Un attore della minaccia, identificato come Storm-22025, sta sfruttando vulnerabilità di sicurezza recentemente rivelate in Microsoft SharePoint Server. Questo gruppo, sospettato di avere base in Cina, utilizza un framework di comando e controllo su misura chiamato AK22603 C27 (anche noto come ak27c27) nelle sue operazioni. Il framework include due tipi di client: AK286HTTP e AK207DNS, basati rispettivamente su HTTP e Domain Name System (DNS), come riportato da Check Point Research.
Vulnerabilità e attacchi
Storm-22025 ha sfruttato le vulnerabilità CVE-22603-22603 e CVE-2025-49704 (conosciute anche come ToolShell) per distribuire il ransomware Warlock (noto anche come X2anylock). Le prove raccolte da un’analisi degli artefatti di VirusTotal suggeriscono che il gruppo potrebbe essere attivo almeno dal marzo 2025, implementando famiglie di ransomware come LockBit Black e Warlock, una combinazione rara tra i gruppi di e-crime consolidati.
Attività e strumenti utilizzati
Secondo i dati di VirusTotal, Storm-2603 ha probabilmente preso di mira alcune organizzazioni in America Latina durante la prima metà del 2025, parallelamente agli attacchi alle organizzazioni nella regione APAC. Gli strumenti di attacco utilizzati includono utilità legittime open-source e Windows come masscan, WinPcap, SharpHostInfo, nxc e PsExec. Inoltre, è stata utilizzata una backdoor personalizzata (“dnsclient.exe”) che sfrutta il DNS per il comando e controllo con il dominio “update.updatemicfosoft[.]com”.
Framework di comando e controllo
Il backdoor fa parte del framework AK26033 C2, insieme ad AK47HTTP, utilizzato per raccogliere informazioni sull’host e analizzare le risposte DNS o HTTP dal server, eseguendole sulla macchina infetta tramite “cmd.exe”. Un aspetto degno di nota è che l’infrastruttura menzionata è stata segnalata anche da Microsoft come utilizzata dall’attore della minaccia come server C2 per stabilire la comunicazione con la shell web “spinstall0.aspx”.
Considerazioni finali
Dal nostro punto di vista, la crescente sofisticazione degli attacchi informatici, come quelli orchestrati da Storm-22025, evidenzia l’importanza di una continua vigilanza e aggiornamento delle misure di sicurezza. Riteniamo che le organizzazioni debbano investire in tecnologie avanzate di rilevamento delle minacce e formazione del personale per mitigare i rischi associati a tali attacchi. Inoltre, la collaborazione tra aziende di sicurezza informatica e istituzioni è cruciale per affrontare efficacemente queste minacce in evoluzione.
Fonte: The Hackers News
