详细内容或原文请订阅后点击阅览
一家电信提供商托管了中东大部分的主动 C2 基础设施
Hunt.io 绘制了中东地区 1,350 多个 C2 服务器的地图,揭示了一小群提供商如何悄悄支持主要恶意软件活动。多年来,威胁情报主要关注恶意软件家族、网络钓鱼域和个人指标。但 Hunt.io 的一份新报告显示了为什么防御者可能需要更加关注一些更无聊的事情,托管 [...]
来源:Security Affairs _恶意软件一家电信提供商托管了中东大部分的主动 C2 基础设施
Hunt.io 绘制了中东地区 1,350 多个 C2 服务器的地图,揭示了一小群提供商如何悄悄支持主要恶意软件活动。
多年来,威胁情报主要关注恶意软件家族、网络钓鱼域和个人指标。但 Hunt.io 的一份新报告显示了为什么防御者可能需要更加关注一些更无聊的托管基础设施。
在花了大约三个月的时间绘制整个中东地区的恶意基础设施图之后,研究人员发现了分布在 14 个国家/地区 98 个提供商的超过 1,350 个命令和控制服务器。引人注目的不仅仅是活动的规模,还有活动的集中程度。
仅沙特电信公司 (STC) 一家提供商就占据了分析期间观察到的所有区域 C2 活动的 72% 以上。大多数基础设施似乎由受损的客户系统组成,而不是故意恶意托管,但结果是相同的:大量攻击者流量流经相对较小的基础设施部分。
“相同的提供商不断出现在完全不相关的活动和恶意软件家族中。” Hunt.io 发布的报告中写道,“提供商级别的跟踪击败了每日轮换的单个指标。”
这可能是该报告最重要的结论。攻击者不断轮换域名、IP 和负载。基础设施模式的变化要慢得多。
该报告还强调了不同的提供商如何吸引不同类型的活动。例如,Türk Telekom 显示了数据集中最高的恶意软件多样性,跨多个 C2 端点托管与六个独立恶意软件系列相关的基础设施。研究人员还将伊拉克提供商 Regxa 标记为分析中观察到的最高“防弹托管”配置文件。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼