Оквир АК47 Ц2
Недавно откривени актер претње, идентификован као Storm-2603, повезан је са експлоатацијом познатих безбедносних рањивости у Microsoft SharePoint Server-у. Сумња се да ова група делује из Кине и користи прилагођени систем командовања и контроле (C2) назван AK47 C2 (такође стилизован као ak47c2) за оркестрирање својих напада.
Платформа AK47 C2 користи два основна метода комуникације: AK47HTTP (користи HTTP протоколе за C2 комуникацију) и AK47DNS (користи DNS протоколе за тајну испоруку команди).
Ове компоненте помажу злонамерном софтверу да прима и извршава команде на зараженим системима путем cmd.exe, на основу података анализираних из одговора HTTP или DNS сервера.
Преглед садржаја
Искоришћавање Мајкрософтових недостатака за максималан утицај
Сторм-2603 је искористио рањивости SharePoint-а CVE-2025-49706 и CVE-2025-49704 (познате и као ToolShell) за продор у мреже и постављање злонамерних корисних садржаја. Најчешће међу њима су породице ransomware-а попут Warlock-а (познатог и као X2anylock) и LockBit Black-а, необична комбинација која се обично не примећује међу главним оператерима електронског криминала.
У једном од кључних техничких индикатора, задња врата под називом dnsclient.exe, део AK47 C2 пакета, користе комуникацију засновану на DNS-у са лажним доменом:
update.updatemicfosoft.com, имитирајући Microsoft сервер за ажурирања како би избегао откривање.
Хибридни арсенал: Отворени код сусреће прилагођене корисне терете
Комплет алата Storm-2603 демонстрира мешавину легитимног софтвера и злонамерних побољшања, укључујући:
Често коришћени услужни програми:
- masscan – За скенирање портова и извиђање.
- WinPcap – алат за хватање мрежних пакета.
- SharpHostInfo – Прикупља информације о хосту.
- nxc и PsExec – Алати за даљинско извршавање команди.
Злонамерни додаци:
- 7z.exe и 7z.dll: Легитимне 7-Zip бинарне датотеке искоришћене за бочно учитавање DLL-а који испоручује Warlock ransomware.
- bbb.msi: Инсталатер који бочно учитава clink_dll_x86.dll преко clink_x86.exe, што на крају резултира инсталацијом LockBit Black-а.
Ови алати се користе заједно са BYOVD (Bring Your Own Vulnerable Driver) техникама за неутрализацију одбране крајњих тачака, заједно са тактикама бочног учитавања DLL-а, што додатно компликује откривање и реаговање.
Географски досег и сумњиви циљеви
Докази указују на то да је Storm-2603 активан најмање од марта 2025. године, циљајући ентитете широм Латинске Америке и Азијско-пацифичког (APAC) региона. Стратегија групе која комбинује породице ransomware-а и циља различите географске секторе покреће питања о њеним крајњим циљевима.
Иако њихове мотивације остају нејасне, паралеле са другим актерима националних држава (посебно из Кине, Ирана и Северне Кореје) који су користили ransomware у геополитичким операцијама сугеришу да би Storm-2603 могао да се налази на граници између шпијунаже и финансијски мотивисаног криминала.
Веза између APT-а и кривичних дела: растућа забринутост
Олуја-2603 је пример растућег тренда хибридних претњи, оних који комбинују традиционалне технике напредних упорних претњи (APT) са операцијама ransomware-а. Тактике вредне пажње укључују:
Тактичке карактеристике:
- Коришћење отмице DLL-ова за испоруку више врста ransomware-а.
- BYOVD ће уклонити алате за заштиту крајњих тачака.
- Ослањање на алате отвореног кода за прикривеност и скалабилност.
Коришћење исте инфраструктуре од стране групе за хостовање веб шкољки (као што је spinstall0.aspx) и олакшавање C2 комуникације подвлачи све већу софистицираност савремених сајбер напада.
Операције у оквиру операције Storm-2603 откривају опасну еволуцију у сајбер криминалу, где замагљене границе између шпијунаже коју спонзорише држава и профитно вођених кампања злонамерног софтвера знатно компликују приписивање, одбрану и реаговање.
