AK47 C2 Çerçevesi

Yakın zamanda ortaya çıkarılan ve Storm-2603 olarak tanımlanan bir tehdit unsurunun, Microsoft SharePoint Server'daki bilinen güvenlik açıklarından faydalandığı tespit edildi. Bu grubun Çin merkezli faaliyet gösterdiği ve saldırılarını düzenlemek için AK47 C2 (ak47c2 olarak da bilinir) adlı özel bir Komuta ve Kontrol (C2) çerçevesi kullandığı düşünülüyor.

AK47 C2 platformu iki temel iletişim yöntemini kullanır: AK47HTTP (C2 iletişimi için HTTP protokollerini kullanır) ve AK47DNS (Gizli komut iletimi için DNS protokollerini kullanır).

Bu bileşenler, kötü amaçlı yazılımın HTTP veya DNS sunucusu yanıtlarından ayrıştırılan verilere dayanarak cmd.exe aracılığıyla enfekte sistemlerde komutları almasına ve yürütmesine yardımcı olur.

Microsoft Kusurlarından Maksimum Etki İçin Yararlanma

Storm-2603, ağlara sızmak ve kötü amaçlı yazılımlar dağıtmak için CVE-2025-49706 ve CVE-2025-49704 (ToolShell olarak da bilinir) SharePoint güvenlik açıklarını silah olarak kullanmıştır. Bunların başında, ana akım e-suç operatörleri arasında genellikle görülmeyen alışılmadık bir kombinasyon olan Warlock (diğer adıyla X2anylock) ve LockBit Black gibi fidye yazılımı aileleri gelmektedir.

Önemli teknik göstergelerden birinde, AK47 C2 paketinin bir parçası olan dnsclient.exe adlı bir arka kapı, sahte bir etki alanıyla DNS tabanlı iletişimi kullanıyor:
update.updatemicfosoft.com, tespit edilmekten kaçınmak için Microsoft güncelleme sunucusunu taklit ediyor.

Hibrit Cephanelik: Açık Kaynak, Özel Yüklerle Buluşuyor

Storm-2603'ün araç seti, meşru yazılımlar ile kötü amaçlı geliştirmelerin bir karışımını göstermektedir. Bunlar arasında şunlar yer almaktadır:

Yaygın Olarak Kullanılan Yardımcı Programlar:

• masscan – Liman taraması ve keşfi için.
• WinPcap – Ağ paketi yakalama aracı.
• SharpHostInfo – Ana bilgisayara dayalı bilgileri toplar.
• nxc ve PsExec – Uzaktan komut yürütme araçları.

Kötü Amaçlı Eklemeler:

• 7z.exe ve 7z.dll: Warlock fidye yazılımını dağıtan bir DLL'yi yan yüklemek için kullanılan meşru 7-Zip ikili dosyaları.
• bbb.msi: clink_x86.exe aracılığıyla clink_dll_x86.dll dosyasını yan yükleyen ve sonuç olarak LockBit Black dağıtımına yol açan bir yükleyici.

Bu araçlar, uç nokta savunmalarını etkisiz hale getirmek için BYOVD (Kendi Güvenlik Açığı Sürücünüzü Getirin) teknikleriyle birlikte kullanılır ve DLL yan yükleme taktikleriyle birlikte kullanıldığında tespit ve müdahale daha da karmaşık hale gelir.

Coğrafi Kapsam ve Gölgeli Hedefler

Eldeki kanıtlar, Storm-2603'ün en azından Mart 2025'ten beri aktif olduğunu ve Latin Amerika ve Asya-Pasifik (APAC) bölgesindeki kuruluşları hedef aldığını gösteriyor. Grubun fidye yazılımı ailelerini birleştirme ve farklı coğrafi sektörleri hedefleme stratejisi, nihai hedefleri hakkında soru işaretleri yaratıyor.

Motivasyonları henüz belirsiz olsa da, jeopolitik operasyonlarda fidye yazılımı kullanan diğer ulus-devlet aktörleriyle (özellikle Çin, İran ve Kuzey Kore) benzerlikler, Storm-2603'ün casusluk ile finansal amaçlı suç arasında bir yerde olabileceğini düşündürüyor.

APT-Suç Bağlantısı: Artan Bir Endişe

Storm-2603, geleneksel Gelişmiş Kalıcı Tehdit (APT) tekniklerini fidye yazılımı operasyonlarıyla birleştiren hibrit tehdit aktörlerinin artan eğilimine örnek teşkil ediyor. Dikkat çeken taktikler arasında şunlar yer alıyor:

Taktiksel Önemli Noktalar:

• Birden fazla fidye yazılımı türünü dağıtmak için DLL ele geçirme yönteminin kullanılması.
• BYOVD uç nokta koruma araçlarını ortadan kaldıracak.
• Gizlilik ve ölçeklenebilirlik için açık kaynaklı araçlara güvenmek.

Grubun web kabuklarını (spinstall0.aspx gibi) barındırmak ve C2 iletişimlerini kolaylaştırmak için aynı altyapıyı kullanması, günümüz siber saldırılarının giderek daha karmaşık hale geldiğinin altını çiziyor.

Storm-2603'ün operasyonları, siber suçlarda tehlikeli bir evrimi ortaya koyuyor. Devlet destekli casusluk ile kâr odaklı kötü amaçlı yazılım kampanyaları arasındaki çizgilerin belirsizleşmesi, atıf, savunma ve müdahaleyi önemli ölçüde daha karmaşık hale getiriyor.