Selon Unit 42, un acteur de menace, identifié comme Storm-2603, exploite des vulnérabilités SharePoint à travers un ensemble d’activités nommé CL-CRI-1040. Ce groupe utilise un outil de malware sophistiqué appelé Project AK47, démontrant une motivation financière.

Le malware Project AK47 comprend plusieurs composants, notamment le cheval de Troie AK47C2 qui utilise les protocoles DNS et HTTP pour communiquer, ainsi que le rançongiciel AK47/X2ANYLOCK qui emploie le chiffrement AES/RSA et ajoute l’extension .x2anylock aux fichiers compromis. Le malware intègre des mécanismes de chargement de DLL et utilise une clé XOR codée en dur ‘VHBD@H’.

Unit 42 a également découvert des liens entre ce groupe et des affiliés de LockBit 3.0 ainsi que le groupe de rançongiciels Warlock Client, ce qui indique un paysage de menaces complexe impliquant des activités cybercriminelles et potentiellement étatiques.

Les artefacts réseau incluent des domaines C2 tels que update.updatemicfosoft[.]com, avec un encodage de sous-domaines DNS pour l’exécution de commandes. Le groupe de menace utilise aussi des outils supplémentaires comme PyPyKatz, SharpHostInfo, masscan, et PsExec pour le mouvement latéral et la reconnaissance.

Cet article est une analyse de menace détaillée, visant à informer sur les techniques et outils utilisés par ce groupe de menaces, et à souligner l’importance de la vigilance face aux vulnérabilités SharePoint.

🧠 TTPs et IOCs détectés

TTPs

[‘Exploitation des vulnérabilités SharePoint’, ‘Utilisation de malware sophistiqué’, ‘Communication via DNS et HTTP’, ‘Chiffrement AES/RSA’, ‘Utilisation de DLL pour le chargement’, ‘Utilisation de clé XOR codée en dur’, ‘Mouvement latéral’, ‘Reconnaissance réseau’]

IOCs

[‘update.updatemicfosoft[.]com’]


🔗 Source originale : https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/

🖴 Archive : https://web.archive.org/web/20250806120724/https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/