過去3ヶ月間で、165のロシアインフラストラクチャプロバイダー全体で1,250以上のC2サーバーが識別されました。インフラストラクチャ分析とISPマッピングは、ロシアネットワーク内で動作しているサイバー脅威の隠れたバックボーンを明らかにしています。
単一のIPやワンオフのインジケーターを超えて、アナリストはHost RadarとHuntSQLを使用して、2026年1月1日から4月1日の間に165のロシアプロバイダー全体で1,250以上のアクティブなコマンド&コントロール(C2)サーバーをマッピングしました。
このプロバイダーレベルのビューは、生のインジケーターをセキュリティチームが実際に行動できるインフラストラクチャ中心のインテリジェンスに変えます。
マルウェアサンプルまたは分離されたドメインから始める代わりに、Host RadarはそれらをホストするネットワークにC2サーバー、フィッシングサイト、悪意のあるオープンディレクトリ、および公開IOCを関連付けます。
ロシアでは、このアプローチは悪意のある活動がいくつかの「防弾」ホストに限定されるのではなく、共有ホスティング、VPSプラットフォーム、クラウドプロバイダー、および主要な通信ネットワーク全体に分散していることを示しています。
過去3ヶ月間で、Hunt.ioからの新しいインフラストラクチャ分析は、ロシアのホスティングプロバイダーが世界的なサイバー作戦にどの程度関与しているかを明らかにしています。
その結果、個別のインジケーターが循環または焼却されても、どの組織が関連のないキャンペーン全体で繰り返し出現するかのより明確な画像が得られます。
165のロシアインフラストラクチャプロバイダー全体で、Hunt.ioは3ヶ月間のウィンドウ内で約1,290の悪意のあるアーティファクト(1,252のC2サーバー、75の悪意のあるオープンディレクトリ、69のフィッシングサイト、17の公開IOCを含む)を記録しました。
ロシアプロバイダーは90日間で311件検出され、7つの悪意のあるオープンディレクトリ、91個のポートスキャナー、0個のIOC、3個のIOCハンターポスト、9個のフィッシングサイトが検出されました。
C2インフラストラクチャはこの風景を支配し、観測されたアーティファクトの約88.6%を占めており、フィッシングと露出されたディレクトリは二次的であるが持続的な悪用層のままです。
これは、ロシアネットワークが静的なおびき寄せコンテンツをホストするのではなく、主に操作を実行および調整するために使用されていることを確認しています。
C2活動によるトップロシアプロバイダー
少数のプロバイダーが90日間のウィンドウにおいて、ロシアベースのC2インフラストラクチャの不釣り合いな部分をホストしています。
TimeWebは311個の検出されたC2サーバーでデータセットをリードしており、スキャニングインフラストラクチャと少数のフィッシングサイトおよびオープンディレクトリが伴います。
WebHost1とREG.RUは140個と138個のC2サーバーでそれぞれ続いており、大規模な共有およびVPSプラットフォームがマルウェアコマンド&コントロールおよび偵察のために繰り返しどのように活用されるかを反映しています。
VDSinaとPROSPERO OOOもまた、最も頻繁に悪用された環境の中に現れ、それぞれ86個と80個のC2サーバーを備え、様々なスキャナー、フィッシングサイト、および悪意のあるオープンディレクトリに伴います。
トップ10の他の著名なプロバイダーには、Selectel、Beget、Proton66 OOO、Er-Telecom、Rostelecomが含まれており、商用クラウドプラットフォームとバックボーン通信ネットワークの両方が悪意のあるインフラストラクチャを維持する役割を果たしていることを示しています。
防御者にとって、これらの集中は監視、ブロック、およびエスカレーションのために特定のネットワークに優先順位を付けることを可能にします。
ロシアASNテレメトリーに対するHuntSQLクエリーは、小さなマルウェアファミリーのセットが観測されたC2フットプリントの多くを占めていることを示しています。
Keitaroは587個の一意のC2 IPでデータセットを支配しており、トラフィック配信とキャンペーン管理のためにこのフレームワークが頻繁に使用されていることを反映しています。
比較して、悪意のあるオープンディレクトリは約5.3%を表し、フィッシングインフラストラクチャは約4.9%を占めており、公開されたIOCはデータセットの約1.2%を占めています。
IoT指向のボットネットsuch as Hajime、Mozi、およびMiraiは活動を続けており、ロシアネットワーク内での侵害されたルーターと組み込みデバイスの継続的な悪用を強調しています。
このような小さく高い影響を持つツーリングセットに焦点を当てることで、防御者は新しいペイロード変種を追い続けるのではなく、共有インフラストラクチャを追跡することができます。
インフラストラクチャ中心の検出
組織レベルでテレメトリーを集約することにより、HuntSQLは最高のC2ボリュームと最広いマルウェア多様性の両方をホストするプロバイダーを識別します。
トップランキング内の商用ホスティング企業と大規模な通信プロバイダーの両方の存在は、仮想サーバープラットフォーム、クラウド環境、およびISPネットワークすべてがマルウェアC2インフラストラクチャ展開のために活用される方法を示しています。
攻撃的セキュリティフレームワークと搾取後プラットフォームも著しく出現し、Tactical RMM、Cobalt Strike(および未検証の変種)、Sliver、およびLigolo-ngが含まれます。
Yandex.Cloud LLCはマルウェアファミリーの多様性でリードしており、TimeWebとPROSPERO OOOは高いC2カウントを広いファミリーカバレッジと組み合わせ、監視および取り締まり活動にとって戦略的に重要です。
IP 85.239.54[.]130はCERT Polskaによって分析されたキャンペーンに関連付けられており、攻撃者はフェイクCAPTCHA「ClickFix」技術を活用してユーザーをcurl-to-PowerShellコマンドの実行にだまし取りました。
「防弾」プロバイダーに対する同様の作業はすでに制裁と執行措置につながっており、インフラストラクチャレベルの帰属がどのように現実世界の混乱に変わるかを示しています。
セキュリティチームにとって、この研究は最も効果的なボトルネックがエンドポイントだけではなくホスティングおよびISP層にあることが多いことを強調しています。
165のロシアプロバイダー全体で1,250以上のC2サーバーをマッピングすることは、ノイズの多いインジケーターフィードを高リスクネットワークの優先度付きビューに変え、より良い検出、より速いトリアージ、および規模での虐待を繰り返し可能にするプロバイダーへのプレッシャーを実現します。
翻訳元: https://gbhackers.com/1250-c2-servers/
