Исследование сетевой инфраструктуры группы Clop: новые данные о киберпреступном сообществе

Исследование началось с анализа нулевой уязвимости CVE-2025-61882 в Oracle E-Business Suite (EBS), которую группа Clop активно использовала в октябре 2025 года. Oracle опубликовала два IP-адреса, связанных с этой эксплуатацией: 185.181.60.11 (Норвегия) и 200.107.207.26 (Сальвадор). При дальнейшем анализе выяснилось, что сальвадорский IP-адрес имеет тот же цифровой отпечаток (fingerprint), что и 96 других IP-адресов, распределенных по разным странам.

Географический анализ этих IP-адресов показал, что Германия лидирует с 16 адресами, за ней следуют Бразилия (13), Панама (12) и Гонконг (6). Россия находится в конце списка всего с тремя IP-адресами, что свидетельствует о сознательном уходе группы от использования российских сетей после того, как многие организации начали блокировать российские автономные системы (ASN). Однако при анализе провайдеров автономных систем выяснилось, что российские ASN все еще присутствуют в цепочке, просто через промежуточные узлы в других странах.

Наиболее важным открытием стало обнаружение повторного использования инфраструктуры. Из 96 идентифицированных IP-адресов 41 принадлежал к тем же подсетям, которые группа Clop использовала при эксплуатации уязвимости MOVEit в 2023 году. Это указывает на то, что группа продолжает полагаться на проверенную инфраструктуру даже при переходе к новым векторам атак.

Сравнение сетевых активностей группы при разных атаках выявило 37 IP-адресов с высокой степенью доверия, которые использовались как при эксплуатации MOVEit (CVE-2023-34362), так и при атаках на Fortra GoAnywhere (CVE-2023-0669). Географически 59,5% этих адресов расположены в США, 13,5% в Канаде и 8,1% в Нидерландах. Среди хостинг-провайдеров лидируют HZ Hosting Ltd (19,4%), Green Floyd (16,7%) и OVH (13,9%).

Анализ цифровых отпечатков доменов, связанных с группой Clop, таких как pubstorm.com, he1p-me.com и cl-leaks.com, позволил идентифицировать шесть ключевых отпечатков, ассоциированных с инфраструктурой вымогателей. Один из этих отпечатков (f95812cbb46f0a664a8f2200592369b105d17dfe8255054963aac4e2df53df51) связан с 53 IP-адресами, географически распределенными между Бразилией (15,1%), Ираном (13,2%), Ливаном (11,3%), Азербайджаном (9,4%) и Панамой (9,4%).

Исследование подсетей выявило значительное повторное использование определенных сетевых диапазонов. Наиболее часто используемые подсети включают 5.188.86 (14 вхождений), 193.142.30 (12 вхождений), 147.78.46 (10 вхождений) и другие. В общей сложности 77,8% идентифицированных подсетей повторно использовались в разных атаках группы Clop.

Важно отметить, что обнаруженные сетевые паттерны не являются исключительными для группы Clop. В тех же подсетях были замечены активности других вредоносных групп, включая Royal Ransomware, ShadowSyndicate и TrueBot. Это означает, что блокировка целых подсетей может привести к ложным срабатываниям, поскольку эти сети могут использоваться и для легитимных целей.

Для эффективной защиты исследователи рекомендуют организовать мониторинг сетевого трафика из указанных подсетей, создать "серые списки" для наблюдения за подозрительными IP-адресами в реальном времени и обращать внимание на необычное время активности и периодические подключения (beaconing) даже из редко используемых сетей.

Ключевые выводы исследования подтверждают, что группа Clop продолжает использовать те же цифровые отпечатки, что и в 2023 году, демонстрируя приверженность проверенной инфраструктуре. Одновременно наблюдается расширение географического присутствия за счет сетей Ливана, Ирана и Азербайджана. Российский хостинг-провайдер Batterflyai Media Ltd остается значимым игроком в инфраструктуре группы, даже когда конечные IP-адреса географически расположены в других странах.

Группа Clop подтвердила свою репутацию экспертов по эксплуатации последних уязвимостей до выпуска патчей, продолжая адаптировать свои методы и инфраструктуру для обхода систем защиты, сохраняя при этом элементы постоянства в своих операциях.

IPv4

• 100.21.161.34
• 103.214.147.176
• 103.214.147.177
• 103.214.147.178
• 103.214.147.181
• 103.214.147.182
• 103.214.147.187
• 104.200.72.149
• 141.98.82.198
• 141.98.82.242
• 142.44.212.178
• 147.45.112.203
• 147.45.112.205
• 147.45.112.219
• 147.45.112.220
• 147.45.112.231
• 147.45.112.253
• 147.78.46.112
• 147.78.46.115
• 147.78.46.117
• 147.78.46.134
• 147.78.46.163
• 147.78.46.164
• 147.78.46.26
• 147.78.46.69
• 147.78.46.81
• 147.78.46.97
• 147.78.47.178
• 147.78.47.236
• 147.78.47.243
• 148.113.159.213
• 15.235.13.184
• 15.235.83.73
• 166.70.47.90
• 173.254.236.131
• 179.60.145.216
• 179.60.149.223
• 179.60.149.244
• 179.60.149.249
• 179.60.150.121
• 179.60.150.132
• 179.60.150.151
• 185.104.194.134
• 185.117.88.2
• 185.232.67.101
• 185.232.67.15
• 185.33.86.225
• 185.33.87.126
• 185.55.242.97
• 185.80.52.230
• 185.81.113.156
• 185.99.3.99
• 192.42.116.191
• 193.142.30.100
• 193.142.30.134
• 193.142.30.137
• 193.142.30.144
• 193.142.30.165
• 193.142.30.194
• 193.142.30.205
• 193.142.30.242
• 193.142.30.37
• 193.142.30.39
• 193.142.30.66
• 193.142.30.99
• 193.24.211.240
• 193.24.211.242
• 193.24.211.244
• 193.24.211.249
• 193.29.13.150
• 193.29.13.153
• 193.29.13.240
• 194.165.16.113
• 194.165.16.54
• 194.165.16.92
• 194.165.16.93
• 194.34.239.33
• 194.34.239.36
• 194.34.239.44
• 198.137.247.10
• 20.47.120.195
• 200.107.207.102
• 200.107.207.26
• 200.107.207.31
• 208.115.199.25
• 209.222.98.25
• 213.121.182.84
• 216.144.248.20
• 3.101.53.11
• 31.41.33.240
• 31.41.33.241
• 31.41.33.242
• 37.156.246.165
• 37.156.246.166
• 37.156.246.168
• 44.206.3.111
• 45.145.20.212
• 45.156.248.206
• 45.182.189.107
• 45.182.189.109
• 45.182.189.181
• 45.182.189.183
• 45.182.189.194
• 45.182.189.224
• 45.182.189.72
• 45.227.252.199
• 45.227.252.226
• 45.227.253.29
• 45.227.255.214
• 45.227.255.28
• 45.227.255.29
• 45.227.255.31
• 45.227.255.74
• 46.161.27.113
• 46.161.27.155
• 46.161.27.158
• 5.178.1.12
• 5.178.1.13
• 5.178.1.16
• 5.178.1.17
• 5.178.1.19
• 5.178.1.7
• 5.178.1.9
• 5.188.206.214
• 5.188.86.162
• 5.188.86.163
• 5.188.86.184
• 5.188.86.185
• 5.188.86.189
• 5.188.86.205
• 5.188.86.206
• 5.188.86.213
• 5.188.86.217
• 5.188.86.231
• 5.188.86.66
• 5.188.86.70
• 5.188.86.71
• 5.188.86.72
• 5.188.87.35
• 5.188.87.37
• 5.188.87.38
• 5.188.87.39
• 5.188.87.40
• 5.188.87.46
• 5.188.87.49
• 5.34.178.28
• 5.34.178.30
• 5.34.178.31
• 5.34.180.48
• 54.184.187.134
• 54.39.133.41
• 76.117.196.3
• 78.128.112.137
• 78.128.112.138
• 78.128.112.222
• 79.141.160.78
• 81.19.136.231
• 81.19.138.52
• 81.56.49.148
• 82.117.252.141
• 82.117.252.142
• 88.214.25.211
• 88.214.25.213
• 88.214.25.214
• 88.214.25.221
• 88.214.25.228
• 88.214.25.242
• 88.214.25.243
• 88.214.26.25
• 88.214.26.37
• 88.214.26.38
• 88.214.27.172
• 88.214.27.175
• 88.214.27.177
• 88.214.27.179
• 88.214.27.43
• 88.214.27.72
• 91.199.163.59
• 91.199.163.65
• 91.222.174.68
• 91.238.181.229
• 91.238.181.236
• 92.118.36.204
• 92.118.36.249
• 96.44.181.131

Domains

• cl-leaks.com
• goto-pay.com
• he1p-center.com
• he1p-me.com
• in2pay.com
• pubstorm.com
• pubstorm.net