Çin barındırma altyapısıyla bağlantılı tehdit aktörleri, son aylarda 48 farklı barındırma sağlayıcısında 18.000’den fazla aktif komuta ve kontrol sunucusundan oluşan devasa bir ağ kurdu.
Bu yaygın suiistimal, kötü amaçlı altyapının güvenilir ağlar ve bulut hizmetleri içinde nasıl gizlenebileceği konusunda ciddi bir soruna dikkat çekiyor.
Bireysel IP adreslerine veya alan adlarına odaklanan geleneksel tehdit avlama yöntemleri genellikle büyük resmi gözden kaçırır çünkü saldırganlar tespit edilmekten kaçınmak için bu göstergeleri sürekli değiştirir.
Araştırma, bu C2 sunucularının, üç aylık analiz dönemi boyunca Çin barındırma ortamlarında gözlemlenen tüm kötü amaçlı etkinliklerin yaklaşık yüzde 84’ünü oluşturduğunu ortaya koyuyor.
.webp)
Kimlik avı altyapısı yaklaşık yüzde 13’ü oluştururken, kötü amaçlı açık dizinler ve genel tehlike göstergeleri birlikte tespit edilen tehditlerin yüzde 4’ünden azını temsil ediyor.
Bu, saldırganların birden fazla hedefte devam eden kampanyaları koordine edebilen istikrarlı altyapıyı tercih etmesiyle, komuta ve kontrol operasyonlarının tehdit ortamına hakim olduğunu gösteriyor.
Hunt.io analistleri bu kapsamlı altyapı ağını, C2 algılamayı, kimlik avı tanımlamayı, açık dizin taramayı ve gösterge çıkarmayı tek bir istihbarat sisteminde birleştiren Host Radar platformunu kullanarak belirledi.
Platform, her kötü amaçlı yapıyı izole edilmiş olarak ele almak yerine, bu tehditleri bulundukları yerdeki barındırma sağlayıcıları ve ağ operatörleriyle eşleştirir. Bu yaklaşım, bireysel IP adresleri sık sık değişse bile uzun süredir devam eden kötüye kullanım kalıplarını ortaya çıkarır.
China Unicom, yaklaşık 9.000 tespitle gözlemlenen tüm C2 sunucularının neredeyse yarısını oluşturarak, en büyük kötü amaçlı altyapı barındırıcısı olarak ortaya çıktı.
Alibaba Cloud ve Tencent’in her biri yaklaşık 3.300 C2 sunucusuna ev sahipliği yaptı; bu da büyük bulut platformlarının, hızlı tedarik ve yüksek kullanılabilirliğe değer veren tehdit aktörleri tarafından yoğun bir şekilde hedef alındığını gösteriyor.
Bu üç sağlayıcı tek başına Çin’de tespit edilen kötü amaçlı komuta ve kontrol altyapısının çoğunluğunu temsil ediyor.
Altyapı Yoğunlaşması ve Kötü Amaçlı Yazılım Dağıtımı
Bu altyapı üzerinden çalışan kötü amaçlı yazılım aileleri, tekrarlanan çerçeve istismarına ilişkin açık kalıplar göstermektedir. Mozi botnet’i, gözlemlenen tüm komuta ve kontrol faaliyetlerinin yarısından fazlasını temsil eden 9.427 benzersiz C2 IP adresiyle hakim durumda.
ARL çerçevesi, 2.878 C2 uç noktasıyla devam ediyor ve bu durum, kullanım sonrası ve kırmızı takım araçlarının kötü amaçlarla kapsamlı bir şekilde kötüye kullanıldığını gösteriyor.
.webp)
Cobalt Strike 1.204 tespitle ortaya çıkarken, Vshell ve Mirai sırasıyla 830 ve 703 C2 sunucuyla ilk beşte yer alıyor.
Bu yoğunlaşma, savunucuların, sürekli gelişen bireysel kötü amaçlı yazılım türlerini kovalamak yerine, izleme çabalarını ortak altyapı modellerine odaklayabilecekleri anlamına geliyor.
Veriler, siber suç operasyonlarının, botnet altyapısının ve devlete bağlı casusluk araçlarının aynı barındırma ortamlarında bir arada bulunduğunu gösteriyor.
Ticari amaçlı uzaktan erişim truva atlarından gelişmiş APT operasyonlarına kadar uzanan kampanyalar, bu sağlayıcılardan yararlanarak geleneksel göstergeye dayalı savunmaların etkinliğini sürdürmekte zorlandığı karmaşık bir tehdit ekosistemi yaratıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
