Check Point Research (CPR), Microsoft SharePoint Server güvenlik açıklarının “araç kutusu” olarak bilinen yaygın olarak kullanılmasının ortasında, Çin’in ileri süren tehdit (APT) gruplarıyla bağlantılı yakın zamanda tanımlanmış bir tehdit aktörü olan Storm-2603’ün operasyonlarını araştırdı.
Bu kampanya dört kritik CVVE CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 ve CVE-2025-53771’den, Storm-2603’ün, “AK47C2) çerçevesi olarak adlandırılan Storm-2603’ü kullanıyor.
HTTP tabanlı (“AK47HTTP”) ve DNS tabanlı (“AK47DNS”) istemcilerden oluşan bu çerçeve, kalıcı erişim ve komut yürütmeyi mümkün kılar.
Yeni bir Çin tehdit oyuncusu ortaya çıkarmak
Virustotal yüklemelerin analizi, 2025’in başlarında, Asya-Pasifik bölgesindeki saldırılarla eşzamanlı olarak Fırtına-2603 hedefli Latin Amerika organizasyonlarını, fidye yazılımı operasyonlarını (TTP’ler) kullanan, şebeke için PSEXEC gibi açık kaynak araçları da dahil olmak üzere, ağ taraması için maskeler ve prosedürler (TTP’ler) gösteriyor.
Yaklaşımlarının ayırt edici özelliği, genellikle DLL kaçırma yoluyla konuşlandırılan birden fazla fidye yazılımı ailesi ile eşleştirilmiş uç nokta korumalarını devre dışı bırakmak için kendi savunmasız sürücünüzü (BYOVD) getiren özel bir araçtır.
Storm-2603’ün AK47C2 Çerçevesi, C: \ Users \ Adminess \ Desktop \ Work \ Tools \ AK47C2 gibi PDB yollarıyla kanıtlanmıştır.
CPR raporuna göre, DNSClient.exe adlı 64 bit konsol uygulaması olan AK47DNS varyantı, piyasaya sürüldükten sonra penceresini gizler ve güncelleme üzerinden C2 iletişimi için DNS sorguları oluşturur.[.]com.
Fidye yazılımı taktikleri
Rastgele bir beş karakterli oturum kimliği, XOR-CHRYPTS yükleri “VHBD@H” anahtarıyla oluşturur ve veri açığa çıkması için DNS TXT veya MG kayıtlarını kullanır, büyük çıkışları stealth için 63 bayt segmentlere parçalayın.
Benzer şekilde, AK47HTP Backdoor, CMD.EXE aracılığıyla komutları yürüterek ve Update.micfosoft gibi alanlara sonuçları aktararak JSON yükleri aynı şekilde şifrelenmiş HTTP Post istekleri kullanır.[.]com.
Nisan 2025’ten itibaren Virustotal üzerindeki RAR arşivleri de dahil olmak üzere olaylar, trafik yakalama için WinPCAP, keşif için Sharphostinfo ve güvenlik açığı sömürüsü için NXC gibi açık kaynaklı kamu hizmetlerini içeren dağıtımları ortaya koymaktadır.
Lockbit Black ve Warlock (.x2anylock uzantıları kullanılarak) gibi fidye yazılımı yükleri, 7z.exe veya mpcmdrun.exe gibi meşru dosyalarda DLL kaçırma işlemini kötüye kullanan MSI yükleyicileri aracılığıyla paketlenir ve tetiklenir.
2024’ün sonlarından bu yana aktif olan özel bir “antivirüs terminatörü” aracı, işlem sonlandırma için 0x99000050 gibi IOCTL kodlarını, byovd üzerinden etkin bir şekilde atlayarak 0x99000050 gibi IOCTL kodlarını göndermek için ServiceMouse adlı bir hizmet oluşturur.
Tox veya Protonmail aracılığıyla talep eden temas, Huntress ve Microsoft’un raporlarında gözlemlenen nadir taktiklerle uyumlu olan bu çok ransom yazılım stratejisi, Tox veya Protonmail üzerinden, Storm-2603’ü Mart 2025’ten bu yana daha önceki kampanyalara bağlayan nadir taktiklerle hizalanır.
Storm-2603, uygun teknikleri emtia aletleriyle harmanlayan gelişen fidye yazılımına bağlı bir aktör temsil eder, başlangıç erişim için SharePoint kusurlarından yararlanır ve kalıcılık için özel kötü amaçlı yazılımlardır.
Microsoft raporlarından IOC’leri ilişkilendirerek, CPR izlemiş altyapı örtüşüyor ve grubun bozulmayı en üst düzeye çıkarmak için hızlı, çok ücretli yük dağıtımlarına odaklanmasını vurguluyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | IOC değeri |
|---|---|
| İhtisas | UpdatemicFosoft[.]com |
| İhtisas | mikrosfot[.]org |
| SHA256 | F711b14efb7792033b7ac954bcfaec81111b0abafef9c17e769ff96e8fecdf3 |
| SHA256 | 03598b72404d20d583ffafa393907c7fef1ad8b93b4d423ad8cb8e53f248b7 |
| SHA256 | ABB0FA128D3A75E69B59FE0391C1158B84A799DB0ABC5D2D6BE3511EF0EA1 |
| SHA256 | 3B013D5AEC75BFF8AAB2423D0F56605C3860A8FBD4F343089A9A8813B15ECC550 |
| SHA256 | dbf5e8d232bce4cd25c0574d3a1ab3a7c9caf9709047a6790e94d8110377de |
| SHA256 | 1B914C09C873F0A7BCF81475AB0F6BDADADADACCCC6B63BF7E5F2DBFFF192951AF192 |
| SHA256 | d6da885c90a5d1fb88d0a3f0b5d9817a82d5772d550a0773c80ca581ce2486d |
| SHA256 | 0f4b0d65468fe3e5c8fb4bb07ed75d4762e722a60136e3777bdad7ef06d9d7c22 |
| SHA256 | F |
| SHA256 | 8F58DA414EC4CDAD2F6AC86C19E0A80686C63CFDF1FBBB5A0713DCE8A0164C5 |
| SHA256 | 24480dbe3397da1ba393b6e330d54267306f98826c07ac4b903137f37dbf |
| SHA256 | AA25646EA17A33285203C225386304de1Fe4155be44b86deb154b87b47e3fb |
| SHA256 | B5A78616F709859A0D9F830D28FF2F9DBBB2387DF1753739407917E96DF6B0 |
| SHA256 | C27b725f66fdfb11dd6487a3815d1d1baa89d61b0e919e4d06d3ac6a74fe94 |
| SHA256 | eaec6b1b23c4450d1d0a7d40d3f21e8a4a171a9e9b82bb8ef2c05a2f7435e9c |
| SHA256 | 257fed1516ae5fe1b63eae55389e8464f47172154297496e6f4ef13c19a26505 |
| SHA256 | CEEC1A2DF81905F68C7BE986E378FEC0805ABDC13DE09A4033BE48BA6DA8B |
| SHA256 | 55A24656AF6F6212C26EF78BE5DD8F83E78DD45AEA97B5D8D8CEE1AEF6F17 |
| SHA256 | ACA888BBBB300F75D69DD56BC22F87D0ED4E0F6B8ED5421EF26FC3523980B64AD |
| SHA256 | F |
| SHA256 | 7C31D43B30BDA3A891F0332E5B1CF610CDC9ECF772CEA9B073AC905D886990D |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!