- 19,465
- 40
- 8 Ноя 2022
Вместо патронов — код. Хакеры открыли огонь по SharePoint.
Атаки, связанные с группой S<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">tor</span>m-2603, продолжают вызывать серьёзные опасения в киберсообществе. Эта малоизвестная, но уже хорошо задокументированная группировка, предположительно связанная с Китаем, была уличена в эксплуатации недавно обнаруженных уязвимостей Для просмотра ссылки Войдиили Зарегистрируйся — Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , также известной под названием Для просмотра ссылки Войди или Зарегистрируйся . Целью атак стало распространение вымогательского ПО Warlock (или X2anylock), однако на этом масштабы операции не заканчиваются.
Для просмотра ссылки Войдиили Зарегистрируйся аналитики Check Point Research, Storm-2603 использует собственную инфраструктуру управления — систему под названием AK47 C2. Эта модульная платформа управления и контроля включает по меньшей мере два клиента: HTTP-клиент AK47HTTP и DNS-ориентированный AK47DNS. Оба компонента используются для выполнения команд через командную строку заражённого устройства, при этом данные поступают в ответах HTTP или через DNS-запросы.
Любопытной оказалась и техника доставки команд — на инфицированной машине запускается «cmd.exe», а данные интерпретируются из внешнего канала. Один из обнаруженных исполняемых файлов — «dnsclient.exe» — выступает в роли кастомного бэкдора, использующего для связи поддельный домен «update.updatemicfosoft[.]com». В роли серверной части используется инфраструктура, также задействованная при активации web shell «spinstall0.aspx», упомянутого в отчётах Microsoft.
Доступ к целевым системам Storm-2603, как предполагается, осуществляется через SharePoint, однако точный вектор начального проникновения остаётся неизвестным. Зато известно, что злоумышленники применяют широкий набор инструментов, включая легитимные компоненты Windows и популярные утилиты с открытым исходным кодом. В их арсенале были зафиксированы masscan, WinPcap, SharpHostInfo, nxc и PsExec. Помимо этого, используются дополнительные вредоносные модули, замаскированные под безобидные инсталляторы.
Так, под именами «7z.exe» и «7z.dll» распространяется видоизменённая сборка 7-Zip, предназначенная для подгрузки вредоносной библиотеки и последующего запуска Warlock. Ещё один пример — файл «bbb.msi», использующий «clink_x86.exe» для боковой загрузки библиотеки «clink_dll_x86.dll», приводящей к активации LockBit Black. Кроме того, в апреле 2025 года на VirusTotal появился другой MSI-установщик, совмещающий сразу несколько вредоносных функций: запуск обоих вымогателей и внедрение отдельной программы-киллера антивирусов.
Этот компонент, под названием «VMToolsEng.exe», использует метод под названием BYOVD (Bring Your Own Vulnerable Driver), позволяющий атакующему внедрять драйверы с известными уязвимостями для отключения систем защиты. В частности, для атаки применялся драйвер «ServiceMouse.sys», созданный китайской компанией Для просмотра ссылки Войдиили Зарегистрируйся .
Интересен и географический размах операций Storm-2603. По данным Check Point, за первую половину 2025 года группа вела активные кампании не только в странах Азиатско-Тихоокеанского региона, но и в Латинской Америке. Такое распределение целей, а также необычное совмещение сразу двух разных семейств шифровальщиков — LockBit Black и Warlock — говорит о нестандартной тактике и смешанной мотивации.
Пока невозможно однозначно определить, движет ли группой финансовый интерес, или же она выполняет задачи в интересах государства. Однако использование методов, характерных для преступных группировок, в сочетании с подходами, свойственными кибершпионажу, создаёт ощущение гибридной угрозы. Всё чаще такие операции перестают чётко делиться на APT и киберпреступность, а становятся чем-то промежуточным — с высоким уровнем технической реализации и неочевидными целями.
Атаки, связанные с группой S<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">tor</span>m-2603, продолжают вызывать серьёзные опасения в киберсообществе. Эта малоизвестная, но уже хорошо задокументированная группировка, предположительно связанная с Китаем, была уличена в эксплуатации недавно обнаруженных уязвимостей Для просмотра ссылки Войди
Для просмотра ссылки Войди
Любопытной оказалась и техника доставки команд — на инфицированной машине запускается «cmd.exe», а данные интерпретируются из внешнего канала. Один из обнаруженных исполняемых файлов — «dnsclient.exe» — выступает в роли кастомного бэкдора, использующего для связи поддельный домен «update.updatemicfosoft[.]com». В роли серверной части используется инфраструктура, также задействованная при активации web shell «spinstall0.aspx», упомянутого в отчётах Microsoft.
Доступ к целевым системам Storm-2603, как предполагается, осуществляется через SharePoint, однако точный вектор начального проникновения остаётся неизвестным. Зато известно, что злоумышленники применяют широкий набор инструментов, включая легитимные компоненты Windows и популярные утилиты с открытым исходным кодом. В их арсенале были зафиксированы masscan, WinPcap, SharpHostInfo, nxc и PsExec. Помимо этого, используются дополнительные вредоносные модули, замаскированные под безобидные инсталляторы.
Так, под именами «7z.exe» и «7z.dll» распространяется видоизменённая сборка 7-Zip, предназначенная для подгрузки вредоносной библиотеки и последующего запуска Warlock. Ещё один пример — файл «bbb.msi», использующий «clink_x86.exe» для боковой загрузки библиотеки «clink_dll_x86.dll», приводящей к активации LockBit Black. Кроме того, в апреле 2025 года на VirusTotal появился другой MSI-установщик, совмещающий сразу несколько вредоносных функций: запуск обоих вымогателей и внедрение отдельной программы-киллера антивирусов.
Этот компонент, под названием «VMToolsEng.exe», использует метод под названием BYOVD (Bring Your Own Vulnerable Driver), позволяющий атакующему внедрять драйверы с известными уязвимостями для отключения систем защиты. В частности, для атаки применялся драйвер «ServiceMouse.sys», созданный китайской компанией Для просмотра ссылки Войди
Интересен и географический размах операций Storm-2603. По данным Check Point, за первую половину 2025 года группа вела активные кампании не только в странах Азиатско-Тихоокеанского региона, но и в Латинской Америке. Такое распределение целей, а также необычное совмещение сразу двух разных семейств шифровальщиков — LockBit Black и Warlock — говорит о нестандартной тактике и смешанной мотивации.
Пока невозможно однозначно определить, движет ли группой финансовый интерес, или же она выполняет задачи в интересах государства. Однако использование методов, характерных для преступных группировок, в сочетании с подходами, свойственными кибершпионажу, создаёт ощущение гибридной угрозы. Всё чаще такие операции перестают чётко делиться на APT и киберпреступность, а становятся чем-то промежуточным — с высоким уровнем технической реализации и неочевидными целями.
- Источник новости
- www.securitylab.ru
