針對近期微軟SharePoint Server安全漏洞的攻擊活動中,資安研究人員發現一個疑似中國背景的駭客組織Storm-2603,正使用名為AK47 C2的客製化命令與控制框架執行大規模攻擊。根據Check Point Research最新研究報告,該框架包含兩種主要客戶端類型:基於HTTP的AK47HTTP與基於DNS的AK47DNS。
利用SharePoint重大漏洞發動攻擊
微軟威脅情報顯示,Storm-2603組織透過利用SharePoint漏洞CVE-2025-49706和CVE-2025-49704(又稱ToolShell),成功部署Warlock(又稱X2anylock)勒索軟體。這起攻擊事件已影響包括美國核武機構在內的多個重要組織。
VirusTotal樣本分析資料顯示,這個先前未曝光的威脅集團可能自2025年3月開始活躍。該組織採用極為罕見的攻擊策略,同時部署LockBit Black和Warlock等多種勒索軟體家族,這種多重勒索軟體部署手法在已知網路犯罪集團中相當少見。
攻擊範圍涵蓋亞太與拉美地區
Check Point研究團隊透過VirusTotal資料發現,Storm-2603在2025年上半年主要鎖定拉丁美洲和亞太地區的組織機構。攻擊者使用多樣化的工具組合,包括masscan、WinPcap、SharpHostInfo、nxc和PsExec等合法開源與Windows公用程式。
特別值得關注的是,該組織開發了一個自定義後門程式「dnsclient.exe」,透過DNS進行命令與控制通訊,並連接至偽造網域update.updatemicfosoft[.]com。這個後門木馬是AK47 C2框架的核心組件,與AK47HTTP協同運作,具備收集主機資訊、解析伺服器回應及透過cmd.exe執行系統指令等功能。
複合式攻擊手法分析
研究人員發現Storm-2603散布的主要惡意程式包括:
- 7z.exe和7z.dll:利用合法7-Zip壓縮軟體進行DLL側載攻擊,最終投放Warlock勒索軟體
- bbb.msi:透過clink_x86.exe側載惡意DLL,部署LockBit Black勒索軟體
2025年4月,VirusTotal發現一個新型MSI檔案,能同時部署Warlock和LockBit勒索軟體,並投放名為「VMToolsEng.exe」的客製化防毒軟體移除工具。該工具採用自帶易受攻擊驅動程式(BYOVD)技術,透過中國安天實驗室的第三方驅動程式ServiceMouse.sys來終止資安防護軟體。
模糊APT與犯罪集團界線
Storm-2603的攻擊動機目前仍不明確,難以判定其主要目的為間諜活動或經濟利益。值得注意的是,過往確實出現過來自中國、伊朗和北韓的國家級駭客組織同時進行勒索軟體攻擊的案例。
Check Point威脅情報小組經理Sergey Shykevich表示,根據初步評估,該駭客組織主要以經濟利益為動機,但不排除其可能同時具有雙重目的,既從事間諜活動,又追求金錢報酬。
Storm-2603透過BYOVD技術關閉端點防護,並利用DLL劫持部署多種勒索軟體的攻擊手法,進一步模糊了APT組織與一般勒索軟體犯罪集團之間的界線。該組織大量使用PsExec和masscan等開源工具,展現出現代高階攻擊中日益普遍的混合式攻擊策略。
延伸閱讀:SharePoint重大漏洞遭中國三個駭客組織大規模攻擊 美國核武機構也淪陷
本文轉載自 TheHackerNews。