Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Infrastruktura command-and-control, czyli C2, to jeden z kluczowych elementów współczesnych operacji cyberprzestępczych i kampanii szpiegowskich. To za jej pośrednictwem złośliwe oprogramowanie odbiera polecenia, przesyła wykradzione dane oraz utrzymuje komunikację z operatorami ataku. Najnowsza analiza aktywnej infrastruktury na Bliskim Wschodzie pokazuje, że ten ekosystem nie jest rozłożony równomiernie. Przeciwnie, znaczna część obserwowanych serwerów C2 była skupiona u bardzo ograniczonej liczby dostawców, a jeden operator zdecydowanie dominował pod względem skali.
W skrócie
Badacze przeanalizowali ponad 1,350 aktywnych serwerów C2 rozmieszczonych u 98 dostawców w 14 krajach regionu. Najważniejszy wniosek jest jednoznaczny: infrastruktura wykorzystywana przez atakujących była silnie skoncentrowana. Jeden operator telekomunikacyjny odpowiadał za około 72,4% wszystkich wykrytych serwerów C2, co oznacza 981 hostów. W badaniu wskazano również, że część dostawców wyróżniała się większą różnorodnością rodzin malware, a inni profilem zbliżonym do bulletproof hostingu.
- Ponad 1,350 aktywnych serwerów C2 objętych analizą
- 98 dostawców w 14 krajach regionu
- 981 hostów przypisanych do jednego operatora
- 72,4% regionalnej aktywności C2 skupione u jednego dostawcy
- Obecność wielu rodzin malware i frameworków post-exploitation
Kontekst / historia
Przez lata analityka zagrożeń koncentrowała się głównie na pojedynczych wskaźnikach kompromitacji, takich jak hashe plików, domeny phishingowe, adresy IP czy konkretne próbki malware. Taki model nadal pozostaje użyteczny, ale ma istotne ograniczenie: IOC bardzo szybko tracą aktualność. Atakujący bez większych trudności rotują domeny, migrują payloady na nowe serwery, zmieniają certyfikaty TLS lub korzystają z nowej adresacji IP.
W praktyce oznacza to, że obrona oparta wyłącznie na krótkotrwałych wskaźnikach często bywa spóźniona. Dlatego coraz większego znaczenia nabiera analiza wzorców infrastrukturalnych, obejmująca dostawców hostingu, resellerów VPS, systemy autonomiczne, profile usług czy charakterystyczne środowiska telekomunikacyjne. Opisywana analiza wpisuje się właśnie w ten trend i pokazuje, że na Bliskim Wschodzie aktywność C2 ma wyraźne punkty koncentracji.
Analiza techniczna
Badanie objęło około trzymiesięczne okno obserwacyjne i mapowanie aktywnej złośliwej infrastruktury w regionie. Zidentyfikowano ponad 1,350 serwerów command-and-control należących do wielu niezależnych kampanii i rodzin malware. Kluczowym ustaleniem było to, że 981 z tych serwerów znajdowało się w infrastrukturze jednego operatora telekomunikacyjnego, co przełożyło się na 72,4% całej regionalnej aktywności C2.
Z technicznego punktu widzenia nie oznacza to automatycznie udziału samego dostawcy w działaniach ofensywnych. Znacznie bardziej prawdopodobny scenariusz zakłada wykorzystanie skompromitowanych systemów klientów, słabo zabezpieczonych instancji VPS lub zasobów wynajmowanych legalnymi kanałami komercyjnymi. Dla obrońców najważniejszy jest jednak efekt końcowy: duża część ruchu sterującego malware przechodzi przez ograniczony zestaw sieci i dostawców.
W analizie pojawiły się zarówno narzędzia powszechnie używane w cyberprzestępczości, jak i frameworki post-exploitation oraz botnety. Wśród obserwowanych rodzin i narzędzi wymieniono między innymi Cobalt Strike, AsyncRAT, Mirai, Sliver, Mozi, Hajime, Tactical RMM oraz Gophish. Taki zestaw wskazuje, że badany ekosystem nie był związany z jednym aktorem ani jedną kategorią zagrożeń, lecz obejmował szerokie spektrum aktywności: od phishingu i zdalnej administracji po botnety i działania poeksploatacyjne.
Interesujący okazał się również profil poszczególnych dostawców. Jeden z operatorów wyróżniał się najwyższą różnorodnością rodzin malware, obsługując infrastrukturę powiązaną z sześcioma odrębnymi rodzinami złośliwego oprogramowania. Inny podmiot został oceniony jako środowisko o najwyższym profilu bulletproof hosting w zestawieniu. To cenna wskazówka dla zespołów bezpieczeństwa, ponieważ umożliwia budowanie priorytetów monitoringu nie tylko według pojedynczych adresów, ale też według trwałych cech środowiska hostingowego.
Badacze powiązali część infrastruktury z szerszymi kampaniami, w tym operacjami szpiegowskimi oraz aktywnością destrukcyjną i botnetową. Szczególnie istotne jest to, że różne, pozornie niezależne kampanie powracały do tych samych dostawców. Oznacza to, że korelacja na poziomie providera może dostarczać stabilniejszego sygnału detekcyjnego niż analiza prowadzona wyłącznie próbka po próbce.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją jest trudność operacyjna w blokowaniu tego typu aktywności. Zablokowanie pojedynczego adresu IP lub domeny jest stosunkowo proste, ale blokowanie całych operatorów, zakresów ASN czy regionów geograficznych często okazuje się niemożliwe z powodów biznesowych, regulacyjnych i technicznych. Legalni klienci współdzielą przecież tę samą infrastrukturę, która bywa nadużywana przez atakujących.
Drugie ryzyko dotyczy trwałości kampanii. Jeżeli operatorzy zagrożeń regularnie wykorzystują te same środowiska, mogą liczyć na dłuższy czas życia swojej infrastruktury, zwłaszcza tam, gdzie reakcja na nadużycia jest wolniejsza lub widoczność ograniczona. To zwiększa skuteczność phishingu, utrudnia neutralizację botnetów i wydłuża czas działania implantów po kompromitacji.
Trzecim problemem jest mieszanie się ruchu złośliwego z legalnym ruchem komercyjnym. Dla SOC oznacza to wyższe ryzyko false negatives, ponieważ infrastruktura C2 nie musi znajdować się w egzotycznych ani oczywiście podejrzanych sieciach. Coraz częściej działa w zwykłych, zaufanych środowiskach telekomunikacyjnych i chmurowych.
Rekomendacje
Organizacje powinny rozszerzyć threat hunting poza tradycyjne IOC i uwzględnić analizę na poziomie dostawcy, ASN, certyfikatów, wzorców rejestracji domen oraz cech środowisk VPS. Skuteczniejsza obrona wymaga patrzenia szerzej niż tylko na pojedyncze domeny i adresy IP.
- Wzbogacić detekcję o kontekst infrastrukturalny, a nie tylko pojedyncze IOC
- Budować listy obserwacyjne dla dostawców i segmentów sieci często pojawiających się w kampaniach C2
- Korelować logi DNS, proxy, EDR i NetFlow z reputacją hostingu oraz historią nadużyć
- Monitorować krótkotrwałe serwery VPS i nagłe zmiany w komunikacji wychodzącej do mniej typowych operatorów
- Segmentować systemy o wysokiej wartości i ograniczać bezpośrednią komunikację wychodzącą do Internetu
- Wdrażać detekcje behawioralne dla beaconingu, tunelowania i niestandardowych wzorców połączeń
- Przyspieszyć procesy blokowania i eskalacji dla infrastruktury powtarzającej się w wielu niezależnych incydentach
Dla dostawców usług i operatorów sieci kluczowe znaczenie mają automatyzacja reakcji na abuse, skrócenie czasu obsługi zgłoszeń oraz lepsze wykrywanie przejętych systemów klientów. W środowiskach enterprise nadal fundamentalne pozostają kontrola ruchu wychodzącego, analiza sesji TLS, monitorowanie nietypowych user-agentów i wykrywanie długotrwałego beaconingu o niskiej częstotliwości.
Podsumowanie
Analiza aktywnej infrastruktury C2 na Bliskim Wschodzie pokazuje, że zagrożenia nie są rozproszone równomiernie, lecz skupiają się wokół ograniczonej liczby dostawców. Taka koncentracja ma istotne znaczenie praktyczne: umożliwia lepsze priorytetyzowanie monitoringu, wzmacnia hunting infrastrukturalny i pomaga identyfikować środowiska, do których atakujący wracają wielokrotnie. Dla zespołów bezpieczeństwa to wyraźny sygnał, że skuteczna obrona wymaga analizy bardziej trwałych cech infrastruktury, a nie tylko krótkowiecznych IOC.
Źródła
- https://securityaffairs.com/192518/hacking/one-telecom-provider-hosted-most-of-the-middle-east-s-active-c2-infrastructure.html
- https://hunt.io/
- https://apidocs.hunt.io/docs/c2-feed