AK47 C2 Rahmen
Ein kürzlich aufgedeckter Bedrohungsakteur namens Storm-2603 wird mit der Ausnutzung bekannter Sicherheitslücken in Microsoft SharePoint Server in Verbindung gebracht. Die Gruppe operiert vermutlich von China aus und nutzt zur Orchestrierung ihrer Angriffe ein spezielles Command-and-Control-Framework (C2) namens AK47 C2 (auch ak47c2 genannt).
Die AK47 C2-Plattform verwendet zwei primäre Kommunikationsmethoden: AK47HTTP (nutzt HTTP-Protokolle für die C2-Kommunikation) und AK47DNS (nutzt DNS-Protokolle für die verdeckte Befehlsübermittlung).
Diese Komponenten helfen der Malware, Befehle auf infizierten Systemen über cmd.exe zu empfangen und auszuführen, basierend auf Daten, die aus HTTP- oder DNS-Serverantworten analysiert wurden.
Inhaltsverzeichnis
Ausnutzen von Microsoft-Fehlern für maximale Wirkung
Storm-2603 nutzte die SharePoint-Sicherheitslücken CVE-2025-49706 und CVE-2025-49704 (auch bekannt als ToolShell) aus, um in Netzwerke einzudringen und schädliche Payloads zu verbreiten. Zu den wichtigsten gehören Ransomware-Familien wie Warlock (auch bekannt als X2anylock) und LockBit Black – eine ungewöhnliche Kombination, die bei etablierten E-Crime-Betreibern nicht üblich ist.
Einer der wichtigsten technischen Indikatoren ist eine Backdoor namens dnsclient.exe, die Teil der AK47 C2-Suite ist und DNS-basierte Kommunikation mit einer gefälschten Domäne verwendet:
update.updatemicfosoft.com, das einen Microsoft-Update-Server imitiert, um einer Erkennung zu entgehen.
Hybrides Arsenal: Open Source trifft auf benutzerdefinierte Nutzlasten
Das Toolkit von Storm-2603 weist eine Mischung aus legitimer Software und bösartigen Erweiterungen auf, darunter:
Häufig verwendete Dienstprogramme:
- Masscan – Zum Scannen und Aufklären von Häfen.
- WinPcap – Tool zur Erfassung von Netzwerkpaketen.
- SharpHostInfo – Sammelt hostbasierte Informationen.
- nxc und PsExec – Tools zur Remote-Befehlsausführung.
Bösartige Ergänzungen:
- 7z.exe und 7z.dll: Legitime 7-Zip-Binärdateien werden ausgenutzt, um eine DLL zu laden, die die Warlock-Ransomware liefert.
- bbb.msi: Ein Installationsprogramm, das clink_dll_x86.dll über clink_x86.exe lädt, was letztendlich zur Bereitstellung von LockBit Black führt.
Diese Tools werden in Verbindung mit BYOVD-Techniken (Bring Your Own Vulnerable Driver) verwendet, um die Abwehr von Endpunkten zu neutralisieren, zusammen mit DLL-Sideloading-Taktiken, was die Erkennung und Reaktion weiter erschwert.
Geografische Reichweite und finstere Ziele
Es gibt Hinweise darauf, dass Storm-2603 seit mindestens März 2025 aktiv ist und Unternehmen in Lateinamerika und der Asien-Pazifik-Region (APAC) ins Visier nimmt. Die Strategie der Gruppe, Ransomware-Familien zu kombinieren und verschiedene geografische Sektoren anzugreifen, wirft Fragen zu ihren eigentlichen Zielen auf.
Obwohl ihre Motive unklar bleiben, deuten Parallelen zu anderen staatlichen Akteuren (vor allem aus China, dem Iran und Nordkorea), die Ransomware in geopolitischen Operationen eingesetzt haben, darauf hin, dass Storm-2603 die Grenze zwischen Spionage und finanziell motivierter Kriminalität überschreiten könnte.
Der APT-Kriminalitäts-Nexus: Eine wachsende Sorge
Storm-2603 ist ein Beispiel für den zunehmenden Trend hybrider Bedrohungsakteure, die traditionelle Advanced Persistent Threat (APT)-Techniken mit Ransomware-Operationen kombinieren. Zu den bemerkenswerten Taktiken gehören:
Taktische Highlights:
- Verwendung von DLL-Hijacking zur Bereitstellung mehrerer Ransomware-Stämme.
- BYOVD zur Demontage von Endpunktschutztools.
- Vertrauen Sie auf Open-Source-Tools für Tarnung und Skalierbarkeit.
Die Nutzung derselben Infrastruktur durch die Gruppe zum Hosten von Web-Shells (wie spinstall0.aspx) und zur Erleichterung der C2-Kommunikation unterstreicht die zunehmende Raffinesse moderner Cyberangriffe.
Die Operationen von Storm-2603 offenbaren eine gefährliche Entwicklung in der Cyberkriminalität, bei der die verschwimmenden Grenzen zwischen staatlich geförderter Spionage und profitorientierten Malware-Kampagnen die Zuordnung, Verteidigung und Reaktion deutlich komplexer machen.
