
Palo Alto Networks Birimi 42 tarafından yayınlanan yeni araştırmalara göre, sofistike bir Çin tehdit oyuncusu Microsoft SharePoint’teki kritik güvenlik açıklarından yararlanıyor.
En azından Mart 2025’ten beri aktif olan kampanya, araç kepçesi istismar zinciri olarak bilinen bir teknikle kurumsal SharePoint ortamlarını hedefleyen saldırılarda önemli bir yükselmeyi temsil ediyor.
Microsoft tarafından Storm-2603 olarak adlandırılan ve Palo Alto Networks tarafından CL-CRI-1040 olarak izlenen tehdit oyuncusu, yakın zamanda açıklanan dört SharePoint güvenlik açıklarından yararlanıyor:-
- CVE-2025-49704
- CVE-2025-49706
- CVE-2025-53770
- CVE-2025-53771
Bu güvenlik açıkları, saldırganların SharePoint sunucularına yetkisiz erişim elde etmelerini ve daha sonra kötü amaçlı yük arsenallerini dağıtmalarını sağlar.
Kampanya, devlet destekli siber suçların gelişen doğasını göstermektedir ve gelişmiş kalıcı tehdit taktiklerini finansal olarak motive edilmiş fidye yazılımı operasyonlarıyla harmanlamaktadır.
Palo Alto Networks analistleri, Microsoft’un araç kabı etkinliği hakkındaki raporları ile ayrı ayrı izlenen tehdit kümeleri arasında dikkate değer örtüşmeler belirledi ve bu sofistike operasyonun keşfedilmesine yol açtı.
.webp)
Araştırmacılar, etkinliği önceki Lockbit 3.0 bağlı kuruluş işlemlerine bağlayan zorlayıcı kanıtlar ve “Warlock istemcisi sızdırılmış veri şovu” markası altında faaliyet gösteren yakın zamanda ortaya çıkan bir fidye yazılımı grubu buldular.
AK47 araç seti projesi, saldırı yaşam döngüsünün farklı aşamaları için tasarlanmış birden fazla birbirine bağlı bileşenden oluşan kapsamlı bir saldırı çerçevesini temsil eder.
Araç seti, DNS ve HTTP varyantları, X2anylock olarak da bilinen özel AK47 fidye yazılımı ve tespitten kaçınmak için DLL yan yükleme tekniklerini kötüye kullanan çeşitli yükleyicileri destekleyen AK47C2 arka kapısını içerir.
Çoklu protokol iletişim altyapısı
AK47C2 arka kapı, çift protokol mimarisi aracılığıyla gelişmiş komut ve kontrol yeteneklerini gösterir.
.webp)
Program veritabanı (PDB) FilePath “C: \ Users \ Yönetici \ Desktop \ Work \ Tools \ ak47c2 \ dnsclinet-c \ dnsclient \ aK47c2 \ dnsclinet-c \ dnsclient aracılığıyla izlenen DNS istemci bileşeni, xor verileri ile hortim@@hortum kuğu ile komut ve kontrol sunucuları ile iletişim kurar.
.webp)
Kötü amaçlı yazılım, JSON komut verilerini xor kodladığı, onaltılık dizelere dönüştürdüğü ve alt alan olarak C2 Domain güncellemesine ilettiği akıllı bir kodlama mekanizması kullanır.[.]com.
Kodlanan alt alan boşluğu 255 baytlık DNS sorgu uzunluğu sınırlarını aştığında, kötü amaçlı yazılım verileri birden çok sorgu boyunca parçalayarak parçalanmış iletimleri belirtmek için bir “S” karakteri hazırlar.
C2 sunucusu, aynı kodlama algoritmasını kullanarak DNS TXT kayıtları aracılığıyla yanıt verir.
.webp)
HTTP istemci varyantı benzer bir iletişim modelini takip eder, ancak HTTP gövdesinde kodlanmış verilerle post istekleri kullanır. Her iki varyant da uyku süresi yapılandırması ve keyfi komut yürütme yetenekleri dahil aynı işlevselliği paylaşır.
Kötü amaçlı yazılım geliştiricileri, JSON yapısını basitleştiren ve gelişmiş operasyonel güvenlik için oturum anahtarı doğrulamasını uygulayan 202504 sürümünün iletişim protokolünü sürekli olarak rafine ettiler.
Fidye yazılımı bileşeni, şifrelenmiş dosyalara .x2anyLock uzantıları ekler ve sistem tarihi 6 Haziran 2026’da veya sonrasında ise yürütmeyi sonlandıran bir zaman damgası tabanlı öldürme anahtarı içerir.
Bu sofistike saldırı çerçevesi, tehdit oyuncunun sadece hazır kötü amaçlı yazılımlara güvenmek yerine özel araçlar geliştirme konusundaki taahhüdünü göstermektedir ve bu da önemli geliştirme yeteneklerine sahip iyi kaynaklanmış bir operasyonu gösterir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın