Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Облако с сюрпризом. Как китайские провайдеры случайно приютили 18 тысяч хакерских серверов

leer en español

Китай Hunt.io China Unicom Tencent Alibaba Cloud ботнет командные серверы
Облако с сюрпризом. Как китайские провайдеры случайно приютили 18 тысяч хакерских серверов
Китай Hunt.io China Unicom Tencent Alibaba Cloud ботнет командные серверы

Карта теневого интернета оказалась куда масштабнее, чем мы думали.

image

Крупномасштабный анализ инфраструктуры вредоносной активности в Китае выявил более 18 тысяч командных серверов, размещённых на платформах 48 хостинг-провайдеров. Эти данные дают представление о том, как внутри одной экосистемы сосуществуют фишинг, вредоносные программы и инструменты, связанные с деятельностью подконтрольных государству группировок.

Наибольшая концентрация вредоносной инфраструктуры зафиксирована у China Unicom — за три месяца на её серверах обнаружено более 9 тысяч командных узлов. За ней следуют Alibaba Cloud и Tencent с примерно 3,3 тысячи серверов на каждой платформе. При этом Tencent показывает широкий спектр активности, включая тысячи фишинговых сайтов и сотни открытых каталогов, что говорит о масштабном использовании её сервисов для разнообразных атак.

На долю командных серверов приходится около 84% всей вредоносной инфраструктуры, тогда как фишинг составляет 13%. Остальные объекты — открытые директории и общедоступные индикаторы компрометации — почти не влияют на общую картину. Это подчёркивает, насколько массово злоумышленники полагаются на инфраструктуру для управления вредоносным ПО и автоматизации атак.

Особую роль в выявленных кампаниях играют такие вредоносные семейства, как Mozi, ARL, Cobalt Strike, Mirai и Vshell. Большинство из них активно используются в ботнетах и инструментах для постэксплуатации. Mozi занимает первое место с более чем 9 тысячами уникальных IP-адресов командных серверов, что подтверждает лидерство Китая в сфере IoT-ботнетов.

Интерес вызывает и то, что значительное число атак связано с телекоммуникационной и академической инфраструктурой. Китайская образовательная сеть CERNET, например, была задействована в кампаниях, использующих уязвимость React2Shell для распространения майнеров и вредоносных инструментов удалённого доступа. Это показывает, что высокоскоростные сети научных учреждений также попадают под прицел злоумышленников.

Инфраструктура, управляемая Tencent, особенно активно используется в фишинговых кампаниях, нацеленных, в том числе, на пользователей в Индии. На её IP-адресах размещались сайты, запугивающие владельцев автомобилей судебными исками за неуплату штрафов. Похожая кампания была замечена и на Alibaba Cloud, где распространялся модульный вирус Valley RAT, замаскированный под уведомления налоговой службы.

Кроме массовых угроз, инфраструктура китайских провайдеров применялась и в целенаправленных кампаниях с участием продвинутых группировок. Например, на серверах Quanzhou обнаружены IP-адреса, связанные с операцией BRONZE HIGHLAND. Также зафиксировано использование уязвимости в системе Gogs для развёртывания обратного SSH-доступа с помощью Supershell C2.

Применение хост-ориентированного подхода при анализе подобных угроз позволяет отследить устойчивые схемы и выявить узлы, к которым злоумышленники возвращаются вновь и вновь. Это даёт возможность выстраивать защиту не только против конкретных угроз, но и против всей экосистемы, поддерживающей вредоносную активность.