เฟรมเวิร์ก AK47 C2
ผู้ก่อภัยคุกคามที่เพิ่งถูกเปิดเผยชื่อ Storm-2603 เชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่ทราบแล้วใน Microsoft SharePoint Server กลุ่มนี้ต้องสงสัยว่าปฏิบัติการอยู่นอกประเทศจีน และใช้เฟรมเวิร์ก Command-and-Control (C2) แบบกำหนดเองที่เรียกว่า AK47 C2 (หรือเรียกอีกอย่างว่า ak47c2) เพื่อวางแผนการโจมตี
แพลตฟอร์ม AK47 C2 ใช้งานสองช่องทางการสื่อสารหลัก: AK47HTTP (ใช้โปรโตคอล HTTP สำหรับการสื่อสาร C2) และ AK47DNS (ใช้ประโยชน์จากโปรโตคอล DNS สำหรับการส่งคำสั่งลับ)
ส่วนประกอบเหล่านี้ช่วยให้มัลแวร์รับและดำเนินการคำสั่งบนระบบที่ติดไวรัสผ่านทาง cmd.exe โดยอิงจากข้อมูลที่แยกวิเคราะห์จากการตอบสนองของเซิร์ฟเวอร์ HTTP หรือ DNS
สารบัญ
การใช้ประโยชน์จากข้อบกพร่องของ Microsoft เพื่อผลกระทบสูงสุด
Storm-2603 ได้นำช่องโหว่ CVE-2025-49706 และ CVE-2025-49704 (หรือที่รู้จักกันในชื่อ ToolShell) ของ SharePoint มาใช้เป็นอาวุธ เพื่อเจาะระบบเครือข่ายและปล่อยเพย์โหลดที่เป็นอันตราย ช่องโหว่หลักๆ เหล่านี้คือแรนซัมแวร์ตระกูลต่างๆ เช่น Warlock (หรือที่เรียกว่า X2anylock) และ LockBit Black ซึ่งเป็นการผสมผสานที่แปลกประหลาดที่มักไม่พบเห็นในกลุ่มผู้ปฏิบัติการอาชญากรรมอิเล็กทรอนิกส์กระแสหลัก
ในตัวบ่งชี้ทางเทคนิคที่สำคัญตัวหนึ่ง แบ็กดอร์ที่มีชื่อว่า dnsclient.exe ซึ่งเป็นส่วนหนึ่งของชุด AK47 C2 ใช้การสื่อสารที่ใช้ DNS กับโดเมนปลอม:
update.updatemicfosoft.com เลียนแบบเซิร์ฟเวอร์อัปเดตของ Microsoft เพื่อหลีกเลี่ยงการตรวจจับ
Hybrid Arsenal: โอเพ่นซอร์สพบกับเพย์โหลดแบบกำหนดเอง
ชุดเครื่องมือ Storm-2603 แสดงให้เห็นถึงการผสมผสานระหว่างซอฟต์แวร์ที่ถูกต้องตามกฎหมายและการปรับปรุงที่เป็นอันตราย ซึ่งรวมถึง:
ยูทิลิตี้ที่ใช้กันทั่วไป:
- masscan – สำหรับการสแกนท่าเรือและการลาดตระเวน
- WinPcap – เครื่องมือจับแพ็คเก็ตเครือข่าย
- SharpHostInfo – รวบรวมข้อมูลตามโฮสต์
- nxc และ PsExec – เครื่องมือการดำเนินการคำสั่งระยะไกล
การเพิ่มเติมที่เป็นอันตราย:
- 7z.exe และ 7z.dll: ไฟล์ไบนารี 7-Zip ที่ถูกกฎหมายถูกใช้เพื่อโหลด DLL ที่ส่งแรนซัมแวร์ Warlock
- bbb.msi: โปรแกรมติดตั้งที่โหลด clink_dll_x86.dll ผ่าน clink_x86.exe ซึ่งส่งผลให้มีการใช้งาน LockBit Black ในที่สุด
เครื่องมือเหล่านี้ใช้ร่วมกับเทคนิค BYOVD (Bring Your Own Vulnerable Driver) เพื่อทำให้การป้องกันปลายทางเป็นกลาง ร่วมกับกลวิธีการไซด์โหลด DLL ซึ่งทำให้การตรวจจับและการตอบสนองซับซ้อนมากขึ้น
ขอบเขตทางภูมิศาสตร์และวัตถุประสงค์ที่คลุมเครือ
หลักฐานบ่งชี้ว่า Storm-2603 เริ่มระบาดมาตั้งแต่เดือนมีนาคม 2568 เป็นอย่างน้อย โดยมุ่งเป้าโจมตีหน่วยงานต่างๆ ทั่วละตินอเมริกาและภูมิภาคเอเชียแปซิฟิก (APAC) กลยุทธ์ของกลุ่มนี้ในการรวมกลุ่มแรนซัมแวร์และโจมตีภาคส่วนทางภูมิศาสตร์ที่หลากหลาย ก่อให้เกิดคำถามเกี่ยวกับเป้าหมายสูงสุดของกลุ่ม
แม้ว่าแรงจูงใจของพวกเขายังคงคลุมเครือ แต่ความคล้ายคลึงกับผู้มีบทบาทในชาติรัฐอื่นๆ (โดยเฉพาะจากจีน อิหร่าน และเกาหลีเหนือ) ที่ใช้แรนซัมแวร์ในการปฏิบัติการทางภูมิรัฐศาสตร์ ชี้ให้เห็นว่า Storm-2603 อาจอยู่ระหว่างการจารกรรมและการก่ออาชญากรรมที่มีแรงจูงใจทางการเงิน
APT-Criminal Nexus: ความกังวลที่เพิ่มขึ้น
Storm-2603 เป็นตัวอย่างแนวโน้มที่เพิ่มขึ้นของผู้ก่อภัยคุกคามแบบไฮบริด ซึ่งผสมผสานเทคนิค Advanced Persistent Threat (APT) แบบดั้งเดิมเข้ากับปฏิบัติการแรนซัมแวร์ กลยุทธ์ที่น่าสนใจ ได้แก่:
ไฮไลท์เชิงกลยุทธ์:
- การใช้การแฮ็ก DLL เพื่อส่งแรนซัมแวร์หลายสายพันธุ์
- BYOVD เพื่อรื้อถอนเครื่องมือการปกป้องปลายทาง
- การพึ่งพาเครื่องมือโอเพ่นซอร์สเพื่อความลับและการปรับขนาด
การที่กลุ่มใช้โครงสร้างพื้นฐานเดียวกันในการโฮสต์เว็บเชลล์ (เช่น spinstall0.aspx) และอำนวยความสะดวกในการสื่อสาร C2 เน้นย้ำถึงความซับซ้อนที่เพิ่มมากขึ้นของการโจมตีทางไซเบอร์ในปัจจุบัน
ปฏิบัติการของ Storm-2603 เผยให้เห็นวิวัฒนาการที่อันตรายในอาชญากรรมทางไซเบอร์ ซึ่งเส้นแบ่งที่ไม่ชัดเจนระหว่างการจารกรรมที่ได้รับการสนับสนุนจากรัฐและการรณรงค์มัลแวร์เพื่อแสวงหากำไรทำให้การระบุแหล่งที่มา การป้องกัน และการตอบสนองมีความซับซ้อนมากยิ่งขึ้นอย่างมีนัยสำคัญ
