Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware AK47 C2 Framework

AK47 C2 Framework

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një aktor kërcënimi i zbuluar së fundmi, i identifikuar si Storm-2603, është lidhur me shfrytëzimin e dobësive të njohura të sigurisë në Microsoft SharePoint Server. Dyshohet se ky grup vepron nga Kina dhe përdor një strukturë të personalizuar Command-and-Control (C2) të quajtur AK47 C2 (i stilizuar edhe si ak47c2) për të orkestruar sulmet e tij.

Platforma AK47 C2 përdor dy metoda kryesore komunikimi: AK47HTTP (Përdor protokollet HTTP për komunikimin C2) dhe AK47DNS (Përdor protokollet DNS për dhënien e komandave të fshehta).

Këto komponentë e ndihmojnë programet keqdashëse të marrin dhe ekzekutojnë komanda në sistemet e infektuara nëpërmjet cmd.exe, bazuar në të dhënat e analizuara nga përgjigjet e serverëve HTTP ose DNS.

Shfrytëzimi i të metave të Microsoft për ndikim maksimal

Storm-2603 i ka përdorur dobësitë e SharePoint CVE-2025-49706 dhe CVE-2025-49704 (e njohur edhe si ToolShell) për të depërtuar në rrjete dhe për të vendosur ngarkesa dashakeqe. Kryesoret midis tyre janë familjet e ransomware-eve si Warlock (i njohur edhe si X2anylock) dhe LockBit Black, një kombinim i pazakontë që nuk vërehet zakonisht midis operatorëve kryesorë të krimit elektronik.

Në një nga treguesit kryesorë teknikë, një derë e pasme e quajtur dnsclient.exe, pjesë e paketës AK47 C2, përdor komunikim të bazuar në DNS me një domen të falsifikuar:
update.updatemicfosoft.com, duke imituar një server përditësimi të Microsoft për të shmangur zbulimin.

Arsenali Hibrid: Burimi i Hapur Takon Ngarkesat e Personalizuara

Seti i mjeteve të Storm-2603 demonstron një përzierje të softuerëve legjitimë dhe përmirësimeve dashakeqe, duke përfshirë:

Shërbimet e përdorura zakonisht:

  • masscan – Për skanimin dhe zbulimin e porteve.
  • WinPcap – Mjet për kapjen e paketave të rrjetit.
  • SharpHostInfo – Mbledh informacion të bazuar në host.
  • nxc dhe PsExec – Mjete për ekzekutimin e komandave në distancë.

Shtesa të dëmshme:

  • 7z.exe dhe 7z.dll: Skedarë binare legjitimë 7-Zip të shfrytëzuar për të ngarkuar anash një DLL që ofron ransomware Warlock.
  • bbb.msi: Një instalues që ngarkon në mënyrë anësore clink_dll_x86.dll nëpërmjet clink_x86.exe, duke rezultuar në vendosjen e LockBit Black.

Këto mjete përdoren në lidhje me teknikat BYOVD (Sillni Driver-in tuaj të prekshëm) për të neutralizuar mbrojtjet e pikave fundore, së bashku me taktikat e ngarkimit anësor të DLL, duke e komplikuar më tej zbulimin dhe reagimin.

Shtrirja Gjeografike dhe Objektivat e Hijes

Provat sugjerojnë se Storm-2603 ka qenë aktiv që të paktën që nga marsi i vitit 2025, duke synuar subjekte në të gjithë Amerikën Latine dhe rajonin e Azi-Paqësorit (APAC). Strategjia e grupit për të kombinuar familjet e ransomware-eve dhe për të synuar sektorë të ndryshëm gjeografikë ngre pyetje në lidhje me qëllimet e tij përfundimtare.

Edhe pse motivimet e tyre mbeten të paqarta, paralelet me aktorë të tjerë shtet-komb (veçanërisht nga Kina, Irani dhe Koreja e Veriut) të cilët kanë përdorur ransomware në operacione gjeopolitike sugjerojnë se Storm-2603 mund të kalojë kufirin midis spiunazhit dhe krimit të motivuar financiarisht.

Lidhja APT-Kriminale: Një Shqetësim në Rritje

Storm-2603 ilustron një trend në rritje të aktorëve të kërcënimeve hibride, ata që përziejnë teknikat tradicionale të Kërcënimit të Avancuar të Përhershëm (APT) me operacionet e ransomware. Taktikat që duhen përmendur përfshijnë:

Pikat kryesore taktike:

  • Përdorimi i rrëmbimit të DLL për të shpërndarë lloje të shumta ransomware-i.
  • BYOVD për të çmontuar mjetet e mbrojtjes së pikës fundore.
  • Mbështetja në mjetet me burim të hapur për fshehtësi dhe shkallëzueshmëri.

Përdorimi nga grupi i të njëjtës infrastrukturë për strehimin e shell-eve web (si spinstall0.aspx) dhe lehtësimin e komunikimeve C2 nënvizon sofistikimin në rritje të sulmeve kibernetike të ditëve të sotme.

Operacionet e Storm-2603 zbulojnë një evolucion të rrezikshëm në krimin kibernetik, ku vijat e paqarta midis spiunazhit të sponsorizuar nga shteti dhe fushatave të programeve keqdashëse të orientuara drejt fitimit e bëjnë atribuimin, mbrojtjen dhe reagimin dukshëm më kompleks.

Në trend

Dokument i Ndarë - Mashtrim me Email me Propozim...

Fishing, Spam
Ekspertët e sigurisë kibernetike kanë identifikuar një fushatë dashakeqe të spamit që përfshin email-e mashtruese të titulluara "Dokumenti i Ndarë - Propozimi i Biznesit dhe Lista e Produkteve". Këto mesazhe mashtruese pretendojnë se marrësit i është dërguar një propozim biznesi dhe detajet përkatëse të produktit, por në realitet, ato janë të dizajnuara për të vjedhur kredencialet e ndjeshme të...

Më e shikuara

Po ngarkohet...