Storm-2603 olarak adlandırılan yeni tanımlanmış bir tehdit aktörü, fidye yazılımı manzarasında sofistike bir düşman olarak ortaya çıkmış ve yenilikçi teknikler aracılığıyla uç nokta güvenlik korumalarını atlatmak için gelişmiş özel kötü amaçlı yazılımlardan yararlanmıştır.
Grup ilk olarak Microsoft’un CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 ve CVE-2025-53771 dahil olmak üzere birden fazla SharePoint sunucu güvenlik açıklarından yararlanan “Araç Kobu” kampanyası ile ilgili soruşturması sırasında dikkat çekti.
Bu saldırılara da dahil olan keten tayfun ve menekşe tayfun gibi yerleşik Çin uygun grupların aksine, Storm-2603, farklı operasyonel özelliklere sahip daha önce belgelenmemiş bir kümeyi temsil eder.
Tehdit oyuncusu Arsenal, içsel olarak “AK47C2” olarak adlandırılan özel bir komuta ve kontrol çerçevesi etrafında, çift istemci mimarisi aracılığıyla dikkate değer teknik gelişmişliği gösteriyor.
Bu çerçeve, hem “AK47HTTP” olarak adlandırılan HTTP tabanlı iletişim kanallarını hem de “AK47DNS” adı verilen DNS tabanlı tünelleme özelliklerini içerir.
Kötü amaçlı yazılım tasarımı, operasyonel güvenlik ve kalıcılık için dikkatli bir şekilde değerlendirmeyi yansıtır ve saldırganların geleneksel ağ izleme sistemleri mevcut olsa bile komuta ve kontrolü sürdürmesine izin verir.
.webp)
Check Point araştırmacıları, Storm-2603’ün operasyonlarının ilk SharePoint sömürüsünün ötesine uzandığını belirledi ve grubun 2025’in ilk yarısında Latin Amerika ve Asya-Pasifik bölgesindeki organizasyonları hedeflediğini gösterdi.
Grubun metodolojisi, genellikle dağıtım ve yürütme için DLL kaçırma tekniklerini kullanan Lockbit Black ve Warlock varyantları da dahil olmak üzere birden fazla fidye yazılımı ailesinin aynı anda dağıtılmasını içerir.
BYOVD uygulaması ve uç nokta koruma bypass
Storm-2603’ün teknik cephaneliğinin en dikkat çekici yönü, son nokta korumalarını devre dışı bırakmak için kendi savunmasız sürücünüzü (BYOVD) tekniğinizi örnekleyen özel “antivirüs terminatörü” aracıdır.
.webp)
Bu sofistike faydalı, idari ayrıcalıklar gerektirir ve sistemlerinin derinlemesine analiz araç setinin bir parçası olarak Antiey Labs tarafından geliştirilen meşru, dijital olarak imzalanmış bir sürücüyü kullanır.
Araç, aslında Atoolskrn164.sys’in yeniden adlandırılmış bir sürümü olan savunmasız sürücü serviceMouse.sys’i yükleyen “ServiceMouse” adlı bir hizmet oluşturur.
Kötü amaçlı yazılım, bu sürücü ile belirli IO kontrol kodları, özellikle işlem feshi için 0x99000050, dosya silme için 0x990000d0 ve sürücü boşaltma işlemleri için 0x990001d0 kullanarak iletişim kurar.
if (DeviceIoControl (hDevice, 0x99000050, &InBuffer, 4u, OutBuffer, 4u, BytesReturned, 0))
{
printf_0("kill ok :%s \r\n", v1);
}Bu uygulama, kötü amaçlı yazılımların, fidye yazılımı yüklerini dağıtmadan önce uç nokta koruma sistemlerini etkili bir şekilde nötralize ederek çekirdek düzeyinde güvenlik işlemlerini sonlandırmasına izin verir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin