Çin altyapısı şu anda 48 sağlayıcıda 18.000’den fazla aktif komuta ve kontrol (C2) sunucusuna ev sahipliği yapıyor ve faaliyetler ağırlıklı olarak Çin’deki bir avuç büyük telekom ve bulut ağında yoğunlaşıyor.
Kötü amaçlı yazılım, kimlik avı ve APT araçlarının paylaşılan altyapıdaki bu yoğun kümelenmesi, gösterge tabanlı yaklaşımların saldırganların aynı ağları uygun ölçekte tekrar tekrar nasıl yeniden kullandığını tespit etmekte başarısız olması nedeniyle, ana bilgisayar merkezli telemetrinin tehdit avcılığı için neden kritik hale geldiğini gösteriyor.
Büyük Ölçekte Çin C2 Altyapısı
Hunt.io’nun son analizi, üç aylık bir süre boyunca Çin IP alanında faaliyet gösteren ve 48 farklı İSS ve barındırma sağlayıcısıyla eşlenen 18.000’den fazla aktif C2 sunucusunu tespit etti.
Bu veri kümesinde 18.000’den fazla C2 sunucusu, 2.837 kimlik avı sitesi, 528 kötü amaçlı açık dizin ve 134 genel IOC dahil olmak üzere 21.629 kötü amaçlı yapı kaydedildi.
C2 altyapısı, gözlemlenen tüm kötü amaçlı yapıların kabaca %84’ünü oluşturarak ortama hakimdir; kimlik avı etkinliği ise yaklaşık %13’ünü oluşturur ve açık dizinler ile halka açık IOC’ler birlikte %4’ten azını oluşturur.
Bu dengesizlik, Çin altyapısının, basit yem veya barındırma faaliyeti yerine, öncelikle uzun vadeli komuta ve kontrol ve sömürü sonrası operasyonlar için nasıl kötüye kullanıldığının altını çiziyor.
Yüksek Riskli Sağlayıcılar ve Kötü Amaçlı Yazılım Aileleri
China Unicom, 90 gün boyunca tespit edilen yaklaşık 9.000-9.100 C2 sunucusuyla en kritik erişim noktası olarak görünüyor; bu, veri kümesinde gözlemlenen tüm C2 aktivitesinin neredeyse yarısını temsil ediyor.
Alibaba Cloud ve Tencent’in her biri yaklaşık 3.300 C2 sunucusuna ev sahipliği yapıyor; bu da yüksek kapasiteli bulut platformlarının tehdit aktörleri tarafından ölçeklenebilir, dayanıklı altyapı için sistematik olarak kullanıldığını gösteriyor.
Küçük bir kötü amaçlı yazılım ailesi grubu, bu kötüye kullanımın çoğunu tetikliyor; Mozi, Çin’de tanımlanan tüm C2 uç noktalarının yarısından fazlasını oluşturan 9.427 benzersiz C2 IP’ye sahip.
ARL 2.878 C2 ile onu takip ederken, Cobalt Strike, Vshell ve Mirai’nin her biri yüzlerce C2 sunucusundan oluşuyor ve ticari kırmızı takım çerçevelerini IoT ve ticari botnet araçlarıyla birleştiriyor.
C2 düğümlerinin bir avuç ailede yoğunlaşması, altyapı düzeyindeki parmak izlerinin tekrarlanabilir ve çerçeve odaklı olduğunu, bireysel IP’ler kaybolduğunda bile savunucuların kümeleri izlemesine olanak sağladığını gösteriyor.
Bu altyapıyla eşlenen somut kampanyalar arasında büyük Çinli ve bölgesel sağlayıcılardaki Cobalt Strike işaretçileri, ticari ağlardaki AsyncRAT ve Vshell C2 düğümleri ve yönlendirici ve OT hedeflemeyi destekleyen daha küçük taşıyıcılardaki Mirai tarzı botnet etkinliği yer alıyor.
CERNET ve China Unicom’un China169’u gibi yüksek güvenilirliğe sahip akademik ve omurga ağları, botnet C2 ve büyük ölçekli tarayıcı uzantısının kötüye kullanılmasıyla ilişkilendirildi ve bu durum, hizmetler açığa çıktıktan sonra saldırganların bant genişliği açısından zengin ortamları nasıl silah haline getirdiğini gösteriyor.
Aynı altyapı aynı zamanda DarkSpectre, Silver Fox ve Gold Eye Dog gibi APT operasyonlarının kripto madenci dağıtımları, kimlik avı çerçeveleri ve emtia RAT kampanyalarının yanı sıra bir arada var olmasıyla devlet uyumlu etkinlikleri de destekliyor.
Siber suçlar ve casusluk operasyonları arasındaki bu örtüşme, Çin barındırma ekosistemlerini, farklı tehdit aktörlerinin aynı sağlayıcıları sessizce yeniden kullandığı, ilişkilendirme ve yayından kaldırma çabalarını karmaşıklaştıran ortak hazırlık alanlarına dönüştürüyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.