Cloudzy与APT组织的网络犯罪联系

关键要点

• 云端服务提供商 Cloudzy 被指为多个APT组织提供带宽和技术基础设施，涉及国家包括中国、伊朗、朝鲜、俄罗斯、印度、巴基斯坦和越南。
• 尽管Cloudzy声称为美国公司，一项研究表明其实际运营地点可能在伊朗，可能违反美国制裁。
• 研究显示，Cloudzy 曾被一些已受制裁的以色列间谍软件供应商和多个犯罪集团使用。
• 报告中提到的APT组织包括中国的 APT 10、朝鲜的 Kimsuky、俄罗斯的 Nobelium 和 Turla，以及与之关联的网络犯罪团伙。
• Cloudzy CEO Hannan Nozari 反驳了相关指控，认为其公司无法对客户行为负责。

云端服务提供商Cloudzy被指控为来自中国、伊朗、朝鲜、俄罗斯、印度、巴基斯坦和越南的多个APT组织提供带宽和技术基础设施，以支持其勒索软件活动。而根据Halcyon的一篇，研究人员认为，Cloudzy实际上是在伊朗德黑兰运营，这可能违反了美国的制裁。

此外，研究还指出，使用Cloudzy的行为者包括一个受制裁的以色列间谍软件供应商，该公司的工具被知道用于针对平民的攻击，以及多个犯罪互助组织和勒索软件合作方。

深入报告，可以看到“谁是APT组织”的名单，其中包括来自中国的、来自朝鲜的、来自俄罗斯的以及。Halcyon报告中还提到的两个勒索软件合作方分别是GhostClown和Space Kook，使用的是和的勒索软件。

在一篇中，Cloudzy的CEO HannanNozari对Halcyon的指控表示异议，称他的公司无法对客户负责，他估计仅有2%的客户是恶意的。在LinkedIn的交流中，Nozari还提到：“如果你是一家刀具工厂，难道你会对某人滥用刀具负责吗？我非常厌恶那些罪犯，我们会尽一切努力摆脱他们。”

C2P概念在威胁环境中的引入，继续挤压攻击者的阻力。Critical Start的检测工程师IanTodd解释说，这为各技术水平和地理位置的威胁行为者提供了建立、维护和消除攻击基础设施的额外选择，且无需承担与自托管操作相关的责任。Todd表示，这类服务提供商的出现，结合勒索软件即服务和初始访问经纪人，使得恶意组织在进行网络犯罪或网络间谍活动时能够选择多种方案，同时限缩其曝光风险。

“所有规模、能力和来源的威胁行为者都能够使用C2P提供的共享基础设施，这可能使攻击归因变得更加困难。”Todd指出，“然而，一旦识别出像Cloudzy这样的服务提供商，它就可以成为防御者的关注点。研究列出了一些有用的指标，这可能在很大程度上产生积极效果，因为搜索或阻止它们有潜力预防或警报来自多个无关团体的攻击。”

RunSafe Security的首席执行官JoeSaunders补充说，Cloudzy和C2P的存在证明了经济学是如何偏向攻击者的。Saunders表示，低价获取匿名基础设施是网络安全