サイバー攻撃のインフラは、それが依存するドメインやIPアドレスよりも長く生き残ることが少なくありません。Hunt.ioの新たなレポートは、東欧全域にいかに密集した悪意あるノードが構築されているかを明らかにしています。同社のアナリストは2026年3月12日から6月12日にかけて10カ国のインフラを調査し、合計302のプロバイダーにわたる3,900件以上のアクティブなC2サーバーを発見しました。
C2サーバーの役割
コマンド&コントロール(C2)サーバーは、マルウェア活動の司令塔です。攻撃者はこれらのノードを通じて感染システムに命令を送り、盗んだデータを収集し、攻撃キャンペーンを継続的に運営します。今回の調査対象国は、ベラルーシ、ブルガリア、チェコ、ハンガリー、ポーランド、モルドバ、ルーマニア、ロシア、スロバキア、ウクライナの10カ国です。
ブルガリアの1ホストが圧倒的シェアを占有
最も高い集中度を示したのは、ブルガリアのFriendhostingLTDです。同社のインフラだけで、研究者らは2,100件のC2サーバーを発見しました。これはサンプル全体の約53.5%に相当します。注目すべき点として、この偏りは単一のドメインやIPを追跡しているだけでは気づきにくく、ホスティングレベルでアクティビティを分析して初めて明確に浮かび上がります。
C2を超えた広範な脅威のネットワーク
Host Radarは合計4,331件の悪意あるオブジェクトを検出しました。3,923件のC2サーバーに加え、悪意あるコンテンツを公開するオープンディレクトリ、フィッシングサイト、公知の侵害指標(IoC)も確認されています。C2インフラはすべての検出結果の約90.6%を占めており、この地域のホスティングサービスがどのような目的で利用されているかを如実に示しています。
レポートでは、発見されたノードに紐づく実際のキャンペーンも名指しされています。たとえば、Cloud Atlasのインフラが複数の東欧プロバイダーで確認されました。さらにアナリストは、フィッシング、情報窃取型マルウェア(インフォスティーラー)、ボットネット、そして正規のリモート管理ツールの悪用に関連するノードも追跡しています。
ノードを支えるマルウェアファミリー
インフラファミリー別では、Keitaroが1,277件のユニークなC2 IPで首位を占めました。Tactical RMMとAcunetixがそれに続いています。レポートではCobalt Strike、Sliver、Gophish、Mirai、Mozi、Hajimeも個別に取り上げられています。
このような多様な構成は、同一プロバイダーのプラットフォームが、大規模な犯罪キャンペーンから高度な侵害後オペレーションまで、幅広い目的に利用されている実態を物語っています。
ホスティング層への監視が防御の鍵
レポートの著者らは、頻繁に変化するIPアドレスやドメインの追跡だけに防御を依存すべきではないと主張しています。セキュリティチームには、特定のASNやプロバイダーのリスクを評価し、繰り返し現れるインフラの関連性を追跡するとともに、不審なソースが過去のキャンペーンで出現していないかを確認することが求められます。
翻訳元: https://meterpreter.org/eastern-europe-c2-servers/
