СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 января
#ИБ#Инфра#Облака

18 000 активных C2 в Китае: облачные провайдеры и ботнеты

Обширный анализ выявил более 18 000 активных серверов управления (C2), размещённых у 48 хостинг‑провайдеров в Китае. Эти инфраструктуры в основном служат основой для различных вредоносных действий — на их долю приходится примерно 84% от общего числа наблюдаемых атак и злоупотреблений.

Ключевые цифры и факты

  • Более 18 000 активных C2;
  • Инфраструктура сосредоточена у 48 провайдеров;
  • На долю C2 приходится порядка 84% наблюдаемой вредоносной активности;
  • China Unicom отвечает почти за половину идентифицированных серверов C2; заметное присутствие имеют также Alibaba Cloud и Tencent;
  • Обнаружено в общей сложности 21 629 вредоносных артефактов — включая открытые каталоги с malware и сайты фишинга;
  • Злоупотребления сосредоточены в ключевых сетях и транзитных «хребтах» — China169, ChinaNet и CERNET.

Доминирующие семейства вредоносного ПО и типы угроз

Анализ показал, что небольшая группа malware-друзей доминирует в ландшафте C2. Среди наиболее заметных — Mozi, ARL, Cobalt Strike, Mirai и Vshell. Это отражает склонность злоумышленников использовать повторяемые, масштабируемые подходы к эксплуатации.

В инфраструктуре одновременно поддерживаются различные типы угроз:

  • IoT‑ботнеты (особенно роль Mozi в крупномасштабных многооперационных C2);
  • RATs (Remote Access Trojans) — трояны удалённого доступа;
  • cryptominers;
  • phishing frameworks и фишинговые сайты;
  • вредоносное ПО, связанное с государственными и сложными целенаправленными угрозами (APT).

«Злоумышленники отдают значительное предпочтение развертыванию инфраструктуры в крупномасштабных облачных средах с хорошей репутацией»

Где и почему злоумышленники размещают C2

Исследование указывает: злоумышленники стремятся разворачивать инфраструктуру в провайдинг‑условиях с высокой пропускной способностью и широкой адресной зоной. В результате крупнейшие провайдеры и облачные площадки становятся естественным выбором для размещения C2 — как из‑за доступности ресурсов, так и из‑за «маскировки» среди легитимного трафика.

Особенно уязвимы транзитные и академические сети — China169, ChinaNet и CERNET — где злоумышленники успешно эксплуатируют доступ и доверительные связи.

Методология: система Host Radar

Для эффективного анализа использована система Host Radar, которая сопоставляет различные сигналы — обнаружения C2, инциденты с фишингом и индикаторы компрометации (IOCs) — с конкретными поставщиками и сетями. Такая модель позволяет ориентироваться на принимающую сторону (hosting party) и понимать злоупотребления инфраструктурой в более широком масштабе.

Вместо того чтобы фокусироваться исключительно на отдельных, быстро меняющихся индикаторах, Host Radar позволяет выстраивать целенаправленные ответные меры, адресованные конкретным провайдерам и сетевым сегментам.

Последствия для индустрии и рекомендации

Выводы исследования подчёркивают масштаб и разнообразие вредоносных действий в экосистеме китайского хостинга. Это создаёт серьёзные вызовы для команд по кибербезопасности — как в части обнаружения и блокирования отдельных артефактов, так и в части разработки стратегий уменьшения злоупотреблений инфраструктурой.

Рекомендации для практиков и провайдеров:

  • Усилить мониторинг и корреляцию сигналов на уровне провайдинга (network‑level telemetry);
  • Внедрять и развивать системы сопоставления хостинга и IOCs — по аналогии с Host Radar;
  • Фокусироваться на поведении и паттернах (TTPs), а не только на статических индикаторах;
  • Укреплять защиту IoT‑сред и предотвращать массовую рекрутировку устройств в botnet;
  • Сотрудничать между провайдерами и академическими сетями для оперативного реагирования и обмена телеметрией.

Наблюдения за инфраструктурой вредоносного ПО у различных китайских поставщиков услуг демонстрируют тревожную тенденцию: злоумышленники всё активнее используют масштабные и заслуживающие доверия облачные площадки для организации C2 и проведения широких кампаний. Это требует как оперативных мер со стороны провайдеров, так и стратегического пересмотра подходов к обнаружению и нейтрализации угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: