Multi-License Discount Quote
Banta sa Database Malware AK47 C2 Framework

AK47 C2 Framework

Sa pamamagitan ng Mezo sa Malware, Advanced Persistent Threat (APT)
Isalin To:

Isang kamakailang natuklasang banta na aktor, na kinilala bilang Storm-2603, ay na-link sa pagsasamantala ng mga kilalang kahinaan sa seguridad sa Microsoft SharePoint Server. Ang grupong ito ay pinaghihinalaang nagpapatakbo sa labas ng China at gumagamit ng custom na Command-and-Control (C2) na balangkas na tinatawag na AK47 C2 (na inilarawan din bilang ak47c2) upang ayusin ang mga pag-atake nito.

Gumagamit ang AK47 C2 platform ng dalawang pangunahing paraan ng komunikasyon: AK47HTTP (Gumagamit ng mga HTTP protocol para sa C2 na komunikasyon) at AK47DNS (Nakikinabang sa mga protocol ng DNS para sa lihim na paghahatid ng command).

Ang mga bahaging ito ay tumutulong sa malware na makatanggap at magsagawa ng mga utos sa mga nahawaang system sa pamamagitan ng cmd.exe, batay sa data na na-parse mula sa mga tugon ng HTTP o DNS server.

Pagsasamantala sa Microsoft Flaws para sa Pinakamataas na Epekto

Ginamit ng Storm-2603 ang mga kahinaan ng SharePoint na CVE-2025-49706 at CVE-2025-49704 (kilala rin bilang ToolShell) upang labagin ang mga network at mag-deploy ng mga nakakahamak na payload. Pangunahin sa mga ito ang mga pamilya ng ransomware tulad ng Warlock (aka X2anylock) at LockBit Black, isang hindi pangkaraniwang kumbinasyon na hindi karaniwang nakikita sa mga pangunahing e-crime operator.

Sa isa sa mga pangunahing teknikal na tagapagpahiwatig, isang backdoor na pinangalanang dnsclient.exe, bahagi ng AK47 C2 suite, ay gumagamit ng DNS-based na komunikasyon sa isang spoofed domain:
update.updatemicfosoft.com, na ginagaya ang isang server ng pag-update ng Microsoft upang maiwasan ang pagtuklas.

Hybrid Arsenal: Open-Source Meet Custom Payloads

Ang toolkit ng Storm-2603 ay nagpapakita ng kumbinasyon ng mga lehitimong software at mga nakakahamak na pagpapahusay, kabilang ang:

Mga Karaniwang Ginagamit na Utility:

  • masscan – Para sa port scanning at reconnaissance.
  • WinPcap – Tool sa pagkuha ng packet ng network.
  • SharpHostInfo – Kinokolekta ang impormasyong nakabatay sa host.
  • nxc at PsExec – Remote command execution tool.

Mga Nakakahamak na Dagdag:

  • 7z.exe at 7z.dll: Ang mga lehitimong 7-Zip na binary ay pinagsamantalahan upang i-sideload ang isang DLL na naghahatid ng Warlock ransomware.
  • bbb.msi: Isang installer na nag-sideload ng clink_dll_x86.dll sa pamamagitan ng clink_x86.exe, na nagreresulta sa LockBit Black deployment.

Ginagamit ang mga tool na ito kasabay ng mga diskarte ng BYOVD (Bring Your Own Vulnerable Driver) para i-neutralize ang mga endpoint defense, kasama ang mga taktika sa pag-sideload ng DLL, na higit pang nagpapakumplikado sa pagtuklas at pagtugon.

Heograpikong Abot at Malabong Layunin

Iminumungkahi ng ebidensya na ang Storm-2603 ay naging aktibo mula noong Marso 2025, na nagta-target ng mga entity sa buong Latin America at sa rehiyon ng Asia-Pacific (APAC). Ang diskarte ng grupo sa pagsasama-sama ng mga pamilya ng ransomware at pag-target sa magkakaibang heyograpikong sektor ay naglalabas ng mga katanungan tungkol sa mga pangunahing layunin nito.

Bagama't nananatiling malabo ang kanilang mga motibasyon, iminumungkahi ng Storm-2603 na ang Storm-2603 ay sumakbay sa linya sa pagitan ng espiya at krimen na dulot ng pananalapi.

Ang APT-Criminal Nexus: Isang Lumalagong Pag-aalala

Ang Storm-2603 ay nagpapakita ng tumataas na trend ng mga hybrid threat actor, ang mga naghahalo ng tradisyonal na Advanced Persistent Threat (APT) na mga diskarte sa mga operasyon ng ransomware. Ang mga kapansin-pansing taktika ay kinabibilangan ng:

Mga Tactical na Highlight:

  • Paggamit ng DLL hijacking para maghatid ng maraming ransomware strain.
  • BYOVD upang lansagin ang mga tool sa proteksyon ng endpoint.
  • Pag-asa sa mga open-source na tool para sa stealth at scalability.

Ang paggamit ng grupo ng parehong imprastraktura para sa pagho-host ng mga web shell (tulad ng spinstall0.aspx) at pagpapadali sa mga komunikasyon sa C2 ay binibigyang-diin ang pagtaas ng pagiging sopistikado ng modernong-panahong cyberattacks.

Ang mga operasyon ng Storm-2603 ay nagpapakita ng isang mapanganib na ebolusyon sa cybercrime, kung saan ang malabong mga linya sa pagitan ng espionage na inisponsor ng estado at mga kampanyang malware na hinihimok ng tubo ay nagiging mas kumplikado ang pagpapatungkol, pagtatanggol, at pagtugon.

Trending

Pinaka Nanood

Naglo-load...