複数ライセンス割引見積
脅威データベース マルウェア AK47 C2 フレームワーク

AK47 C2 フレームワーク

マルウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

最近発見されたStorm-2603という脅威アクターは、Microsoft SharePoint Serverの既知のセキュリティ脆弱性を悪用した攻撃に関与していることが判明しています。このグループは中国を拠点としており、AK47 C2(またはak47c2)と呼ばれるカスタムコマンドアンドコントロール(C2)フレームワークを用いて攻撃を仕掛けているとみられています。

AK47 C2 プラットフォームは、AK47HTTP (C2 通信に HTTP プロトコルを使用) と AK47DNS (秘密のコマンド配信に DNS プロトコルを活用) という 2 つの主要な通信方法を採用しています。

これらのコンポーネントは、HTTP または DNS サーバーの応答から解析されたデータに基づいて、マルウェアが cmd.exe を介して感染したシステム上でコマンドを受信して実行するのに役立ちます。

マイクロソフトの脆弱性を悪用して最大限の効果を発揮する

Storm-2603は、SharePointの脆弱性CVE-2025-49706およびCVE-2025-49704(別名ToolShell)を武器化し、ネットワークに侵入して悪意のあるペイロードを展開します。これらの脆弱性の中でも特に顕著なのが、Warlock(別名X2anylock)やLockBit Blackといったランサムウェアファミリーです。これは、主流の電子犯罪者には見られない珍しい組み合わせです。

重要な技術的指標の 1 つとして、AK47 C2 スイートの一部である dnsclient.exe というバックドアが、偽装されたドメインとの DNS ベースの通信を使用していることが挙げられます。
update.updatemicfosoft.com は、Microsoft 更新サーバーを模倣して検出を回避します。

ハイブリッドアーセナル:オープンソースとカスタムペイロードの融合

Storm-2603 のツールキットには、次のような正規のソフトウェアと悪意のある拡張機能が組み合わされています。

よく使用されるユーティリティ:

  • masscan – ポートスキャンと偵察用。
  • WinPcap – ネットワーク パケット キャプチャ ツール。
  • SharpHostInfo – ホストベースの情報を収集します。
  • nxc および PsExec – リモート コマンド実行ツール。

悪意のある追加:

  • 7z.exe および 7z.dll: Warlock ランサムウェアを配信する DLL をサイドロードするために悪用された正規の 7-Zip バイナリ。
  • bbb.msi: clink_x86.exe を介して clink_dll_x86.dll をサイドロードし、最終的に LockBit Black を展開するインストーラー。

これらのツールは、BYOVD (Bring Your Own Vulnerable Driver) 技術と組み合わせて使用され、DLL サイドローディング戦術とともにエンドポイント防御を無効化し、検出と対応をさらに複雑にします。

地理的範囲と隠れた目的

証拠によると、Storm-2603は少なくとも2025年3月から活動しており、ラテンアメリカおよびアジア太平洋(APAC)地域の組織を標的としています。ランサムウェアファミリーを組み合わせ、多様な地理的セクターを標的とするこのグループの戦略は、その最終的な目的について疑問を投げかけています。

彼らの動機は依然として不明ですが、地政学的作戦でランサムウェアを使用した他の国家主体(特に中国、イラン、北朝鮮)との類似点から、Storm-2603 はスパイ活動と金銭目的の犯罪の境界線上にある可能性があります。

APTと犯罪組織のつながり:高まる懸念

Storm-2603は、従来のAPT(Advanced Persistent Threat)手法とランサムウェア攻撃を組み合わせたハイブリッド型の脅威アクターの増加傾向を象徴しています。注目すべき戦術には以下が含まれます。

戦術的ハイライト:

  • DLL ハイジャックを使用して複数のランサムウェア株を配布します。
  • エンドポイント保護ツールを解体する BYOVD。
  • ステルス性とスケーラビリティのためにオープンソース ツールに依存します。

このグループが、Web シェル (spinstall0.aspx など) のホスティングと C2 通信の促進に同じインフラストラクチャを使用していることは、現代のサイバー攻撃がますます巧妙化していることを浮き彫りにしています。

Storm-2603 の活動は、国家が支援するスパイ活動と利益を追求するマルウェア攻撃の境界が曖昧になり、攻撃の特定、防御、対応が著しく複雑化するなど、サイバー犯罪の危険な進化を明らかにしています。

トレンド

CVE-2025-53770 ゼロデイ脆弱性

問題, 脆弱性
Microsoft SharePoint Server の深刻なセキュリティ欠陥が、現在進行中の大規模サイバー攻撃キャンペーンの標的となっています。CVSS スコア 9.8 で CVE-2025-53770 として追跡されているこの脆弱性は、ゼロデイ脆弱性に分類され、Microsoft の 2025 年 7 月の月例パッチで修正されたコードインジェクションおよびリモートコード実行の脆弱性であ...

Mencrodae.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
ウェブの閲覧は常に注意が必要です。サイバー犯罪者は、ユーザーを騙して危険なリンクをクリックさせたり、マルウェアをダウンロードさせたり、セキュリティを侵害する権限を無意識のうちに付与させたりするために、常に巧妙な手口を編み出しています。こうした脅威の一つとして、Mencrodae.comのような不正ウェブサイトが挙げられます。Mencrodae.comは、侵入的なコンテンツを表示し、ブラウザベ...

共有ドキュメント - ビジネス提案と製品リストのメール詐欺

フィッシング, スパム
サイバーセキュリティの専門家は、「共有ドキュメント - ビジネス提案書と製品リスト」というタイトルの詐欺メールを含む悪質なスパムキャンペーンを特定しました。これらの欺瞞的なメッセージは、受信者にビジネス提案書と関連製品の詳細が送信されたと主張していますが、実際には機密性の高いログイン認証情報を盗むことを目的としています。これらのメールは本物らしく装っていますが、正当な企業、組織、またはサービスプロバイダーとは一切関係がないことを強調しておくことが重要です。 詐欺の背後にある欺瞞的な戦術 詐欺メールは、添付文書に貴重な調達詳細、製品仕様、数量見積、戦略的調達情報が含まれていると主張して受信...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
59,035
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
45,473
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
45,011
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...