中国国内の悪意あるインフラストラクチャに関する包括的なアーキテクチャ分析により、48の異なるホスティング事業者に分散する18,000台超のコマンド&コントロール(C2)サーバーが発見された。この膨大なデータセットは、フィッシングキャンペーン、有害なソフトウェア、そして国家支援の攻撃者が運用する高度なツールが、単一のデジタル・エコシステム内で共生している実態を浮き彫りにしている。
この敵対的インフラの最も顕著な集中は中国聯通(China Unicom)内で確認され、3か月の期間に9,000超のコマンドノードが検出された。続いてAlibaba CloudとTencentがそれぞれ約3,300台のサーバーをホストしていた。特にTencentは、数千のフィッシングドメインや数百の露出したディレクトリを含む多様な変動性の幅を示しており、そのサービスが多種多様な攻撃オペレーションに悪用されていることを示唆している。
コマンド&コントロールサーバーは特定された悪性環境のおよそ84%を占め、フィッシングは13%である。オープンディレクトリや公開された侵害指標(IOC)などの他の痕跡は、全体像への寄与が小さい。これは、現代の脅威アクターが自動化された攻撃を編成し、悪意あるソフトウェアを大規模に統制するために、集中型インフラへ深く依存していることを強調している。
特定されたキャンペーンの中では、Mozi、ARL、Cobalt Strike、Mirai、Vshellといった特定のマルウェア系統が、特に侵害後活動やボットネット維持において中核的な役割を果たしている。Moziは依然として卓越しており、9,000超のユニークIPアドレスを掌握することで、中国がIoTボットネット拡散の結節点である地位を一層確固たるものにしている。
さらに、これらの侵入の相当量が、通信および学術の枠組みに結び付いている。例えば教育ネットワークCERNETは、React2Shellの脆弱性を悪用して暗号資産マイナーやリモートアクセス型トロイの木馬(RAT)を拡散するキャンペーンに関与していた。これは、科学機関の大容量ネットワークが悪用の主要標的となっていることを示している。
Tencentのインフラは、特にインドなどの地域のユーザーを狙ったフィッシング手口に利用されている。これらのキャンペーンでは、未払い罰金に関する捏造された法的脅しで車両所有者を威圧することを目的とした欺瞞サイトがしばしば用いられる。類似の戦術はAlibaba Cloudでも観測され、モジュール型のValley RATが公式の税務通知を装って配布されていた。
こうした広く見られる脅威に加え、中国の事業者のインフラは、高度持続的脅威(APT)を伴う特注の標的型キャンペーンにも活用されている。例えば、BRONZE HIGHLANDに関連するIPアドレスが泉州(Quanzhou)拠点のサーバー上で発見された。さらに、Gogsシステムの脆弱性の悪用が記録されており、Supershell C2フレームワークを介したリバースSSHアクセスを可能にするために利用されている。
この種の脅威をホスト中心の手法で分析することで、実務者は持続的なパターンを追跡し、攻撃者が繰り返し戻ってくる再発ノードを特定できる。このアプローチにより、防御側は個別の脅威に対してだけでなく、世界的な悪性活動を支える基盤エコシステム全体に対して戦略的な前衛を構築できる。
翻訳元: https://meterpreter.org/the-dragons-hub-researchers-unmask-18000-malicious-c2-servers-inside-china/
