Microsoft SharePoint Server’daki yakın zamanda açıklanan güvenlik kusurlarının kullanımı ile bağlantılı tehdit oyuncusu, ısmarlama komut ve kontrol (C2) çerçevesi kullanıyor. AK47 C2 (ayrıca AK47C2’yi de heceledi).
Çerçeve, kontrol noktası araştırmasıyla sırasıyla AK47HTTP ve AK47DNS olarak adlandırılan HTTP tabanlı ve Etki Alanı Adı Sistemi (DNS) tabanlı en az iki farklı istemci türü içerir.
Etkinlik, Microsoft’a göre, SharePoint kusurlarından-CVE-2025-49706 ve CVE-2025-49704 (AKA araç takımı)-ransomware dağıtmak için şüpheli bir Çin tabanlı tehdit aktörü olan Storm-2603’e atfedildi.
Daha önce bildirilmemiş bir tehdit kümesi olan Virustotal eserlerin analizinin ardından toplanan kanıtlar, grubun en azından Mart 2025’ten bu yana aktif olabileceğini ve Lockbit Black ve Warlock gibi fidye yazılımlarını birlikte kullandığını gösteriyor-yerleşik e-suç grupları arasında yaygın olarak gözlemlenmeyen bir şey.
Check Point, “Virustotal verilere dayanarak, Storm-2603 muhtemelen 2025’in ilk yarısında Latin Amerika’daki bazı organizasyonları APAC’daki organizasyonlara saldıran organizasyonlara paralel olarak hedefledi.” Dedi.
Tehdit oyuncusu tarafından kullanılan saldırı araçları, Masscan, WinPCAP, Sharphostinfo, NXC ve Psexec gibi meşru açık kaynak ve Windows yardımcı programlarını ve aynı zamanda, alan “güncellemesi ile komut ve denetim için DNS kullanan özel bir arka kapı (” dnsclient.exe “) içerir.[.]com. “
Arka kapı, AK47 C2 çerçevesinin bir parçasıdır, AK47HTTP’nin yanı sıra, sunucudan ana bilgisayar bilgilerini toplamak ve DNS veya HTTP yanıtlarını sunucudan ayrıştırmak ve bunları “cmd.exe” aracılığıyla enfekte makinede yürütmek için kullanılır. Bu saldırılarda kullanılan ilk erişim yolu bilinmemektedir.
Burada bahsetmeye değer bir nokta, yukarıda belirtilen altyapının, “spinstall0.aspx” web kabuğu ile iletişim kurmak için tehdit aktörü tarafından C2 sunucusu olarak kullanılan Microsoft tarafından da işaretlenmesidir. Açık kaynaklı araçlara ek olarak, Storm-2603’ün üç ek yükü dağıttığı bulunmuştur-
- 7z.exe ve 7z.dll, kötü niyetli bir DLL’yi kenar yüklemek için kullanılan meşru 7-zip ikili, büyüyü sağlayan
- BBB.MSI, CLINK_X86.EXE kullanan bir yükleyici “CLINK_DLL_X86.DLL”, Lockbit Siyah Dağıtımına yol açan
Check Point, Nisan 2025’te Warlock ve Lockbit fidye yazılımlarını başlatmak için kullanılan Virustotal’a yüklenen başka bir MSI artefaktı keşfettiğini ve aynı zamanda kendi savunmasız sürücünüzü (“VMToolseng.exe”), ServiceMouse.sys tarafından sağlanan güvenlik yazılımını kullanan bir tekniği kullanan özel bir antivirüs katil yürütülebilir dosyasını (“vmtoolseng.exe”) keşfettiğini söyledi.
Nihayetinde, Storm-2603’ün kesin motivasyonları bu aşamada belirsizliğini koruyor ve bu da casusluk odaklı veya kâr güdüleri tarafından yönlendirilip yönlendirilmediğini belirlemeyi zorlaştırıyor. Bununla birlikte, Çin, İran ve Kuzey Kore’den ulus-devlet aktörlerinin yan tarafa fidye yazılımı konuşlandırdığı durumlar olduğunu belirtiyor.
Check Point, “Storm-2603, uç nokta savunmalarını devre dışı bırakmak için BYOVD tekniklerinden yararlanıyor ve birden fazla fidye yazılımı ailesi dağıtmak için DLL kaçırma-APT ve ceza fidye yazılımı operasyonları arasındaki çizgileri bulanıklaştırıyor.” Dedi. “Grup ayrıca Psexec ve Masscan gibi açık kaynaklı araçlar kullanıyor ve sofistike saldırılarda giderek daha fazla görülen hibrit bir yaklaşıma işaret ediyor.”