AK47 C2 ఫ్రేమ్‌వర్క్

ఇటీవల బయటపడిన Storm-2603 అనే బెదిరింపు కారకుడు మైక్రోసాఫ్ట్ షేర్ పాయింట్ సర్వర్ లో తెలిసిన భద్రతా దుర్బలత్వాలను ఉపయోగించుకోవడంలో పాల్గొన్నట్లు తెలుస్తోంది. ఈ గ్రూప్ చైనా నుండి పనిచేస్తుందని అనుమానిస్తున్నారు మరియు దాని దాడులను నిర్వహించడానికి AK47 C2 (ak47c2 అని కూడా శైలీకృతం చేయబడింది) గా పిలువబడే కస్టమ్ కమాండ్-అండ్-కంట్రోల్ (C2) ఫ్రేమ్‌వర్క్‌ను ఉపయోగిస్తుంది.

AK47 C2 ప్లాట్‌ఫారమ్ రెండు ప్రాథమిక కమ్యూనికేషన్ పద్ధతులను ఉపయోగిస్తుంది: AK47HTTP (C2 కమ్యూనికేషన్ కోసం HTTP ప్రోటోకాల్‌లను ఉపయోగిస్తుంది) మరియు AK47DNS (రహస్య కమాండ్ డెలివరీ కోసం DNS ప్రోటోకాల్‌లను ప్రభావితం చేస్తుంది).

ఈ భాగాలు HTTP లేదా DNS సర్వర్ ప్రతిస్పందనల నుండి అన్వయించిన డేటా ఆధారంగా, cmd.exe ద్వారా మాల్వేర్ సోకిన సిస్టమ్‌లపై ఆదేశాలను స్వీకరించడానికి మరియు అమలు చేయడానికి సహాయపడతాయి.

గరిష్ట ప్రభావం కోసం మైక్రోసాఫ్ట్ లోపాలను ఉపయోగించడం

Storm-2603 షేర్‌పాయింట్ దుర్బలత్వాలను CVE-2025-49706 మరియు CVE-2025-49704 (టూల్‌షెల్ అని కూడా పిలుస్తారు) ఉపయోగించి నెట్‌వర్క్‌లను ఉల్లంఘించి హానికరమైన పేలోడ్‌లను మోహరించింది. వీటిలో ప్రధానమైనవి వార్‌లాక్ (aka X2anylock) మరియు LockBit Black వంటి రాన్సమ్‌వేర్ కుటుంబాలు, ఇది సాధారణంగా ప్రధాన స్రవంతి ఇ-క్రైమ్ ఆపరేటర్లలో గమనించబడని అసాధారణ కలయిక.

కీలకమైన సాంకేతిక సూచికలలో ఒకదానిలో, AK47 C2 సూట్‌లో భాగమైన dnsclient.exe అనే బ్యాక్‌డోర్, స్పూఫ్డ్ డొమైన్‌తో DNS-ఆధారిత కమ్యూనికేషన్‌ను ఉపయోగిస్తుంది:
update.updatemicfosoft.com, గుర్తింపును తప్పించుకోవడానికి Microsoft అప్‌డేట్ సర్వర్‌ను అనుకరిస్తుంది.

హైబ్రిడ్ ఆర్సెనల్: ఓపెన్-సోర్స్ కస్టమ్ పేలోడ్‌లను కలుస్తుంది

Storm-2603 యొక్క టూల్‌కిట్ చట్టబద్ధమైన సాఫ్ట్‌వేర్ మరియు హానికరమైన మెరుగుదలల మిశ్రమాన్ని ప్రదర్శిస్తుంది, వాటిలో:

సాధారణంగా ఉపయోగించే యుటిలిటీలు:

• మాస్కాన్ – పోర్ట్ స్కానింగ్ మరియు నిఘా కోసం.
• WinPcap – నెట్‌వర్క్ ప్యాకెట్ క్యాప్చర్ సాధనం.
• SharpHostInfo – హోస్ట్ ఆధారిత సమాచారాన్ని సేకరిస్తుంది.
• nxc మరియు PsExec – రిమోట్ కమాండ్ ఎగ్జిక్యూషన్ టూల్స్.

హానికరమైన చేర్పులు:

• 7z.exe మరియు 7z.dll: వార్లాక్ రాన్సమ్‌వేర్‌ను అందించే DLLను సైడ్‌లోడ్ చేయడానికి చట్టబద్ధమైన 7-జిప్ బైనరీలు ఉపయోగించబడతాయి.
• bbb.msi: clink_x86.exe ద్వారా clink_dll_x86.dll ని సైడ్‌లోడ్ చేసే ఇన్‌స్టాలర్, చివరికి LockBit బ్లాక్ డిప్లాయ్‌మెంట్‌కు దారితీస్తుంది.

ఈ సాధనాలు BYOVD (బ్రింగ్ యువర్ ఓన్ వల్నరబుల్ డ్రైవర్) పద్ధతులతో కలిపి ఎండ్‌పాయింట్ రక్షణలను తటస్థీకరించడానికి, DLL సైడ్‌లోడింగ్ వ్యూహాలతో పాటు, గుర్తింపు మరియు ప్రతిస్పందనను మరింత క్లిష్టతరం చేస్తాయి.

భౌగోళిక పరిధి మరియు నీడ లక్ష్యాలు

లాటిన్ అమెరికా మరియు ఆసియా-పసిఫిక్ (APAC) ప్రాంతంలోని సంస్థలను లక్ష్యంగా చేసుకుని, కనీసం మార్చి 2025 నుండి Storm-2603 చురుకుగా ఉందని ఆధారాలు సూచిస్తున్నాయి. ransomware కుటుంబాలను కలపడం మరియు విభిన్న భౌగోళిక రంగాలను లక్ష్యంగా చేసుకునే సమూహం యొక్క వ్యూహం దాని అంతిమ లక్ష్యాల గురించి ప్రశ్నలను లేవనెత్తుతుంది.

వారి ప్రేరణలు అస్పష్టంగానే ఉన్నప్పటికీ, భౌగోళిక రాజకీయ కార్యకలాపాలలో ransomwareను ఉపయోగించిన ఇతర దేశ-రాష్ట్ర నటులతో (ముఖ్యంగా చైనా, ఇరాన్ మరియు ఉత్తర కొరియా నుండి) సమాంతరాలు Storm-2603 గూఢచర్యం మరియు ఆర్థికంగా ప్రేరేపించబడిన నేరాల మధ్య రేఖను దాటవచ్చని సూచిస్తున్నాయి.

APT-క్రిమినల్ నెక్సస్: పెరుగుతున్న ఆందోళన

సాంప్రదాయ అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) టెక్నిక్‌లను రాన్సమ్‌వేర్ ఆపరేషన్‌లతో కలిపే హైబ్రిడ్ థ్రెట్ యాక్టర్స్ పెరుగుతున్న ట్రెండ్‌కు స్టార్మ్-2603 ఉదాహరణ. ముఖ్యమైన వ్యూహాలలో ఇవి ఉన్నాయి:

వ్యూహాత్మక ముఖ్యాంశాలు:

• బహుళ రాన్సమ్‌వేర్ జాతులను అందించడానికి DLL హైజాకింగ్‌ను ఉపయోగించడం.
• ఎండ్‌పాయింట్ రక్షణ సాధనాలను కూల్చివేయడానికి BYOVD.
• స్టీల్త్ మరియు స్కేలబిలిటీ కోసం ఓపెన్-సోర్స్ సాధనాలపై ఆధారపడటం.

వెబ్ షెల్‌లను (spinstall0.aspx వంటివి) హోస్ట్ చేయడానికి మరియు C2 కమ్యూనికేషన్‌లను సులభతరం చేయడానికి సమూహం అదే మౌలిక సదుపాయాలను ఉపయోగించడం ఆధునిక సైబర్ దాడుల యొక్క పెరుగుతున్న అధునాతనతను నొక్కి చెబుతుంది.

స్టార్మ్-2603 కార్యకలాపాలు సైబర్ నేరాలలో ప్రమాదకరమైన పరిణామాన్ని వెల్లడిస్తున్నాయి, ఇక్కడ రాష్ట్ర-ప్రాయోజిత గూఢచర్యం మరియు లాభ-ఆధారిత మాల్వేర్ ప్రచారాల మధ్య అస్పష్టమైన రేఖలు ఆపాదింపు, రక్షణ మరియు ప్రతిస్పందనను గణనీయంగా మరింత క్లిష్టతరం చేస్తాయి.