TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーが中東通信企業を悪用した大規模C2オペレーション

ハッカーは、中東の通信ネットワークとホスティングプロバイダーを悪用して、大規模なコマンド・アンド・コントロール(C2)インフラストラクチャを運用しています。

本調査結果は、一次的なインジケータからインフラストラクチャレベルのトラッキングへの戦略的シフトを強調しており、防御側が絶えず変化するセキュリティ侵害インジケータに対応するのではなく、サイバーオペレーション背後の継続的なパターンを識別することが可能になります。

データセットによると、C2インフラストラクチャが地域内の悪意のある活動の90%以上を占めており、フィッシングキャンペーン、公開ディレクトリ、公表されたインジケータを大きく上回っています。

最も注目すべき発見の一つは、主要な通信ネットワーク内での活動の集中です。サウジアラビア通信公社(STC)だけで981個のC2サーバーを占有しており、地域内で検出されたすべてのC2インフラストラクチャの約72%に相当します。

研究者は、この集中はプロバイダー自体の直接的な侵害ではなく、むしろ通信ネットワーク内で動作している侵害されたカスタマーデバイスが原因である可能性が高いと示唆しており、大規模なISPインフラストラクチャを攻撃者が制御するシステムのリレーレイヤーとして機能させています。

Hunt.ioがGBhackersと共有したレポートで述べたところによると、研究者は14カ国(サウジアラビア、UAE、トルコ、イスラエル、イラン、イラク、エジプトを含む)にまたがる98のインフラストラクチャプロバイダーに分散された1,350以上のアクティブなC2サーバーを特定しました。

Image

その他の著名なプロバイダーには、100以上のC2ノードを持つUAEベースのSERVERS TECH FZCO、60以上を持つイスラエルのOMC、40以上を持つトルコのTürk Telekom、および悪意のある活動に対する高い寛容度と組み合わされた小さいながら継続的なフットプリントを示すイラクのRegxaが含まれます。

ハッカーが中東通信企業を悪用

大規模な通信オペレータと小規模なVPSプロバイダーの両方の存在は、攻撃者が多様なインフラストラクチャ環境に融け込み、復元力を維持し、中断を回避する方法を示しています。

98の中東インフラストラクチャプロバイダーの全体セット全体で、Host Radarは3ヶ月間の観測期間中に1,459件の悪意のあるアーティファクトを記録しました。これには、1,357個のC2サーバー、45個の悪意のある公開ディレクトリ、公開研究で参照されている7個のセキュリティ侵害インジケータ(IOC)、43個のIOC Hunterポスト、および7個のフィッシングサイトが含まれます。

Image

分析はまた、比較的少数のプロバイダーが悪意のあるインフラストラクチャの不均衡に大きなシェアをサポートしていることを明らかにしています。

このクラスタリング効果により、脅威アクターはインフラストラクチャを再利用し、オペレーションを事前にステージングし、必要に応じてアクティブ化できる休止状態のアクセスポイントを維持することが可能になります。複数の文書化されたケースでは、高度な永続的脅威グループにリンクされたインフラストラクチャが、実際の攻撃が開始される数週間前に特定されました。

これらのネットワーク全体で観察されたマルウェアファミリーには、商用ボットネットと高度なエクスプロイト後フレームワークの混合が含まれています。

Tactical RMM、Cobalt Strike、およびSilverなどのツールは、Mirai、Mozi、HajimeなどのIoTボットネットと並行して広く使用されています。この組み合わせは、同じインフラストラクチャエコシステム内で動作しているサイバー犯罪と国家関連活動の収束を反映しています。

複数の攻撃的セキュリティフレームワークとエクスプロイト後プラットフォームもデータセット内に顕著に表示されます。これらには、Prism X(13)、AsyncRAT(12)、Sliver(10)、Cobalt Strike(8)、およびMirai(8)が含まれており、商用マルウェアと洗練されたAPTツール化の両方が中東インフラストラクチャを活用していることを示しています。

Image

インフラストラクチャに関連した実際のキャンペーンには、ランサムウェア配信、暗号マイニング操作、フィッシングキャンペーン、およびスパイ活動が含まれます。

例えば、研究者はシリアの通信インフラストラクチャでホストされている Phorpiex ボットネット C2 サーバーが暗号マイナーとランサムウェアペイロードの両方を配信しているのを観察しており、他のキャンペーンは通信IPスペースを活用して脆弱性を悪用し、リモートアクセストロイの木馬を展開し、クラウドに焦点を当てた侵入を実行しています。

本レポートは、インフラストラクチャプロバイダー、自律システム、およびホスティングパターンを追跡することがより積極的な防御戦略を提供することを強調しています。攻撃者が一貫して使用する基盤となるネットワークに焦点を当てることにより、組織は脅威をより適切に予測し、監視を優先し、オペレーションが完全に具現化される前に中断することができます。

翻訳元: https://gbhackers.com/hackers-exploit-middle-east-telecoms/

ソース: gbhackers.com
#APT #C2インフラストラクチャ #インフラストラクチャ攻撃 #コマンド・アンド・コントロール #サイバー脅威 #ボットネット #マルウェア #ランサムウェア #中東地域 #通信企業

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚