Chinese Threat Actors Hosted 18,000 Active C2 Servers Across 48 Hosting Providers

กลุ่มผู้คุกคามทางไซเบอร์จากจีนได้สร้างเครือข่ายเซิร์ฟเวอร์ Command-and-Control (C2) ขนาดใหญ่กว่า 18,000 แห่ง ซึ่งกระจายอยู่ทั่วผู้ให้บริการโฮสติ้ง 48 ราย การดำเนินการนี้แสดงให้เห็นถึงปัญหาที่ร้ายแรงในการซ่อนโครงสร้างพื้นฐานที่เป็นอันตรายภายในเครือข่ายและบริการคลาวด์ที่น่าเชื่อถือ ซึ่งทำให้วิธีการตรวจจับแบบดั้งเดิมที่เน้น IP หรือโดเมนเดี่ยวไม่สามารถตรวจจับได้ การวิจัยพบว่าเซิร์ฟเวอร์ C2 เหล่านี้คิดเป็นประมาณ 84% ของกิจกรรมที่เป็นอันตรายทั้งหมดที่ตรวจพบในสภาพแวดล้อมโฮสติ้งของจีน โดยมีฟิชชิ่งคิดเป็น 13% ผู้ให้บริการหลักที่ถูกใช้เป็นฐานคือ China Unicom, Alibaba Cloud และ Tencent นอกจากนี้ มัลแวร์ที่ใช้ส่วนใหญ่คือ Mozi botnet, ARL framework, Cobalt Strike, Vshell และ Mirai

Severity: สูง

System Impact:

• เครือข่ายที่น่าเชื่อถือ (Trusted networks)
• บริการคลาวด์ (Cloud services)
• สภาพแวดล้อมโฮสติ้งของจีน (Chinese hosting environments)
• China Unicom (โฮสต์ C2 กว่า 9,000 แห่ง)
• Alibaba Cloud (โฮสต์ C2 ประมาณ 3,300 แห่ง)
• Tencent (โฮสต์ C2 ประมาณ 3,300 แห่ง)

Technical Attack Steps:

1. สร้างเครือข่ายเซิร์ฟเวอร์ Command-and-Control (C2) ขนาดใหญ่กว่า 18,000 แห่ง
2. ใช้ผู้ให้บริการโฮสติ้ง 48 ราย รวมถึงแพลตฟอร์มคลาวด์ขนาดใหญ่ เช่น China Unicom, Alibaba Cloud และ Tencent ในการโฮสต์โครงสร้างพื้นฐานที่เป็นอันตราย
3. ใช้มัลแวร์หลากหลายตระกูล (Mozi, ARL, Cobalt Strike, Mirai, Vshell) สำหรับการดำเนินการ C2, บอตเน็ต และการสอดแนม
4. เปลี่ยนที่อยู่ IP และชื่อโดเมน (ตัวบ่งชี้การบุกรุก) อย่างต่อเนื่องเพื่อหลีกเลี่ยงการตรวจจับแบบดั้งเดิม
5. ส่วนใหญ่ดำเนินการ C2 (84% ของกิจกรรมที่เป็นอันตราย) โดยได้รับการสนับสนุนจากโครงสร้างพื้นฐานฟิชชิ่ง (13%) และภัยคุกคามอื่น ๆ (ไดเรกทอรีสาธารณะที่เป็นอันตราย, ตัวบ่งชี้การบุกรุกสาธารณะ)

Recommendations:

Short Term:

• นำวิธีการตรวจจับภัยคุกคามขั้นสูงมาใช้ ซึ่งนอกเหนือจากการตรวจสอบที่อยู่ IP หรือชื่อโดเมนเดี่ยวๆ
• มุ่งเน้นการระบุและบล็อกรูปแบบโครงสร้างพื้นฐานที่ใช้ร่วมกัน แทนที่จะไล่ตามตัวแปรมัลแวร์แต่ละตัว
• เฝ้าระวังมัลแวร์ตระกูลที่รู้จัก เช่น Mozi, ARL, Cobalt Strike, Vshell และ Mirai โดยเฉพาะในสภาพแวดล้อมคลาวด์และโฮสติ้ง

Long Term:

• พัฒนาระบบข่าวกรองที่ซับซ้อนที่สามารถเชื่อมโยงภัยคุกคามกลับไปยังผู้ให้บริการโฮสติ้งและผู้ประกอบการเครือข่าย เพื่อเปิดเผยรูปแบบการใช้งานในทางที่ผิดที่ดำเนินมาอย่างยาวนาน
• ร่วมมือกับผู้ให้บริการโฮสติ้งและบริการคลาวด์เพื่อระบุและลดโครงสร้างพื้นฐานที่เป็นอันตรายอย่างมีประสิทธิภาพมากยิ่งขึ้น
• เสริมสร้างการป้องกันต่อระบบนิเวศภัยคุกคามที่ซับซ้อน ซึ่งการก่ออาชญากรรมไซเบอร์และเครื่องมือสอดแนมที่เกี่ยวข้องกับรัฐบาลมีอยู่ร่วมกัน

Source: https://cybersecuritynews.com/chinese-threat-actors-hosted-18000-active-c2-servers/