T1584: КОМПРОМЕТАЦІЯ ІНФРАСТРУКТУРИ
Зловмисники захоплюють сторонню інфраструктуру (сервери, домени, мережеві пристрої, DNS-сервіси) для використання у своїх цілях. Замість оренди чи купівлі, вони зламують чужі ресурси, що дозволяє їм маскувати шкідливий трафік під легітимний, використовуючи довіру до скомпрометованих сайтів з високою репутацією.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть компрометувати сторонню інфраструктуру, яка згодом буде використана під час вибору цілей. Інфраструктурні рішення включають фізичні або хмарні сервери, домени, мережеві пристрої, а також сторонні веб- та DNS-сервіси. Замість того, щоб купувати або орендувати ресурси, зловмисник може захопити їх силоміць та використовувати на різних етапах свого життєвого циклу. Крім того, зловмисники можуть зламувати численні машини для створення ботнету.
Використання зламаної інфраструктури дозволяє зловмисникам готувати, запускати та виконувати операції. Це допомагає шкідливій активності змішуватися з нормальним трафіком, наприклад, через взаємодію з сайтами, що мають високу репутацію або є довіреними. Наприклад, зловмисники можуть використовувати зламані ресурси (потенційно в поєднанні з цифровими сертифікатами) для підтримки кампаній зі збору інформації або фішингу. Також вони можуть компрометувати пристрої для підтримки проксі-сервісів або формування ботнетів. Крім того, можливе захоплення інфраструктури, що знаходиться в безпосередній близькості до цілі, для отримання початкового доступу через Wi-Fi мережі.
Використовуючи скомпрометовану інфраструктуру, зловмисники забезпечують собі можливість проведення подальших шкідливих операцій. Перед початком атаки на основну ціль вони також можуть захоплювати інфраструктуру інших хакерських угруповань.