Triad Nexus 网络犯罪行动通过主要云服务提供商规避制裁

执行摘要

被称为Triad Nexus的网络犯罪集团系统性地滥用主要的云和托管服务提供商，创建一个弹性的、能够抵抗制裁的基础设施，用于进行勒索软件、数据盗窃和金融欺诈。通过这些合法服务运营，该集团将其行动与受国际制裁的实体隔离开来，使执法部门的干预变得复杂，并在全球范围内使持续的犯罪活动成为可能。

技术分析

Triad Nexus运营着一个复杂、分层的基础设施，旨在混淆视听和持久存在。根据SecurityWeek引用的分析，该集团并不依赖传统的防弹托管服务。相反，它策略性地使用全球主要云服务提供商、域名注册商和内容分发网络（CDN）的账户。这种方法提供了几个优势：它赋予了合法的外观，使得基础设施更难被归因和列入黑名单，并利用了提供商自己的网络和安全声誉。

该操作的核心技术方法涉及将这些服务用作代理或前端节点。恶意流量和命令与控制（C2）通信通过这些信誉良好的平台路由，掩盖了攻击的真实来源和最终目的地。这种基础设施即服务（IaaS）模型允许Triad Nexus快速部署和撤销攻击组件，同时保持与底层恶意活动一定程度的分离。

入侵指标

目前尚未识别出任何入侵指标。公开报告尚未发布与Triad Nexus活跃基础设施相关的特定IP地址、域名或文件哈希值。该集团使用主要云服务提供商的临时资源，使得静态IOCs不太可靠，且在不造成对合法用户的伤害的情况下更难发布。

战术、技术与程序

Triad Nexus采用类似合法软件即服务（SaaS）模型的商业化方法进行网络犯罪。他们的主要TTPs包括：

• **基础设施混淆：**大量使用顶级云和托管服务提供商的账户来托管钓鱼页面、恶意软件负载和C2服务器。
• **逃避制裁：**故意选择不受与已知网络犯罪托管实体相同制裁的基础设施提供商和服务转售商，确保金融交易和运营可以继续。
• **服务多样化：**利用包括域名隐私服务、CDN和来自可信证书颁发机构的SSL证书在内的广泛辅助服务，增强恶意域名的合法性。
• **分隔化：**保持基础设施管理团队与租用访问权限进行攻击的最终用户（其他网络犯罪分子）之间的分离，降低运营风险。

威胁行为者背景

Triad Nexus被认为是一个总部位于中国的网络犯罪组织。它主要作为其他威胁行为者的**基础设施即服务（IaaS）**提供商。该集团不一定亲自进行最终的勒索软件或数据盗窃攻击，而是通过构建和出租必要的数字基础设施来使它们成为可能。这种商业模式使其能够从广泛的犯罪活动中获利，同时专门解决创建耐用、难以追踪的基础设施的技术挑战。他们专注于逃避国际制裁，是一个定义性特征，表明对地缘政治和执法压力有着复杂的理解。

缓解措施与建议

防御利用这种类型基础设施的威胁需要关注行为和身份而非静态封锁。

• **增强云监控：**组织应实施严格的日志记录和异常检测，针对出站连接到云服务，寻找表明C2流量的模式（例如，从意外的内部主机定期向AWS、Azure或Google Cloud IP发出的信标）。
• **网络分段：**采用健壮的网络分段以限制可能回拨到看似合法云域的恶意软件的传播。
• **证书检查：**在政策允许的情况下执行TLS/SSL检查，以检查加密流量中的恶意内容，即使它的目标是主要的CDN或云域。
• **威胁情报Feeds：**整合基于行为模式和注册元数据追踪恶意基础设施的情报Feeds，而不仅仅基于IP或域名声誉。
• **用户意识：**继续进行钓鱼意识培训，因为这些活动通常源自Triad Nexus提供的基础设施，并且由于托管在信誉良好的平台上，可能看起来更可信。