AK47 C2框架

最近發現的威脅行為者 Storm-2603 涉嫌利用 Microsoft SharePoint Server 中已知的安全漏洞。該組織疑似在中國境外活動，並使用名為 AK47 C2（也稱為 ak47c2）的自訂命令與控制 (C2) 框架來策劃攻擊。

AK47 C2 平台採用兩種主要通訊方法：AK47HTTP（利用 HTTP 協定進行 C2 通訊）和 AK47DNS（利用 DNS 協定進行隱藏命令傳遞）。

這些元件可協助惡意軟體根據從 HTTP 或 DNS 伺服器回應解析的數據，透過 cmd.exe 在受感染的系統上接收和執行命令。

利用微軟漏洞實現最大影響

Storm-2603 利用 SharePoint 漏洞 CVE-2025-49706 和 CVE-2025-49704（也稱為 ToolShell）入侵網路並部署惡意負載。其中最主要的是像 Warlock（又稱 X2anylock）和 LockBit Black 這樣的勒索軟體家族，這種組合在主流電子犯罪運營商中並不常見。

在其中一個關鍵技術指標中，名為 dnsclient.exe 的後門（AK47 C2 套件的一部分）使用基於 DNS 的通訊與欺騙網域進行：
update.updatemicfosoft.com，模仿微軟更新伺服器以逃避偵測。

混合武器庫：開源與客製化有效載荷的結合

Storm-2603 的工具包展示了合法軟體和惡意增強功能的混合，其中包括：

常用實用程式：

• masscan－用於連接埠掃描和偵察。
• WinPcap－網路封包擷取工具。
• SharpHostInfo – 收集基於主機的資訊。
• nxc 和 PsExec – 遠端命令執行工具。

惡意添加：

• 7z.exe 和 7z.dll：合法的 7-Zip 二進位檔案被利用來側載傳遞 Warlock 勒索軟體的 DLL。
• bbb.msi：透過 clink_x86.exe 側載 clink_dll_x86.dll 的安裝程序，最終實作 LockBit Black 部署。

這些工具與 BYOVD（自帶易受攻擊的驅動程式）技術結合使用，以消除端點防禦，並與 DLL 側加載策略結合使用，進一步使偵測和回應複雜化。

地理範圍和隱密目標

有證據表明，Storm-2603 至少自 2025 年 3 月起就一直活躍，其目標遍及拉丁美洲和亞太地區 (APAC)。該組織將勒索軟體家族組合在一起，並針對不同地理區域，這種策略令人對其最終目標產生懷疑。

儘管他們的動機仍不明朗，但與其他在地緣政治行動中使用勒索軟體的國家行為者（特別是中國、伊朗和北韓）的相似之處表明，Storm-2603 可能介於間諜活動和經濟犯罪之間。

APT與犯罪者的關聯：日益嚴重的問題

Storm-2603 體現了混合型威脅行為者日益增多的趨勢，這些威脅行為者將傳統的高階持續性威脅 (APT) 技術與勒索軟體操作相結合。值得關注的策略包括：

戰術重點：

• 使用 DLL 劫持來傳播多種勒索軟體。
• BYOVD 拆除端點保護工具。
• 依賴開源工具實現隱身性和可擴展性。

該組織使用相同的基礎設施來託管 Web Shell（如 spinstall0.aspx）並促進 C2 通信，這突顯了現代網路攻擊日益複雜化。

Storm-2603 的行動揭示了網路犯罪的危險演變，其中國家支持的間諜活動和利潤驅動的惡意軟體活動之間的界限模糊，使歸因、防禦和響應變得更加複雜。