Фальшивый Starlink, атака на польскую энергетику и ИИ для взлома AWS. Аналитики Hunt.io составили карту вредоносной экосистемы ближневосточных сетей
NewsMakerАтакующим всё чаще помогает не маскировка, а чужая привычка ничего не замечать.
В ближневосточных сетях зафиксировали резкий рост вредоносной инфраструктуры. За три месяца специалисты Hunt.io обнаружили более 1350 C2-серверов, размещённых в сетях 98 провайдеров и телеком-компаний региона. Анализ показал, что злоумышленники всё чаще используют не отдельные заражённые узлы, а целые сети крупных операторов связи и облачных площадок, превращая инфраструктуру региона в удобную базу для кибератак.
Наибольшую концентрацию серверов управления обнаружили в сети саудовского оператора STC. На инфраструктуру компании пришёлся 981 C2 -сервер, что составляет почти три четверти всех выявленных узлов в регионе. Авторы исследования считают, что злоумышленники, вероятно, используют заражённые устройства клиентов, а не собственные ресурсы оператора.
В пятёрку провайдеров с самой высокой активностью также вошли SERVERS TECH FZCO из ОАЭ, израильская OMC, турецкий Türk Telekom и иракская Regxa Company for Information Technology Ltd. По данным Hunt.io, часть компаний слабо реагирует на злоупотребления внутри собственных сетей, а некоторые принимают оплату криптовалютой и соответствуют признакам так называемого абузоустойчивого хостинга.
Почти 97% всей найденной активности составили серверы управления вредоносным ПО. Фишинговые сайты и открытые каталоги с вредоносными файлами встречались значительно реже. Среди наиболее распространённых семейств оказались Tactical RMM, Keitaro, Acunetix, AsyncRAT, Sliver, Cobalt Strike и Mirai. Отдельное внимание аналитики уделили ботнетам Hajime и Mozi, активно заражающим IoT -устройства в регионе.
Исследование также выявило связь ближневосточной инфраструктуры с масштабными кампаниями последних месяцев. В Сирии нашли узлы ботнета Phorpiex, распространявшего майнеры и шифровальщик LockBit Black. На серверах иракской Regxa обнаружили инфраструктуру группы Eagle Werewolf, атаковавшей государственные и промышленные организации через фальшивые страницы регистрации Starlink и Telegram-каналы.
Кроме того, в регионе выявили инфраструктуру деструктивной кампании DYNOWIPER против энергетического сектора Польши, фишинговые операции под видом облачных сервисов, а также активность ботнета RondoDox, ежедневно проводившего до 15 тысяч попыток эксплуатации уязвимостей. Египетский провайдер TE Data фигурировал в расследовании атаки на AWS, в ходе которой злоумышленники использовали инструменты искусственного интеллекта для ускорения взлома облачной инфраструктуры.
Авторы отчёта считают, что концентрация C2-серверов у ограниченного числа провайдеров меняет подход к защите. Вместо бесконечной блокировки отдельных IP-адресов и доменов аналитики предлагают отслеживать целые сети, ASN и инфраструктурные площадки, которые злоумышленники используют повторно.
В ближневосточных сетях зафиксировали резкий рост вредоносной инфраструктуры. За три месяца специалисты Hunt.io обнаружили более 1350 C2-серверов, размещённых в сетях 98 провайдеров и телеком-компаний региона. Анализ показал, что злоумышленники всё чаще используют не отдельные заражённые узлы, а целые сети крупных операторов связи и облачных площадок, превращая инфраструктуру региона в удобную базу для кибератак.
Наибольшую концентрацию серверов управления обнаружили в сети саудовского оператора STC. На инфраструктуру компании пришёлся 981 C2 -сервер, что составляет почти три четверти всех выявленных узлов в регионе. Авторы исследования считают, что злоумышленники, вероятно, используют заражённые устройства клиентов, а не собственные ресурсы оператора.
В пятёрку провайдеров с самой высокой активностью также вошли SERVERS TECH FZCO из ОАЭ, израильская OMC, турецкий Türk Telekom и иракская Regxa Company for Information Technology Ltd. По данным Hunt.io, часть компаний слабо реагирует на злоупотребления внутри собственных сетей, а некоторые принимают оплату криптовалютой и соответствуют признакам так называемого абузоустойчивого хостинга.
Почти 97% всей найденной активности составили серверы управления вредоносным ПО. Фишинговые сайты и открытые каталоги с вредоносными файлами встречались значительно реже. Среди наиболее распространённых семейств оказались Tactical RMM, Keitaro, Acunetix, AsyncRAT, Sliver, Cobalt Strike и Mirai. Отдельное внимание аналитики уделили ботнетам Hajime и Mozi, активно заражающим IoT -устройства в регионе.
Исследование также выявило связь ближневосточной инфраструктуры с масштабными кампаниями последних месяцев. В Сирии нашли узлы ботнета Phorpiex, распространявшего майнеры и шифровальщик LockBit Black. На серверах иракской Regxa обнаружили инфраструктуру группы Eagle Werewolf, атаковавшей государственные и промышленные организации через фальшивые страницы регистрации Starlink и Telegram-каналы.
Кроме того, в регионе выявили инфраструктуру деструктивной кампании DYNOWIPER против энергетического сектора Польши, фишинговые операции под видом облачных сервисов, а также активность ботнета RondoDox, ежедневно проводившего до 15 тысяч попыток эксплуатации уязвимостей. Египетский провайдер TE Data фигурировал в расследовании атаки на AWS, в ходе которой злоумышленники использовали инструменты искусственного интеллекта для ускорения взлома облачной инфраструктуры.
Авторы отчёта считают, что концентрация C2-серверов у ограниченного числа провайдеров меняет подход к защите. Вместо бесконечной блокировки отдельных IP-адресов и доменов аналитики предлагают отслеживать целые сети, ASN и инфраструктурные площадки, которые злоумышленники используют повторно.