中国のホスティングインフラに関連する脅威アクターが、ここ数か月で48のホスティングプロバイダーにまたがり、18,000台を超える稼働中のコマンド&コントロール(C2)サーバーからなる大規模ネットワークを構築している。
この広範な悪用は深刻な問題を浮き彫りにしている。すなわち、悪意あるインフラは信頼されたネットワークやクラウドサービスの内部に潜むことができる。
調査によれば、これらのC2サーバーは、3か月の分析期間中に中国のホスティング環境で観測された悪性活動全体のおよそ84%を占めている。
China Unicomは悪性インフラの最大のホストとして浮上し、観測されたC2サーバーのほぼ半数を占め、検知数は約9,000に達した。
Alibaba CloudとTencentはそれぞれ約3,300台のC2サーバーをホストしており、迅速なプロビジョニングと高可用性を重視する脅威アクターによって主要クラウドプラットフォームが強く狙われていることを示している。
これら3社だけで、中国国内で検知された悪性コマンド&コントロール・インフラの大半を占める。
Hunt.ioのアナリストは、C2検知、フィッシングの特定、オープンディレクトリのスキャン、インジケーター抽出を単一のインテリジェンスシステムに統合した Host Radar プラットフォームを用いて、この広範なインフラネットワークを特定した。
同プラットフォームは、各悪性アーティファクトを個別に扱うのではなく、それらの脅威が存在するホスティングプロバイダーやネットワーク運用者へと紐づけてマッピングする。
このアプローチにより、個々のIPアドレスが頻繁に変わる場合でも、継続的な悪用パターンが明らかになる。
フィッシング用インフラは悪性活動のおよそ13%を占める一方、悪意あるオープンディレクトリと公開された侵害指標(IOC)を合わせても、検知された脅威の4%未満にとどまる。
これは、攻撃者が複数の標的にまたがる継続的なキャンペーンを調整できる安定したインフラを好むため、コマンド&コントロールの運用が脅威状況を支配していることを示している。
このインフラを通じて活動するマルウェアファミリーには、フレームワークの反復的な悪用という明確なパターンが見られる。
Moziボットネットが支配的で、ユニークなC2 IPアドレスは9,427に上り、観測されたコマンド&コントロール活動全体の半分以上を占める。
ARLフレームワークは2,878のC2エンドポイントを報告しており、侵害後活動(ポストエクスプロイト)やレッドチーム用ツールが悪意ある目的で広範に悪用されていることを示している。
Cobalt Strikeは1,204件の検知で確認され、VshellとMiraiがそれぞれ830台、703台のC2サーバーで上位5位を構成する。
この集中により、防御側は継続的に進化する個々のマルウェア亜種ではなく、共有インフラのパターンに監視の重点を置くことが可能になる。
データは、サイバー犯罪のオペレーション、ボットネットのインフラ、国家関連のスパイ活動ツールが同一のホスティング環境内に共存していることを示している。
一般的なリモートアクセス型トロイの木馬から高度なAPTオペレーションに至るまでのキャンペーンがこれらのプロバイダーを活用しており、従来のインジケーター依存の防御では有効性を維持しにくい複雑な脅威エコシステムを生み出している。
組織は、この持続的な脅威に効果的に対抗するため、インフラに焦点を当てた検知戦略を採用しなければならない。
翻訳元: https://cyberpress.org/chinese-threat-actors-operated/