04/08/25
Атаки, связанные с группой Storm-2603, продолжают вызывать серьёзные опасения в киберсообществе. Эта малоизвестная, но уже хорошо задокументированная группировка, предположительно связанная с Китаем, была уличена в эксплуатации недавно обнаруженных уязвимостей Microsoft SharePoint Server — CVE-2025-49706 и CVE-2025-49704 , также известной под названием ToolShell. Целью атак стало распространение вымогательского ПО Warlock (или X2anylock), однако на этом операция не заканчивается. Об этом пишет Securitylab.
Как установили аналитики Check Point Research, Storm-2603 использует собственную инфраструктуру управления — систему под названием AK47 C2. Эта модульная платформа управления и контроля включает по меньшей мере два клиента: HTTP-клиент AK47HTTP и DNS-ориентированный AK47DNS. Оба компонента используются для выполнения команд через командную строку заражённого устройства, при этом данные поступают в ответах HTTP или через DNS-запросы.
Любопытной оказалась и техника доставки команд — на заражённой машине запускается «cmd.exe», а данные интерпретируются из внешнего канала. Один из обнаруженных исполняемых файлов — «dnsclient.exe» — выступает в роли кастомного бэкдора, использующего для связи поддельный домен «update.updatemicfosoft[.]com». В роли серверной части используется инфраструктура, также задействованная при активации web shell «spinstall0.aspx», упомянутого в отчётах Microsoft.
Доступ к целевым системам Storm-2603, как предполагается, осуществляется через SharePoint, однако точный вектор начального проникновения остаётся неизвестным. Зато известно, что злоумышленники применяют широкий набор инструментов, включая легитимные компоненты Windows и популярные утилиты с открытым исходным кодом. В их арсенале были зафиксированы masscan, WinPcap, SharpHostInfo, nxc и PsExec. Помимо этого, используются дополнительные вредоносные модули, замаскированные под безобидные инсталляторы.
Так, под именами «7z.exe» и «7z.dll» распространяется видоизменённая сборка 7-Zip, предназначенная для подгрузки вредоносной библиотеки и последующего запуска Warlock. Ещё один пример — файл «bbb.msi», использующий «clink_x86.exe» для боковой загрузки библиотеки «clink_dll_x86.dll», приводящей к активации LockBit Black. Кроме того, в апреле 2025 года на VirusTotal появился другой MSI-установщик, совмещающий сразу несколько вредоносных функций: запуск обоих вымогателей и внедрение отдельной программы-киллера антивирусов.
Этот компонент, под названием «VMToolsEng.exe», использует метод под названием BYOVD (Bring Your Own Vulnerable Driver), позволяющий атакующему внедрять драйверы с известными уязвимостями для отключения систем защиты. В частности, для атаки применялся драйвер «ServiceMouse.sys», созданный китайской компанией Antiy Labs.
Интересен и географический размах операций Storm-2603. По данным Check Point, за первую половину 2025 года группа вела активные кампании не только в странах Азиатско-Тихоокеанского региона, но и в Латинской Америке. Такое распределение целей, а также необычное совмещение сразу двух разных семейств шифровальщиков — LockBit Black и Warlock — говорит о нестандартной тактике и смешанной мотивации.
Пока невозможно однозначно определить, движет ли группой финансовый интерес, или же она выполняет задачи в интересах государства. Однако использование методов, характерных для преступных группировок, в сочетании с подходами, свойственными кибершпионажу, создаёт ощущение гибридной угрозы. Всё чаще такие операции перестают чётко делиться на APT и киберпреступность, а становятся чем-то промежуточным — с высоким уровнем технической реализации и неочевидными целями.
