AK47 C2 கட்டமைப்பு

சமீபத்தில் கண்டுபிடிக்கப்பட்ட Storm-2603 என அடையாளம் காணப்பட்ட ஒரு அச்சுறுத்தல் நபர், மைக்ரோசாஃப்ட் ஷேர்பாயிண்ட் சர்வரில் அறியப்பட்ட பாதுகாப்பு பாதிப்புகளைப் பயன்படுத்துவதில் தொடர்புடையவர் என கண்டறியப்பட்டுள்ளது. இந்தக் குழு சீனாவிலிருந்து செயல்படுவதாக சந்தேகிக்கப்படுகிறது மற்றும் அதன் தாக்குதல்களை திட்டமிட AK47 C2 (ak47c2 என்றும் அழைக்கப்படுகிறது) என அழைக்கப்படும் தனிப்பயன் கட்டளை மற்றும் கட்டுப்பாடு (C2) கட்டமைப்பைப் பயன்படுத்துகிறது.

AK47 C2 இயங்குதளம் இரண்டு முதன்மை தொடர்பு முறைகளைப் பயன்படுத்துகிறது: AK47HTTP (C2 தொடர்புக்கு HTTP நெறிமுறைகளைப் பயன்படுத்துகிறது) மற்றும் AK47DNS (ரகசிய கட்டளை விநியோகத்திற்காக DNS நெறிமுறைகளைப் பயன்படுத்துகிறது).

இந்தக் கூறுகள், HTTP அல்லது DNS சேவையக பதில்களிலிருந்து பாகுபடுத்தப்பட்ட தரவின் அடிப்படையில், cmd.exe வழியாக பாதிக்கப்பட்ட கணினிகளில் கட்டளைகளைப் பெறவும் செயல்படுத்தவும் தீம்பொருள்களுக்கு உதவுகின்றன.

அதிகபட்ச தாக்கத்திற்காக மைக்ரோசாஃப்ட் குறைபாடுகளைப் பயன்படுத்துதல்

நெட்வொர்க்குகளை உடைத்து தீங்கிழைக்கும் பேலோடுகளைப் பயன்படுத்த, ஸ்டோர்ம்-2603, ஷேர்பாயிண்ட் பாதிப்புகளான CVE-2025-49706 மற்றும் CVE-2025-49704 (டூல்ஷெல் என்றும் அழைக்கப்படுகிறது) ஆகியவற்றை ஆயுதமாகக் கொண்டுள்ளது. இவற்றில் முதன்மையானது வார்லாக் (எக்ஸ்2அனிலாக் என்றும் அழைக்கப்படுகிறது) மற்றும் லாக்பிட் பிளாக் போன்ற ரான்சம்வேர் குடும்பங்கள் ஆகும், இது பொதுவாக முக்கிய மின்-குற்ற ஆபரேட்டர்களிடையே காணப்படாத ஒரு அசாதாரண கலவையாகும்.

முக்கிய தொழில்நுட்ப குறிகாட்டிகளில் ஒன்றில், AK47 C2 தொகுப்பின் ஒரு பகுதியான dnsclient.exe என்ற பின்புறக் கதவு, ஒரு ஏமாற்றப்பட்ட டொமைனுடன் DNS-அடிப்படையிலான தொடர்பைப் பயன்படுத்துகிறது:
update.updatemicfosoft.com, கண்டறிதலைத் தவிர்க்க மைக்ரோசாஃப்ட் புதுப்பிப்பு சேவையகத்தைப் பிரதிபலிக்கிறது.

ஹைப்ரிட் ஆர்சனல்: ஓப்பன்-சோர்ஸ் தனிப்பயன் பேலோடுகளை சந்திக்கிறது

Storm-2603 இன் கருவித்தொகுப்பு முறையான மென்பொருள் மற்றும் தீங்கிழைக்கும் மேம்பாடுகளின் கலவையை நிரூபிக்கிறது, அவற்றுள்:

பொதுவாகப் பயன்படுத்தப்படும் பயன்பாடுகள்:

• மாஸ்கேன் – துறைமுக ஸ்கேனிங் மற்றும் உளவு பார்ப்பதற்கு.
• WinPcap – நெட்வொர்க் பாக்கெட் பிடிப்பு கருவி.
• ஷார்ப்ஹோஸ்ட்இன்ஃபோ - ஹோஸ்ட் சார்ந்த தகவல்களைச் சேகரிக்கிறது.
• nxc மற்றும் PsExec – தொலை கட்டளை செயல்படுத்தல் கருவிகள்.

தீங்கிழைக்கும் சேர்த்தல்கள்:

• 7z.exe மற்றும் 7z.dll: Warlock ransomware ஐ வழங்கும் DLL ஐ சைட்லோட் செய்ய பயன்படுத்தப்படும் முறையான 7-Zip பைனரிகள்.
• bbb.msi: clink_x86.exe வழியாக clink_dll_x86.dll ஐ சைட்லோட் செய்யும் ஒரு நிறுவி, இறுதியில் LockBit Black வரிசைப்படுத்தலுக்கு வழிவகுக்கிறது.

இந்த கருவிகள் BYOVD (Bring Your Own Vulnerable Driver) நுட்பங்களுடன் இணைந்து எண்ட்பாயிண்ட் பாதுகாப்புகளை நடுநிலையாக்கப் பயன்படுத்தப்படுகின்றன, மேலும் DLL சைட்லோடிங் தந்திரோபாயங்களுடன், கண்டறிதல் மற்றும் பதிலை மேலும் சிக்கலாக்குகின்றன.

புவியியல் அணுகல் மற்றும் நிழல் நோக்கங்கள்

லத்தீன் அமெரிக்கா மற்றும் ஆசிய-பசிபிக் (APAC) பிராந்தியம் முழுவதும் உள்ள நிறுவனங்களை குறிவைத்து, Storm-2603 குறைந்தது மார்ச் 2025 முதல் செயல்பட்டு வருவதாக சான்றுகள் தெரிவிக்கின்றன. ransomware குடும்பங்களை இணைத்து, பல்வேறு புவியியல் துறைகளை குறிவைக்கும் குழுவின் உத்தி அதன் இறுதி இலக்குகள் குறித்த கேள்விகளை எழுப்புகிறது.

அவர்களின் உந்துதல்கள் தெளிவற்றதாக இருந்தாலும், புவிசார் அரசியல் நடவடிக்கைகளில் ransomware ஐப் பயன்படுத்திய பிற தேசிய அரசு நடிகர்களுடன் (குறிப்பாக சீனா, ஈரான் மற்றும் வட கொரியாவைச் சேர்ந்தவர்கள்) இணையாக, Storm-2603 உளவு மற்றும் நிதி ரீதியாக ஊக்கமளிக்கும் குற்றங்களுக்கு இடையிலான கோட்டைத் தாண்டிச் செல்லக்கூடும் என்று கூறுகின்றன.

APT- குற்றவியல் தொடர்பு: வளர்ந்து வரும் கவலை

பாரம்பரிய மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) நுட்பங்களை ரான்சம்வேர் செயல்பாடுகளுடன் கலப்பவர்கள், ஹைப்ரிட் அச்சுறுத்தல் நடிகர்களின் அதிகரித்து வரும் போக்கை Storm-2603 எடுத்துக்காட்டுகிறது. குறிப்பிடத்தக்க தந்திரோபாயங்களில் பின்வருவன அடங்கும்:

தந்திரோபாய சிறப்பம்சங்கள்:

• பல ரான்சம்வேர் திரிபுகளை வழங்க DLL கடத்தலைப் பயன்படுத்துதல்.
• எண்ட்பாயிண்ட் பாதுகாப்பு கருவிகளை அகற்ற BYOVD.
• திருட்டுத்தனம் மற்றும் அளவிடுதல் ஆகியவற்றிற்கு திறந்த மூல கருவிகளை நம்பியிருத்தல்.

வலை ஷெல்களை (spinstall0.aspx போன்றவை) ஹோஸ்ட் செய்வதற்கும் C2 தகவல்தொடர்புகளை எளிதாக்குவதற்கும் குழு அதே உள்கட்டமைப்பைப் பயன்படுத்துவது நவீன கால சைபர் தாக்குதல்களின் அதிகரித்து வரும் நுட்பத்தை அடிக்கோடிட்டுக் காட்டுகிறது.

Storm-2603 இன் செயல்பாடுகள் சைபர் குற்றத்தில் ஒரு ஆபத்தான பரிணாமத்தை வெளிப்படுத்துகின்றன, அங்கு அரசு ஆதரவுடன் உளவு பார்ப்பதற்கும் லாபம் ஈட்டும் தீம்பொருள் பிரச்சாரங்களுக்கும் இடையிலான மங்கலான கோடுகள் பண்புக்கூறு, பாதுகாப்பு மற்றும் பதிலை கணிசமாக மிகவும் சிக்கலாக்குகின்றன.