Глобальная охота за командными серверами: за неделю найдено 63 узла управления атакующих

Работа велась с помощью платформы Censys, которая позволяет быстро находить подключённые к интернету устройства по характерным цифровым отпечаткам. Именно это и позволило выявить инфраструктуру, которую преступники разворачивают для поддержания связи с уже скомпрометированными компьютерами и серверами. Аналитики отмечают, что подобные исследования крайне важны для понимания текущих тенденций в киберугрозах.

Наиболее часто встречающимся инструментом оказался Cobalt Strike - его установки составили 19 из 63 обнаруженных адресов. Этот фреймворк давно стал стандартом де-факто для проведения целевых атак и тестов на проникновение, но в руках злоумышленников он превращается в мощное оружие. На втором месте расположился Havoc с 13 серверами, за ним следуют Mythic (12 серверов), SuperShell (11 серверов), Sliver (7 серверов) и Empire (один сервер). Такое распределение показывает, насколько разнообразны предпочтения атакующих.

География размещения командных центров оказалась весьма широкой. Значительная часть узлов располагалась у крупных облачных провайдеров. Например, несколько адресов принадлежали Amazon Web Services, Alibaba, DigitalOcean, Tencent. Многие серверы размещались в Нидерландах, США, Китае, Германии и Гонконге. Особое внимание привлекли обнаружения на Маврикии - там было найдено три сервера Mythic, подключённых к сети местного провайдера MauritiusTelecom. Как отчёт показывает, злоумышленники активно используют не только крупные хостинги, но и менее ожидаемые юрисдикции, чтобы затруднить блокировку.

Заметна концентрация ряда инфраструктурных объектов внутри одного дата-центра. Так, пять адресов SuperShell были обнаружены в сети POWER LINE DATACENTER в Гонконге - они фиксировались 8 и 9 мая. Это может свидетельствовать о целенаправленной аренде ресурсов для кампании или об одном операторе, управляющем несколькими серверами одновременно. Такая практика усложняет выявление связей между атаками.

Помимо самих панелей управления, в ходе разведки были найдены и другие угрозы. Во-первых, исследователи выявили несколько активных точек распространения вредоносного ПО Lucid Stealer - похитителя данных из браузеров и криптокошельков. Во-вторых, зафиксирована уязвимость, связанная с открытыми директориями, которой присвоен идентификатор CVE-2026-31431. Подобные находки говорят о том, что злоумышленники постоянно ищут новые способы доставки нагрузки или эксплуатации чужих ошибок конфигурации.

Для специалистов по защите информации эта картина означает необходимость постоянного мониторинга внешних IP-адресов, с которыми взаимодействуют корпоративные системы. Если в сети предприятия обнаруживается соединение на один из перечисленных хостов, это почти наверняка свидетельствует о заражении. Помимо того, облачные службы, на которых развёрнуты командные сервера, часто не знают о криминальном использовании своих ресурсов. Им стоит внедрять более тщательную проверку новых клиентов и мониторинг аномального трафика.

Цифры этой недели напоминают, что рынок инструментов для удалённого управления заражёнными системами остаётся насыщенным. Атакующие быстро осваивают новые фреймворки, такие как Havoc или Mythic, которые по функциональности не уступают классическому Cobalt Strike, но сложнее детектируются. Пока операторы SOC (центров мониторинга и реагирования на инциденты) будут продолжать следить за публичной инфраструктурой, преступникам станет сложнее сохранять свои каналы связи незамеченными. Только комплексный подход, объединяющий разведку по открытым источникам, анализ трафика и своевременное обновление сигнатур, способен дать достойный отпор этим угрозам.

IPv4

• 1.92.101.103
• 102.117.165.194
• 102.117.166.72
• 102.117.172.255
• 103.247.11.53
• 103.97.176.69
• 106.75.31.247
• 114.132.190.121
• 129.211.2.123
• 13.51.79.99
• 144.172.116.11
• 144.48.124.90
• 144.48.124.91
• 144.48.124.92
• 144.48.124.93
• 144.48.124.94
• 152.42.219.80
• 154.94.233.234
• 157.230.125.65
• 158.101.210.229
• 162.141.136.164
• 165.154.22.163
• 167.99.51.2
• 170.64.177.194
• 172.238.122.85
• 172.245.152.57
• 193.112.165.165
• 193.233.161.109
• 194.37.80.126
• 195.63.137.242
• 204.194.55.210
• 208.123.119.232
• 3.12.57.9
• 3.127.151.31
• 3.19.238.211
• 3.88.6.51
• 34.155.134.233
• 38.147.170.246
• 4.234.178.97
• 43.128.27.124
• 43.138.186.157
• 43.156.175.5
• 44.201.9.76
• 45.10.164.177
• 45.38.20.118
• 46.151.182.66
• 47.116.190.70
• 54.216.110.53
• 62.171.190.148
• 64.176.36.41
• 65.21.153.192
• 77.93.155.111
• 78.17.70.209
• 8.136.97.98
• 8.218.254.115
• 80.211.196.157
• 80.78.30.62
• 82.156.219.31
• 82.165.79.60
• 84.46.243.167
• 89.124.120.221
• 91.211.251.245
• 92.112.126.10

URLs

• http://151.243.24.253:3001/
• http://31.57.97.62
• http://85.239.155.68:3001/