75 серверов управления атакующих выявлено за неделю: Cobalt Strike и Mythic делят лидерство

Согласно опубликованному отчёту, 22 сервера работали под управлением Mythic, ещё 22 - на базе Cobalt Strike. Эти два инструмента занимают лидирующие позиции среди средств, зафиксированных в ходе мониторинга. Далее следуют Havoc (14), Sliver (9), SuperShell (4), NimPlant и Empire (по 2). Важно отметить, что Cobalt Strike - коммерческий инструмент для тестирования на проникновение, но его часто применяют злоумышленники благодаря гибкости и обилию готовых модулей. Mythic, Sliver и Havoc - открытые или полуоткрытые проекты, которые позволяют настраивать каналы связи, шифровать трафик и обходить защиту. Их популярность объясняется доступностью и широкими возможностями кастомизации.

География размещения серверов охватывает практически все регионы мира. Значительная часть узлов приходится на США, Китай, Европу и Юго-Восточную Азию. Провайдерами услуг выступают крупные облачные платформы (DigitalOcean, Amazon, Microsoft Azure) и менее известные хостинг-компании из Гонконга, Маврикия и Сейшельских островов. Это показывает, что злоумышленники активно используют легитимные ресурсы для маскировки своей активности. Например, несколько серверов Cobalt Strike зафиксированы в инфраструктуре китайских провайдеров (Alibaba, Tencent), а Mythic часто встречается у маврикийского оператора MauritiusTelecom.

Наличие такого количества C2-узлов говорит о высокой активности кибергрупп по всему миру. Каждый из них может обслуживать десятки или сотни заражённых машин. Особую опасность представляют серверы, расположенные в юрисдикциях со слабым регулированием, таких как Гонконг, Маврикий и Сейшелы. Для организаций это означает повышенный риск утечки данных, шифрования файлов программами-вымогателями и остановки бизнес-процессов. Кроме того, авторы исследования параллельно проверили поисковые сервисы Censys и Shodan на наличие панелей управления инфостилеров. Они выявили два подозрительных хоста: IP 209.38.29[.]222, связанный с 365-Stealer, и IP 13.113.170[.]39, ассоциируемый с Cookie Stealer. Это указывает на прямую связь между C2-инфраструктурой и кражей учётных данных через вредоносное ПО-похититель.

Специалистам по безопасности стоит обратить внимание на обнаруженные IP-адреса и заблокировать исходящий трафик к ним на уровне межсетевых экранов. Внедрение многофакторной аутентификации и сегментация сетей помогут снизить риски даже в случае успешного заражения. Регулярный мониторинг публично доступных поисковиков интернета вещей, таких как Censys и Shodan, позволяет своевременно выявлять новые командные серверы и предотвращать атаки на ранних этапах.

IPv4

• 101.35.214.58
• 102.117.166.225
• 102.117.168.238
• 102.117.172.182
• 102.117.172.87
• 102.117.174.170
• 103.253.145.7
• 104.143.39.243
• 104.168.117.123
• 107.174.186.78
• 107.175.189.195
• 107.189.25.138
• 109.172.95.76
• 111.228.4.54
• 124.158.5.149
• 13.113.170.39
• 134.122.162.29
• 134.122.99.247
• 134.199.247.62
• 139.224.67.220
• 144.172.94.81
• 150.107.31.116
• 151.241.88.172
• 154.38.116.247
• 154.89.151.212
• 154.89.152.200
• 154.9.227.191
• 156.239.47.94
• 157.245.246.87
• 159.65.231.200
• 162.243.161.245
• 167.114.129.165
• 167.99.151.149
• 172.105.183.234
• 172.187.216.197
• 178.104.207.89
• 178.105.40.204
• 178.236.252.194
• 18.202.82.80
• 185.234.69.58
• 188.213.28.84
• 192.227.232.124
• 192.3.98.166
• 194.110.174.166
• 199.68.217.18
• 202.181.24.236
• 203.91.76.57
• 204.194.49.7
• 207.180.211.5
• 209.38.29.222
• 216.106.186.80
• 217.28.130.143
• 3.84.192.200
• 34.229.39.193
• 34.243.42.116
• 38.180.90.246
• 40.83.75.96
• 45.149.154.220
• 45.192.193.131
• 45.82.121.253
• 46.149.67.126
• 47.94.162.43
• 5.196.89.129
• 51.161.145.1
• 52.212.107.232
• 52.212.20.160
• 52.91.63.153
• 62.4.0.66
• 63.180.241.19
• 64.118.135.172
• 64.227.100.207
• 77.83.36.163
• 80.97.124.73
• 82.156.62.131
• 87.106.187.97
• 89.147.108.161
• 94.142.141.252