Halcyon指控Cloudzy替逾20個駭客組織提供C2服務

資安業者Halcyon本周揭露，駭客生態體系中出現了一個新產業，有眾多的駭客組織利用同一家虛擬私有伺服器（Virtual Private Server，VPS）供應商的服務來充當命令暨控制伺服器，其中，成立於美國，卻在伊朗經營的Cloudzy便至少服務來自全球的逾20個駭客組織。

Cloudzy在美國、歐洲及亞洲建立了15個資料中心以提供VPS服務，光是美國就占了10個，他們支援Windows與Linux平臺，也支援遠端桌面協定（RDP），還支援外匯交易，官網首頁就直接列出了VPS價目表，而且得以加密貨幣支付。

Halcyon說，傳統的勒索軟體即服務（Ransomware as a Service，RaaS）領域由不同的產業組成，從負責滲透被駭網路的Initial Access Broker（IAB）、專門建置勒索軟體服務的RaaS供應商，以及真正執行攻擊的RaaS聯盟夥伴，而現在則新增了諸如Cloudzy的控制暨命令供應商（Command-and-Control Provider，C2P），這些供應商可能是無心，也可能是有意提供相關服務予全球的駭客組織。

Halcyon是在調查Ghost Clown與Space Kook兩個新興RaaS攻擊事件時，察覺他們都使用了Cloudzy服務來充當命令暨控制伺服器，進一步分析後發現，Cloudzy先前即是眾多駭客組織的C2P，包括勒索軟體集團UNC2352與FIN12，組織型犯罪集團TA505，以色列間諜軟體公司Candiru，以及來自中國、印度、伊朗、北韓、巴基斯坦、俄羅斯及越南的17個國家級APT駭客組織。

此外，根據Halcyon的估計，由Cloudzy代管的伺服器中，大約有4成到6成直接支援潛在的惡意行動，而Cloudzy的費用不僅便宜，容易使用，而且只需要一個電子郵件信箱，不需認證用戶身分，完全符合駭客的需求。

於是Halcyon公布了與Cloudzy有關的網路入侵指標（IOC），以便在環境中出現相關的RDP主機名稱時，察覺各種惡意行為。