Khung AK47 C2
Một tác nhân đe dọa mới được phát hiện, được xác định là Storm-2603, có liên quan đến việc khai thác các lỗ hổng bảo mật đã biết trong Microsoft SharePoint Server. Nhóm này bị nghi ngờ hoạt động ở Trung Quốc và sử dụng một khung Chỉ huy và Kiểm soát (C2) tùy chỉnh có tên AK47 C2 (còn được gọi là ak47c2) để điều phối các cuộc tấn công.
Nền tảng AK47 C2 sử dụng hai phương pháp truyền thông chính: AK47HTTP (Sử dụng giao thức HTTP để truyền thông C2) và AK47DNS (Tận dụng giao thức DNS để truyền lệnh bí mật).
Các thành phần này giúp phần mềm độc hại nhận và thực thi các lệnh trên hệ thống bị nhiễm thông qua cmd.exe, dựa trên dữ liệu được phân tích từ phản hồi của máy chủ HTTP hoặc DNS.
Mục lục
Khai thác lỗ hổng của Microsoft để đạt tác động tối đa
Storm-2603 đã lợi dụng các lỗ hổng SharePoint CVE-2025-49706 và CVE-2025-49704 (còn được gọi là ToolShell) để xâm nhập mạng và triển khai các phần mềm độc hại. Nổi bật trong số đó là các họ ransomware như Warlock (hay còn gọi là X2anylock) và LockBit Black, một sự kết hợp bất thường hiếm thấy ở các nhà điều hành tội phạm mạng chính thống.
Trong một trong những chỉ số kỹ thuật quan trọng, một cửa hậu có tên dnsclient.exe, một phần của bộ AK47 C2, sử dụng giao tiếp dựa trên DNS với một miền giả mạo:
update.updatemicfosoft.com, mô phỏng máy chủ cập nhật của Microsoft để tránh bị phát hiện.
Kho vũ khí lai: Nguồn mở đáp ứng tải trọng tùy chỉnh
Bộ công cụ của Storm-2603 thể hiện sự kết hợp giữa phần mềm hợp pháp và các cải tiến độc hại, bao gồm:
Tiện ích thường dùng:
- masscan – Dùng để quét và trinh sát cổng.
- WinPcap – Công cụ bắt gói tin mạng.
- SharpHostInfo – Thu thập thông tin dựa trên máy chủ.
- nxc và PsExec – Công cụ thực thi lệnh từ xa.
Các phần bổ sung độc hại:
- 7z.exe và 7z.dll: Các tệp nhị phân 7-Zip hợp pháp được khai thác để tải DLL cung cấp phần mềm tống tiền Warlock.
- bbb.msi: Trình cài đặt tải clink_dll_x86.dll thông qua clink_x86.exe, cuối cùng dẫn đến việc triển khai LockBit Black.
Các công cụ này được sử dụng kết hợp với các kỹ thuật BYOVD (Mang theo trình điều khiển dễ bị tấn công của riêng bạn) để vô hiệu hóa các biện pháp phòng thủ điểm cuối, cùng với các chiến thuật tải DLL, làm phức tạp thêm việc phát hiện và ứng phó.
Phạm vi địa lý và mục tiêu mờ ám
Bằng chứng cho thấy Storm-2603 đã hoạt động ít nhất từ tháng 3 năm 2025, nhắm mục tiêu vào các thực thể trên khắp Mỹ Latinh và khu vực Châu Á - Thái Bình Dương (APAC). Chiến lược kết hợp các họ ransomware và nhắm mục tiêu vào nhiều khu vực địa lý khác nhau của nhóm này đặt ra nhiều câu hỏi về mục tiêu cuối cùng của chúng.
Mặc dù động cơ của chúng vẫn chưa rõ ràng, nhưng có sự tương đồng với các tác nhân quốc gia khác (đặc biệt là từ Trung Quốc, Iran và Triều Tiên) đã sử dụng phần mềm tống tiền trong các hoạt động địa chính trị cho thấy Storm-2603 có thể nằm giữa hoạt động gián điệp và tội phạm có động cơ tài chính.
Mối liên hệ giữa APT và tội phạm: Mối lo ngại ngày càng tăng
Storm-2603 là một ví dụ điển hình cho xu hướng gia tăng của các tác nhân đe dọa lai, những kẻ kết hợp các kỹ thuật Đe dọa dai dẳng nâng cao (APT) truyền thống với các hoạt động tống tiền. Các chiến thuật đáng chú ý bao gồm:
Điểm nổi bật về mặt chiến thuật:
- Sử dụng DLL hijacking để phát tán nhiều loại ransomware.
- Mang theo thiết bị cá nhân để tháo dỡ các công cụ bảo vệ điểm cuối.
- Dựa vào các công cụ nguồn mở để ẩn và mở rộng khả năng.
Việc nhóm này sử dụng cùng một cơ sở hạ tầng để lưu trữ web shell (như spinstall0.aspx) và tạo điều kiện cho giao tiếp C2 nhấn mạnh mức độ tinh vi ngày càng tăng của các cuộc tấn công mạng hiện đại.
Hoạt động của Storm-2603 cho thấy sự phát triển nguy hiểm của tội phạm mạng, nơi ranh giới giữa hoạt động gián điệp do nhà nước tài trợ và các chiến dịch phần mềm độc hại vì lợi nhuận trở nên mờ nhạt khiến việc quy trách nhiệm, phòng thủ và ứng phó trở nên phức tạp hơn đáng kể.
