Storm-2603、WarlockおよびLockBitランサムウェア攻撃でDNS制御型バックドアを展開

2025年8月1日Ravie Lakshmanan脅威インテリジェンス / ランサムウェア

最近公開されたMicrosoft SharePoint Serverのセキュリティ脆弱性を悪用している脅威アクターは、AK47 C2（ak47c2とも表記）と呼ばれる独自のコマンド＆コントロール（C2）フレームワークを運用に使用しています。

このフレームワークには、少なくとも2種類のクライアント（HTTPベースとドメインネームシステム（DNS）ベース）が含まれており、Check Point ResearchによってそれぞれAK47HTTPとAK47DNSと名付けられています。

この活動はStorm-2603に帰属されており、Microsoftによれば、中国を拠点とする疑いのある脅威アクターであり、SharePointの脆弱性（CVE-2025-49706およびCVE-2025-49704、別名ToolShell）を利用してWarlock（別名X2anylock）ランサムウェアを展開しています。

これまで報告されていなかった脅威クラスターであり、VirusTotalのアーティファクトを分析した証拠によると、このグループは少なくとも2025年3月から活動しており、LockBit BlackやWarlockといったランサムウェアファミリーを同時に展開していることが分かっています。これは、既存のサイバー犯罪グループではあまり見られない手法です。

「VirusTotalのデータによると、Storm-2603は2025年前半を通じて、APAC地域の組織への攻撃と並行して、ラテンアメリカの一部組織も標的にしていた可能性が高い」とCheck Pointは述べています。

この脅威アクターが使用する攻撃ツールには、masscan、WinPcap、SharpHostInfo、nxc、PsExecなどの正規のオープンソースおよびWindowsユーティリティ、さらに「dnsclient.exe」というカスタムバックドアが含まれており、これは「update.updatemicfosoft[.]com」というドメインを使ってDNS経由でコマンド＆コントロールを行います。

このバックドアはAK47 C2フレームワークの一部であり、AK47HTTPとともに、ホスト情報の収集やサーバーからのDNSまたはHTTPレスポンスの解析、それらを「cmd.exe」を通じて感染マシン上で実行するために使用されます。これらの攻撃で使われた初期アクセス経路は不明です。

ここで注目すべき点は、前述のインフラストラクチャが、Microsoftによって脅威アクターが「spinstall0.aspx」ウェブシェルとの通信を確立するためのC2サーバーとしても利用されていると指摘されたことです。オープンソースツールに加え、Storm-2603はさらに3つの追加ペイロードを配布していることが判明しています。

• 7z.exeおよび7z.dll：正規の7-Zipバイナリで、悪意のあるDLLをサイドロードし、Warlockを配信する
• bbb.msi：clink_x86.exeを使って「clink_dll_x86.dll」をサイドロードし、LockBit Blackの展開につながるインストーラー

Check Pointによると、2025年4月にVirusTotalにアップロードされた別のMSIアーティファクトも発見されており、これを使ってWarlockおよびLockBitランサムウェアを起動し、さらにカスタムのアンチウイルスキラー実行ファイル（「VMToolsEng.exe」）をドロップします。これは、BYOVD（脆弱なドライバの持ち込み）技術を用いて、ServiceMouse.sys（中国のセキュリティベンダーAntiy Labsが提供するサードパーティ製ドライバ）を使い、セキュリティソフトウェアを停止させます。

最終的に、Storm-2603の正確な動機は現時点では不明であり、スパイ活動を目的としているのか、利益目的なのかを判断するのは困難です。しかし、中国、イラン、北朝鮮の国家支援アクターがランサムウェアを併用した事例が過去にあることは注目に値します。

「Storm-2603はBYOVD技術を活用してエンドポイント防御を無効化し、DLLハイジャックで複数のランサムウェアファミリーを展開することで、APTと犯罪型ランサムウェアオペレーションの境界を曖昧にしています」とCheck Pointは述べています。「また、PsExecやmasscanのようなオープンソースツールも利用しており、洗練された攻撃でますます見られるハイブリッドアプローチを示しています。」