rawpixel
資安業者Halcyon本周揭露,駭客生態體系中出現了一個新產業,有眾多的駭客組織利用同一家虛擬私有伺服器(Virtual Private Server,VPS)供應商的服務來充當命令暨控制伺服器,其中,成立於美國,卻在伊朗經營的Cloudzy便至少服務來自全球的逾20個駭客組織。
Cloudzy在美國、歐洲及亞洲建立了15個資料中心以提供VPS服務,光是美國就占了10個,他們支援Windows與Linux平臺,也支援遠端桌面協定(RDP),還支援外匯交易,官網首頁就直接列出了VPS價目表,而且得以加密貨幣支付。
Halcyon說,傳統的勒索軟體即服務(Ransomware as a Service,RaaS)領域由不同的產業組成,從負責滲透被駭網路的Initial Access Broker(IAB)、專門建置勒索軟體服務的RaaS供應商,以及真正執行攻擊的RaaS聯盟夥伴,而現在則新增了諸如Cloudzy的控制暨命令供應商(Command-and-Control Provider,C2P),這些供應商可能是無心,也可能是有意提供相關服務予全球的駭客組織。
Halcyon是在調查Ghost Clown與Space Kook兩個新興RaaS攻擊事件時,察覺他們都使用了Cloudzy服務來充當命令暨控制伺服器,進一步分析後發現,Cloudzy先前即是眾多駭客組織的C2P,包括勒索軟體集團UNC2352與FIN12,組織型犯罪集團TA505,以色列間諜軟體公司Candiru,以及來自中國、印度、伊朗、北韓、巴基斯坦、俄羅斯及越南的17個國家級APT駭客組織。
此外,根據Halcyon的估計,由Cloudzy代管的伺服器中,大約有4成到6成直接支援潛在的惡意行動,而Cloudzy的費用不僅便宜,容易使用,而且只需要一個電子郵件信箱,不需認證用戶身分,完全符合駭客的需求。
於是Halcyon公布了與Cloudzy有關的網路入侵指標(IOC),以便在環境中出現相關的RDP主機名稱時,察覺各種惡意行為。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19