Рамка АК47 C2
Нещодавно виявлений зловмисник, ідентифікований як Storm-2603, пов'язаний з використанням відомих вразливостей безпеки в Microsoft SharePoint Server. Підозрюється, що ця група діє з Китаю та використовує спеціальну систему командування та управління (C2) під назвою AK47 C2 (також стилізовану як ak47c2) для організації своїх атак.
Платформа AK47 C2 використовує два основні методи зв'язку: AK47HTTP (використовує протоколи HTTP для зв'язку C2) та AK47DNS (використовує протоколи DNS для прихованої доставки команд).
Ці компоненти допомагають шкідливому програмному забезпеченню отримувати та виконувати команди на заражених системах через cmd.exe, на основі даних, отриманих з відповідей HTTP- або DNS-сервера.
Зміст
Використання недоліків Microsoft для максимального впливу
Storm-2603 використав уразливості SharePoint CVE-2025-49706 та CVE-2025-49704 (також відому як ToolShell) для злому мереж та розгортання шкідливих корисних навантажень. Основними серед них є сімейства програм-вимагачів, такі як Warlock (також відомий як X2anylock) та LockBit Black, незвичайне поєднання, яке зазвичай не спостерігається серед основних операторів електронної злочинності.
Одним з ключових технічних показників є бекдор під назвою dnsclient.exe, що входить до пакету AK47 C2, який використовує зв'язок на основі DNS зі підробленим доменом:
update.updatemicfosoft.com, що імітує сервер оновлень Microsoft, щоб уникнути виявлення.
Гібридний арсенал: відкрите програмне забезпечення зустрічається з користувацькими корисними навантаженнями
Інструментарій Storm-2603 демонструє поєднання легального програмного забезпечення та шкідливих удосконалень, зокрема:
Часто використовувані утиліти:
- masscan – Для сканування портів та розвідки.
- WinPcap – інструмент для захоплення мережевих пакетів.
- SharpHostInfo – Збирає інформацію про хост.
- nxc та PsExec – інструменти для віддаленого виконання команд.
Шкідливі доповнення:
- 7z.exe та 7z.dll: легітимні бінарні файли 7-Zip, що використовуються для завантаження DLL-бібліотеки, що постачає програму-вимагач Warlock.
- bbb.msi: Інсталятор, який завантажує clink_dll_x86.dll через clink_x86.exe, що зрештою призводить до розгортання LockBit Black.
Ці інструменти використовуються разом із методами BYOVD (Bring Your Own Vulnerable Driver) для нейтралізації захисту кінцевих точок, а також із тактикою нестандартного завантаження DLL, що ще більше ускладнює виявлення та реагування.
Географічний охоплення та тіньові цілі
Дані свідчать про те, що Storm-2603 активний щонайменше з березня 2025 року, націлюючись на організації в Латинській Америці та Азіатсько-Тихоокеанському (APAC) регіоні. Стратегія групи, що полягає в поєднанні сімейств програм-вимагачів та націлюванні на різні географічні сектори, викликає питання щодо її кінцевих цілей.
Хоча їхні мотиви залишаються неясними, паралелі з іншими державними структурами (зокрема, з Китаю, Ірану та Північної Кореї), які використовували програми-вимагачі в геополітичних операціях, свідчать про те, що Storm-2603 може опинитися на межі між шпигунством та фінансово мотивованими злочинами.
Зв’язок між APT та кримінальним правосуддям: зростаюча проблема
Шторм-2603 є прикладом зростання популярності гібридних кіберзлочинців, які поєднують традиційні методи розширених постійних загроз (APT) з операціями з програмами-вимагачами. Варті уваги тактики:
Тактичні особливості:
- Використання захоплення DLL-бібліотек для доставки кількох штамів програм-вимагачів.
- BYOVD демонтує інструменти захисту кінцевих точок.
- Опора на інструменти з відкритим кодом для прихованості та масштабованості.
Використання групою тієї ж інфраструктури для розміщення веб-оболок (таких як spinstall0.aspx) та сприяння комунікації C2 підкреслює зростаючу складність сучасних кібератак.
Операції, пов'язані зі штормом Storm-2603, демонструють небезпечну еволюцію кіберзлочинності, де розмиті межі між шпигунством, що спонсорується державою, та прибутковими кампаніями зі шкідливим програмним забезпеченням значно ускладнюють атрибуцію, захист та реагування.
