揭秘Storm-2603的勒索软件操作与AK47 C2恶意框架

本文深入分析了威胁组织Storm-2603的勒索软件操作,包括其自定义的AK47 C2框架、DNS与HTTP后门技术、多勒索软件家族同时部署策略,以及利用BYOVD技术终止杀毒进程的自定义工具。

Key Findings

Check Point Research (CPR) 对 Storm-2603 进行了重点分析,该威胁行为者与最近的 ToolShell 漏洞利用以及其他中国 APT 组织有关联。 Storm-2603 使用了一个自定义的恶意软件命令与控制(C2)框架,攻击者内部称之为“ak47c2”。该框架包括至少两种不同类型的客户端:基于 HTTP 的(我们称之为“ak47http”)和基于 DNS 的(我们称之为“ak47dns”)。 根据 VirusTotal 数据,Storm-2603 可能在 2025 年上半年针对拉丁美洲的一些组织进行了攻击,同时也在攻击亚太地区的组织。 该行为者的一些 TTP(战术、技术和程序)与许多其他勒索软件组织一致,并涉及开源工具,如 PsExec 和 masscan。此外,威胁行为者使用了一个自定义工具,利用 BYOVD(自带易受攻击驱动程序)技术来篡改终端防护。 Storm-2603 的攻击涉及多个勒索软件家族,有时捆绑在一起。这些通常通过滥用 DLL 劫持来部署。

Introduction

Check Point Research (CPR) 一直在密切监控一组被统称为“ToolShell”的 Microsoft SharePoint Server 漏洞的持续利用。这些主动攻击利用了四个漏洞——CVE-2025-49704、CVE-2025-49706、CVE-2025-53770 和 CVE-2025-53771——并归因于多个与中国有关的威胁行为者。 在 Microsoft 识别的威胁组中,有两个是已知的 APT:Linen Typhoon(又名 APT27)和 Violet Typhoon(又名 APT31)。另一个组是一个新观察到的、先前未记录的集群,称为 Storm-2603。虽然 Microsoft 将该集群的活动与潜在的勒索软件部署联系起来,但无法评估该组的目标。 作为我们对 ToolShell 及其相关风险的持续调查的一部分,我们发起了一项有针对性的努力,以更好地理解和描述 Storm-2603 构成的威胁。在整个分析过程中,我们发现了几个可能与 Storm-2603 入侵相关的文件,提供了与 Microsoft 对该组的描述相符的新见解。 在本出版物中,我们提供了对 Storm-2603 的战术、技术和程序(TTP)的深入检查,以及对其攻击中使用的自定义恶意软件框架 ak47c2 及其不同勒索软件负载的技术分解。

Background

Storm-2603 首次由 Microsoft 在对 Microsoft SharePoint 服务器的一系列攻击调查中提及,这些攻击被称为“ToolShell”活动。虽然一些活动与已知的中国相关组如 Linen Typhoon(APT27)和 Violet Typhoon(APT31)有关,但 Storm-2603 作为一个新的、先前未报告的行为者出现。Microsoft 将该组与 Lockbit 和 Warlock 勒索软件的使用联系起来。

Microsoft 的报告仅提供了关于 Storm-2603 的有限信息,包括一些与之相关的 TTP,其中大部分相当通用。此外,一些报告的妥协指标(IOC)帮助我们发现了与先前 Storm-2603 入侵相关的其他工件。 特别是,一个与 Storm-2603 的 SharePoint 利用相关的域名 update.updatemicfosoft[.]com,结果在早至 2025 年 3 月的活动中被使用。在这些操作中,它作为 DNS 隧道恶意软件和 HTTP 后门的 C2 服务器,并且是用于传递 LockBit Black 和 Warlock/x2anylock 勒索软件的基础设施的一部分。

Incidents

我们对 Microsoft 报告的 IOC 的搜索揭示了两起事件,其中 LockBit Black 和 WarLock 勒索软件变体被一起部署,此外还有多个其他工具,主要是开源的。

Case #1 – 开源工具、自定义后门、勒索软件

2025 年 4 月,一个名为 Evidencia.rar 的 RAR 存档被上传到 VirusTotal。该存档包含可能从 Storm-2603 案例中受感染机器提取的几个工件,位于一个拉丁美洲国家。存档中的工件提供了行为者在入侵中使用的一些开源工具的一瞥,这与先前对该组的了解相关:

  • masscan – 扫描大范围 IP 地址的开放端口。
  • WinPcap – 在 Windows 上捕获和过滤网络流量。
  • PsExec – 在远程 Windows 系统上执行命令。
  • SharpHostInfo – 收集 Windows 环境中的主机和域信息。
  • nxc – 利用网络服务中的常见漏洞。

除了开源工具,存档还包含该组使用的自定义后门,以及其独特的勒索软件负载。

  • dnsclient.exe – Storm-2603 使用的自定义后门,通过 DNS 隧道与 update.updatemicfosoft[.]com(与该组相关的域名)通信。参见下一节我们对后门的分析。
  • 7z.exe & 7z.dll – 合法的 7z 可执行文件,侧加载恶意的 7z.dll,传递 X2anylock(又名 Warlock),Storm-2603 使用的一种勒索软件。
  • bbb.msi – 一个安装程序,使用 clink_x86.exe 侧加载 clink_dll_x86.dll,导致执行 LockBit Black 勒索软件。

Case #2 – 自定义 AV 杀手、勒索软件

另一个在 2025 年 4 月上传到 VirusTotal 的 MSI 文件使用了类似的部署方法,从 MSI 安装程序开始,同时启动多个勒索软件菌株:

MSI 依赖于以下文件:

  • MpCmdRun.exe & Mpclient.dll – Warlock 勒索软件,通过 DLL 劫持部署。
  • clink_x86.exe & clink_dll_x86.dll – LockBit Black 勒索软件,通过 DLL 劫持部署。
  • z.exe & z.dll – x2anylock 勒索软件,通过 DLL 劫持部署。
  • VMToolsEng.exe – 自定义杀毒终结者。
  • ServiceMouse.sys – VMToolsEng.exe 使用的易受攻击驱动程序,用于杀死杀毒进程。
  • log.exe – 要杀死的杀毒进程列表。
  • msi.bat – 执行 VMToolsEng.exe。
  • 1.bat – 执行所有需要的可执行文件和 MSI。

AK47 C2 Framework

我们将两个自定义后门归因于 Storm-2306,两者都似乎是基于共享 PDB 路径的名为 AK47 C2 的框架的一部分:C:\Users\Administrator\Desktop\work\tools\ak47c2\。

AK47DNS backdoor

该样本似乎是一个 64 位控制台后门,称为 dnsclinet(源代码中的拼写错误),其调试符号指向: C:\Users\Administrator\Desktop\work\tools\ak47c2\dnsclinet-c\dnsclient\x64\Release\dnsclient.pdb

当执行时,程序立即隐藏其控制台窗口,确定主机计算机名(如果失败则默认为 unknown.local),并构建一个基于 DNS 的命令与控制负载。它选择一个随机的五字符会话 ID,如 H4T14,并为其前缀 1 表示任务请求或 2 表示结果上传(例如,1H4T14 或 2H4T14)。每个元素,如任务/结果标签、大小标志(当整个消息适合一个请求时为 a 表示“全部”)和计算机名,使用 ASCII 密钥“VHBD@H”进行 XOR 编码,转换为十六进制,并在前置到 C2 域 update.micfosoft[.]com 之前用点连接。整体查询如下所示: <task|result>.a..update.micfosoft[.]com

DNS TXT 和 MG(邮件组成员记录类型)记录查询(DnsQuery_A)用于传输和检索数据。如果 C2 服务器无法访问,客户端仅收到错误 9003(DNS_ERROR_RCODE_NAME_ERROR)。否则,响应文本从十六进制解码,XOR 解密,并解析分隔符“:::”,该分隔符将元数据与实际命令字符串分开。命令在 cmd.exe /c 2>&1 下运行;内置指令 sleep n 暂停执行 n 秒。

对于大于 0xFF 字节的输出,后门将数据分段为 63 字节的子段。每个 DNS 查询然后遵循: <task|result>.stp...update.micfosoft[.]com

其中:

  • s 标记分段
  • t 给出总段数,和
  • p 指示当前对段的位置

AK47HTTP backdoor

HttpClient 后门的 pdb 路径为 C:\Users\Administrator\Desktop\work\tools\ak47c2\httpclient-cpp\x64\Release\httpclient-cpp.pdb,并使用纯 HTTP 而不是 DNS 进行 C2。 它构建为一个 64 位控制台程序,启动时也立即隐藏其窗口。 在启动时,恶意软件收集主机计算机名(类似于 DNS 版本,默认为 unknown.local),然后构建一个具有字段 cmd、cmd_id、fqdn、result 和 type 的 JSON 对象。 对于任务请求,对象如下所示:{“cmd”:"",“cmd_id”:"",“fqdn”:"",“result”:"",“type”:“task”} 主机执行命令后,结果以 type:”result” 发送回。 在传输之前,整个 JSON blob 使用 ASCII 密钥“VHBD@H”进行 XOR 加密,转换为十六进制,并放置在 HTTP POST 到“/”的正文中,带有通用标头(Content-Type: text/plain, Accept: /)。C2 以类似编码的 JSON 回复,其中 cmd 字段包含下一个命令。植入程序通过 cmd.exe /c 2>&1 执行它并返回输出。

Ransomware

我们发现在这些攻击期间,同时部署了多种类型的勒索软件。一种是常规的 LockBit Black,第二种使用 .x2anylock 扩展名。该扩展名后来被 Warlock 勒索软件操作者使用,在 Microsoft 关于 SharePoint 利用的报告中提到。 Warlock 勒索说明通常保存为 How to decrypt my data.txt,看起来像这样:

1
2
3
4

Your decrypt ID: [redacted]
Tox ID Support: 3DCE[redacted]
Email Support: [redacted]@proton.me,[redacted]@proton.me,[redacted]@proton.me
You can contact us in email or qtox.

该勒索说明的名称 How to decrypt my data.log 出现在 Huntress 最近的一篇 LinkedIn 帖子中,描述了针对同一目标同时部署多个勒索软件家族的情况。虽然这不是新策略,但这种方法在已建立的勒索软件组中很少观察到。

Antivirus Terminator

先前描述的感染包的一个重要部分称为杀毒终结者。它是一个自定义命令行工具,滥用第三方签名的合法驱动程序来杀死进程。从我们所见,它自 2024 年底以来一直在野外。 该工具需要受感染机器上的管理员权限。下面的屏幕截图显示了当工具在没有参数运行时控制台中显示的列表:

该工具首先创建一个名为 ServiceMouse 的服务,其中服务二进制文件的路径是包中的 ServiceMouse.sys。

接下来,该工具通过 IO 控制代码 0x99000050 与安装的服务通信,该代码负责杀死进程。该工具还具有更多功能,如删除文件和卸载驱动程序,这些使用不同的 IO 控制代码(0x990000D0 和 0x990001D0)。

提供的第三方驱动程序是 Antiy System In-Depth Analysis Toolkit 的合法且签名的组件,原名 AToolsKrnl64.sys。该工具包由中国的安全供应商 Antiy Labs 开发,具有图形用户界面,允许用户与其他功能一起交互和操作进程。杀死进程的能力是威胁行为者在此特定情况下滥用的最重要功能。

驱动程序中的以下代码处理上述 IO 控制代码 0x99000050:

第二个函数是负责杀死给定 PID 的进程的代码段。

Summary

在本报告中,我们分析了 Storm-2603,一个相对较新的威胁行为者,首次由 Microsoft 在对针对 SharePoint 服务器的“ToolShell”活动的调查中提及。虽然一些利用活动与已知的中国 APT 组有关,但 Storm-2603 作为一个先前未记录的与勒索软件部署相关的组脱颖而出。通过检查公共报告中共享的基础设施指标,我们能够将该行为者与涉及 LockBit Black 和 Warlock/X2anylock 勒索软件的早期活动联系起来,这些活动至少可以追溯到 2025 年 3 月。 这些早期攻击使用了类似的基础设施和工具,包括 DNS 隧道和基于 HTTP 的后门。有趣的是,在同一攻击中部署了多个勒索软件变体。这种行为,以及技术的重叠,帮助我们更好地理解 Storm-2603 的操作方式。

IOCs

  • updatemicfosoft[.]com
  • microsfot[.]org
  • f711b14efb7792033b7ac954ebcfaec8141eb0abafef9c17e769ff96e8fecdf3
  • 035998b724044d20d583fffa393907c7fef11ad8b93b4d423ad8cb8e53f248b7
  • abb0fa128d3a75e69b59fe0391c1158eb84a799ddb0abc55d2d6be3511ef0ea
  • 13b013d5aec75bf8aab2423d0f56605c3860a8fbd4f343089a9a8813b15ecc55
  • 0dbf5ee8d232ebce4cd25c0574d3a1ab3aa7c9caf9709047a6790e94d810377
  • de1eb914c09c873f0a7bcf81475ab0f6bdfaccc6b63bf7e5f2dbf19295106af1
  • 92d6da885c90a5d1fb88d0a3f0b5d9817a82d5772d5510a0773c80ca581ce248
  • 6d0f4b0d65468fe3e5c8fb4bb07ed75d4762e722a60136e377bdad7ef06d9d7
  • c22f01675f9ca00da067bdb1812bf829f09ccf5658b87d3326d6fddd773df352
  • 5741eb914c09c873f0a7bcf81475ab0f6bdfaccc6b63bf7e5f2dbf19295106af
  • 1928f58da414ec4cdad2f6ac86c19e0a806886c63cfdf1fbbb5a0713dce8a016
  • 4c524480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37
  • dbfaa25646ea17ae33285203c225386304de1fe4155be44bb86deb154b87b47e
  • 3fbb5a78616f709859a0d9f830d28ff2f9dbbb2387df1753739407917e96dadf
  • 6b0c27b725ff66fdfb11dd6487a3815d1d1eba89d61b0e919e4d06ed3ac6a74
  • fe94eaec6b1b23c4450d1d0a7d409d3f21e8a4a171a9e9b82bb8ef2c05a2f743
  • 5e9c257fed1516ae5fe1b63eae55389e8464f47172154297496e6f4ef13c19a2
  • 6505ceec1a2df81905f68c7ebe986e378fec0805aebdc13de09a4033be48ba66
  • da8b55a246576af6f6212c26ef78be5dd8f83e78dd45aea97bb505d8cee1aeef
  • 6f17aca888bbb300f75d69dd56bc22f87d0ed4e0f6b8ed5421ef26fc3523980b
  • 64adf
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次