalne tehnike naprednih vztrajnih groženj (APT) z operacijami izsiljevalske programske opreme. Med pomembne taktike spadajo:

Taktični poudarki:

• Uporaba ugrabitve DLL za dostavo več sevov izsiljevalske programske opreme.
• BYOVD bo ukinil orodja za zaščito končnih točk.
• Zanašanje na orodja odprte kode za prikritost in skalabilnost.

Uporaba iste infrastrukture s strani skupine za gostovanje spletnih lupin (kot je spinstall0.aspx) in omogočanje komunikacije C2 poudarja vse večjo prefinjenost sodobnih kibernetskih napadov.

Operacije Storm-2603 razkrivajo nevaren razvoj kibernetske kriminalitete, kjer zabrisane meje med državno sponzoriranim vohunjenjem in dobičkonosnimi kampanjami zlonamerne programske opreme bistveno otežujejo pripisovanje, obrambo in odzivanje.