Οι φορείς απειλών που συνδέονται με την κινεζική υποδομή φιλοξενίας έχουν δημιουργήσει ένα τεράστιο δίκτυο με περισσότερους από 18.000 ενεργούς διακομιστές εντολών και ελέγχου σε 48 διαφορετικούς παρόχους φιλοξενίας τους τελευταίους μήνες.
Αυτή η εκτεταμένη κατάχρηση υπογραμμίζει ένα σοβαρό ζήτημα σχετικά με το πώς μπορεί να κρύβεται κακόβουλη υποδομή σε αξιόπιστα δίκτυα και υπηρεσίες cloud.
Οι παραδοσιακές μέθοδοι αναζήτησης απειλών που εστιάζουν σε μεμονωμένες διευθύνσεις IP ή ονόματα τομέα συχνά χάνουν την ευρύτερη εικόνα, επειδή οι εισβολείς αλλάζουν συνεχώς αυτούς τους δείκτες για να αποφύγουν τον εντοπισμό.
Η έρευνα αποκαλύπτει ότι αυτοί οι διακομιστές C2 αποτελούν περίπου το 84 τοις εκατό όλης της κακόβουλης δραστηριότητας που παρατηρείται σε κινεζικά περιβάλλοντα φιλοξενίας κατά τη διάρκεια της τρίμηνης περιόδου ανάλυσης.
.webp.jpeg "Οι κινέζοι Threat Actors φιλοξένησαν 18.000 ενεργούς διακομιστές C2 σε 48 παρόχους φιλοξενίας")
Η υποδομή ηλεκτρονικού ψαρέματος αντιπροσωπεύει περίπου το 13 τοις εκατό, ενώ οι κακόβουλοι ανοιχτοί κατάλογοι και οι δημόσιοι δείκτες συμβιβασμού αντιπροσωπεύουν μαζί λιγότερο από το 4 τοις εκατό των απειλών που εντοπίστηκαν.
Αυτό δείχνει ότι οι λειτουργίες εντολής και ελέγχου κυριαρχούν στο τοπίο απειλών, με τους επιτιθέμενους να προτιμούν σταθερή υποδομή που μπορεί να συντονίσει τις συνεχιζόμενες εκστρατείες σε πολλούς στόχους.
Αναλυτές Hunt.io αναγνωρισθείς αυτό το εκτεταμένο δίκτυο υποδομής που χρησιμοποιεί την πλατφόρμα Host Radar, η οποία συνδυάζει την ανίχνευση C2, την αναγνώριση phishing, τη σάρωση ανοιχτού καταλόγου και την εξαγωγή δεικτών σε ένα ενιαίο σύστημα νοημοσύνης.
Αντί να αντιμετωπίζει κάθε κακόβουλο τεχνούργημα ως μεμονωμένο, η πλατφόρμα αντιστοιχίζει αυτές τις απειλές πίσω στους παρόχους φιλοξενίας και στους χειριστές δικτύου όπου υπάρχουν. Αυτή η προσέγγιση αποκαλύπτει μακροχρόνια μοτίβα κατάχρησης ακόμα και όταν μεμονωμένες διευθύνσεις IP αλλάζουν συχνά.
Η China Unicom αναδείχθηκε ως ο μεγαλύτερος οικοδεσπότης κακόβουλης υποδομής, αντιπροσωπεύοντας σχεδόν τους μισούς διακομιστές C2 που παρατηρήθηκαν με περίπου 9.000 ανιχνεύσεις.
Το Alibaba Cloud και το Tencent φιλοξένησαν το καθένα περίπου 3.300 διακομιστές C2, δείχνοντας ότι οι μεγάλες πλατφόρμες cloud στοχοποιούνται σε μεγάλο βαθμό από παράγοντες απειλών που εκτιμούν την ταχεία παροχή και την υψηλή διαθεσιμότητά τους.
Αυτοί οι τρεις πάροχοι και μόνο αντιπροσωπεύουν την πλειοψηφία των εντοπισμένων κακόβουλων υποδομών διοίκησης και ελέγχου εντός της Κίνας.
Συγκέντρωση υποδομής και διανομή κακόβουλου λογισμικού
Οι οικογένειες κακόβουλου λογισμικού που λειτουργούν μέσω αυτής της υποδομής εμφανίζουν ξεκάθαρα μοτίβα επαναλαμβανόμενης κατάχρησης πλαισίου. Το Mozi botnet κυριαρχεί με 9.427 μοναδικές διευθύνσεις IP C2, που αντιπροσωπεύουν περισσότερο από το ήμισυ της παρατηρούμενης δραστηριότητας εντολών και ελέγχου.
Ακολουθεί το πλαίσιο ARL με 2.878 τελικά σημεία C2, υποδηλώνοντας εκτεταμένη κατάχρηση της μετά την εκμετάλλευση και των εργαλείων red-team για κακόβουλους σκοπούς.
.webp.jpeg "Οι κινέζοι Threat Actors φιλοξένησαν 18.000 ενεργούς διακομιστές C2 σε 48 παρόχους φιλοξενίας")
Το Cobalt Strike εμφανίζεται με 1.204 ανιχνεύσεις, ενώ οι Vshell και Mirai συμπληρώνουν την πρώτη πεντάδα με 830 και 703 διακομιστές C2 αντίστοιχα.
Αυτή η συγκέντρωση σημαίνει ότι οι υπερασπιστές μπορούν να επικεντρώσουν τις προσπάθειες παρακολούθησης σε κοινά πρότυπα υποδομής αντί να κυνηγούν μεμονωμένες παραλλαγές κακόβουλου λογισμικού που εξελίσσονται συνεχώς.
Τα δεδομένα δείχνουν ότι οι επιχειρήσεις εγκλήματος στον κυβερνοχώρο, η υποδομή botnet και τα συνδεδεμένα με το κράτος εργαλεία κατασκοπείας συνυπάρχουν στα ίδια περιβάλλοντα φιλοξενίας.
Οι καμπάνιες που κυμαίνονται από trojan απομακρυσμένης πρόσβασης εμπορευμάτων έως εξελιγμένες λειτουργίες APT αξιοποιούν αυτούς τους παρόχους, δημιουργώντας ένα περίπλοκο οικοσύστημα απειλών όπου οι παραδοσιακές άμυνες που βασίζονται σε δείκτες αγωνίζονται να διατηρήσουν την αποτελεσματικότητά τους.
