Главная страница » Индикаторы компрометации
0
5 часов
Индикаторы компрометации

C2-серверы по всему миру: исследователи зафиксировали всплеск активности командных инфраструктур в Азии

information security

Еженедельный мониторинг глобальной инфраструктуры управления атаками выявил 75 уникальных серверов, используемых злоумышленниками. Большинство из них сконцентрировано в Азиатско-Тихоокеанском регионе, а самым популярным инструментом остаётся Cobalt Strike.

Описание

С 11 по 17 мая 2026 года группа исследователей провела масштабный анализ инфраструктуры, развёрнутой в открытом интернете. Используя возможности поискового сервиса Censys, специалисты идентифицировали 75 уникальных IP-адресов, на которых работают серверы класса C2 (Command and Control - командные центры для управления заражёнными устройствами). Эти системы служат ключевым элементом любой кибератаки: именно через них злоумышленники отдают команды вредоносному ПО, похищают данные и закрепляются в скомпрометированных сетях.

Мониторинг охватывал семь популярных фреймворков, которые хакеры используют для построения таких инфраструктур: Cobalt Strike, SuperShell, Mythic, Sliver, Havoc, Empire и NimPlant. Каждый из них позволяет атакующим гибко управлять ботами, скрывать трафик и обходить средства защиты. Лидером по числу обнаруженных серверов стал Cobalt Strike - на него пришёлся 31 экземпляр. Это неудивительно: данный инструмент давно признан де-факто стандартом в среде киберпреступников, несмотря на попытки правоохранителей пресекать его распространение. На втором месте оказался Havoc с 15 серверами, за ним следуют Sliver (11), Mythic (9), Empire (5) и SuperShell (4).

Особое внимание привлекает география размещения этих командных центров. Значительная доля серверов Cobalt Strike базируется на мощностях китайских провайдеров - Tencent и Alibaba, а также в Гонконге, где работает множество офшорных хостинговых компаний. Например, семь адресов принадлежат сети Yancy Limited, зарегистрированной в Гонконге. Ещё несколько IP-адресов находятся в материковом Китае, в частности на инфраструктуре China Unicom. Такая концентрация не случайна: злоумышленники часто выбирают юрисдикции с менее строгим регулированием или возможностью быстро арендовать ресурсы без проверки личности.

Американские облачные платформы также активно используются: DigitalOcean, Amazon Web Services и HostPapa попали в список. Однако на этот раз европейские дата-центры, такие как Hetzner в Германии, Contabo во Франции или Scaleway во Франции, проявили себя умеренно. Примечательно, что два сервера Havoc были развёрнуты на мощностях Microsoft Corporation в Канаде, а один экземпляр Empire - на инфраструктуре Microsoft в Швеции. Это показывает, что даже крупнейшие корпорации не застрахованы от того, что их облачные ресурсы могут быть использованы в преступных целях - при условии, что злоумышленники соблюдают минимальную маскировку.

В своём отчёте исследователи раскрыли не только общую статистику, но и конкретные адреса вредоносных панелей. Помимо классических командных серверов, они обнаружили несколько активных панелей для управления стилерами - специализированными программами-похитителями данных. Речь идёт о таких образцах, как Sigma Stealer, Ask Stealer, 751 Stealer, Nyxar Stealer и Signature Stealer. Эти вредоносные программы нацелены на кражу учётных данных, файлов cookie и криптовалютных кошельков. Например, панель Ask Stealer располагалась по адресу "hxxp://54.227.170[.]100/dashboard", а Nyxar Stealer - на IP "194.163.148[.]133". Образцы последних двух уже загружены на VirusTotal, что даёт сообществу ИБ-специалистов возможность детально изучить их поведение.

Важно понимать, что стилеры - сегодня один из самых массовых классов угроз. Они продаются на подпольных форумах как услуга (Malware-as-a-Service), и любой желающий может арендовать такую панель для атаки. Наличие собственной инфраструктуры для управления ими говорит о том, что операторы вложили ресурсы в долгосрочную кампанию, а не в разовую рассылку.

Для специалистов по защите эти данные - ценный источник индикаторов компрометации. IP-адреса из списка можно немедленно внести в чёрные списки на межсетевых экранах и в системах обнаружения вторжений. Однако не стоит забывать о временном характере такой информации: злоумышленники часто меняют серверы после первых месяцев активности. Поэтому ключевым выводом становится не столько конкретный перечень адресов, сколько понимание ландшафта угроз. Cobalt Strike остаётся королём среди инструментов управления, а Азия - главной площадкой для размещения командной инфраструктуры. Компаниям, которые ведут бизнес с партнёрами в этом регионе или используют азиатские облачные сервисы, стоит усилить мониторинг трафика и обратить внимание на аномальные исходящие соединения.

Финансовые последствия таких атак могут быть катастрофическими. Утечка корпоративных данных из-за стилера, управляемого через Havoc или Sliver, способна остановить производство на несколько дней. А если злоумышленники закрепятся в сети, потребуется дорогостоящий форензический анализ. Лучшая защита - проактивный поиск угроз и регулярное обновление баз индикаторов, основанных на свежих исследованиях.

Индикаторы компрометации

IPv4

  • 101.43.29.69
  • 102.117.171.180
  • 102.117.174.69
  • 103.242.12.143
  • 103.48.133.143
  • 103.48.133.145
  • 103.48.133.153
  • 104.236.69.171
  • 104.248.203.61
  • 107.173.186.7
  • 107.175.148.68
  • 113.31.115.231
  • 124.220.6.158
  • 129.121.103.40
  • 13.60.154.188
  • 130.12.180.141
  • 137.184.102.191
  • 139.226.191.247
  • 151.243.109.146
  • 154.93.103.232
  • 156.234.20.19
  • 156.234.65.182
  • 158.94.173.11
  • 160.22.28.230
  • 160.250.128.197
  • 161.35.201.249
  • 161.97.185.123
  • 165.154.236.119
  • 165.154.24.229
  • 165.245.143.128
  • 167.71.131.160
  • 168.222.97.93
  • 172.174.90.104
  • 173.199.92.245
  • 183.63.173.29
  • 186.120.214.158
  • 191.101.131.244
  • 194.163.154.86
  • 195.114.193.56
  • 198.23.209.222
  • 198.46.210.102
  • 2.26.96.209
  • 20.220.29.224
  • 206.81.21.156
  • 207.148.2.115
  • 213.209.159.254
  • 216.238.77.60
  • 36.255.197.120
  • 42.193.244.172
  • 43.106.14.139
  • 43.132.129.236
  • 43.143.145.187
  • 43.254.167.135
  • 44.215.161.149
  • 45.131.186.93
  • 45.142.107.41
  • 45.202.249.88
  • 45.90.120.36
  • 45.92.1.111
  • 46.20.109.225
  • 47.102.184.26
  • 47.122.118.104
  • 47.236.91.172
  • 47.82.234.12
  • 47.99.93.43
  • 52.15.111.251
  • 52.15.149.177
  • 62.210.214.18
  • 64.90.1.146
  • 65.20.77.227
  • 78.46.218.104
  • 85.120.252.124
  • 91.134.139.176
  • 91.197.97.122
  • 94.237.84.78

URLs

  • http://192.253.234.96:4040/login
  • http://2.26.53.56:3000
  • https://172.239.129.158/login
  • https://194.163.148.133

Комментарии: 0
Похожие записи
0
19.10.2023
Индикаторы компрометации

Атака на пользователей Notepad++ через вредоносную рекламу в поисковой выдаче Google

security
Угроза направлена на Notepad++, популярный текстовый редактор для Windows, а также на аналогичные программы, такие как PDF-конвертеры. На изображении ниже представлен коллаж из вредоносных рекламных объявлений, которые мы наблюдали в последнее время.
0
12.11.2025
Индикаторы компрометации

Киберразведка выявила активность хакерских инфраструктур в Японии

information security
Специалисты по кибербезопасности провели еженедельное расследование угроз, сфокусированное на выявлении вражеской инфраструктуры в Японии. В рамках исследования, охватившего период с 27 октября по 2 ноября
0
16.07.2022
Индикаторы компрометации

Cobalt Strike Beacon IOCs - Part 3

security
CERT-UA получена информация о распространении 05.07.2022 электронных писем по теме "Спеціалізованої прокуратури увійськовій та оборонній сфері. Інформація щодо наявності вакансій та їх укомплектування"
0
19.03.2025
Индикаторы компрометации

Обнаружена массовая эксплуатация критической уязвимости PHP-CGI по всему миру

security
Злоумышленники устанавливают маяки Cobalt Strike и используют инструмент TaoWu для постэксплуатационных действий. Атака распространена в регионах, таких как США, Сингапур, Индонезия, Великобритания, Испания и Индия.