Киберразведка обнаружила семь вредоносных серверов в Японии

Все идентифицированные IP-адреса были помечены системой Censys как C2-серверы (Command and Control), что означает их использование для удаленного управления скомпрометированными системами. Географическое расположение инфраструктуры в Японии может указывать на целенаправленные атаки против организаций в этом регионе или использование местных хостинг-провайдеров для маскировки истинного местоположения злоумышленников.

Среди обнаруженных угроз наибольший интерес представляет Brute Ratel C4 - относительно новый инструмент для кибератак, который позиционируется как "усовершенствованная альтернатива" известному фреймворку Cobalt Strike. Его обнаружение свидетельствует о том, что злоумышленники активно обновляют свой арсенал, чтобы обходить традиционные средства защиты. Аналогичную озабоченность вызывает выявление сервера Sliver - открытого фреймворка для администрирования, который часто используется красными командами для тестирования защищенности, но может применяться и злонамеренными акторами.

Другие обнаруженные типы вредоносного программного обеспечения включают AsyncRAT, DcRat, Octopus, GHOST и NetSupportManager RAT 8. Каждый из этих инструментов обладает уникальными характеристиками. Например, NetSupportManager изначально является легитимной программой удаленного администрирования, но часто перепрофилируется киберпреступниками для несанкционированного доступа. Между тем GHOST представляет собой полнофункциональный бэкдор с возможностями кражи данных и выполнения произвольных команд.

Инфраструктурный анализ показал интересное распределение по хостинг-провайдерам. Три сервера размещались в облачной инфраструктуре Amazon (AMAZON-02), что подчеркивает тенденцию злоумышленников использовать надежные облачные платформы для маскировки своей деятельности. Остальные серверы были распределены между провайдерами VMISS, KAMATERA, Evoxt Enterprise и Naruto. Такой разнородный выбор хостинга усложняет блокировку вредоносной активности.

Даты обнаружения показывают, что большинство серверов стали активными в конце отчетного периода. Пять из семи инцидентов были зафиксированы 8-9 ноября, что может указывать либо на активизацию злоумышленников, либо на улучшение детектирующих возможностей системы мониторинга. Примечательно, что только один сервер был обнаружен 5 ноября, а по два инцидента пришлось на 6 и 7 ноября.

Эксперты отмечают, что использование множества различных C2-фреймворков одновременно может свидетельствовать о деятельности нескольких независимых групп злоумышленников или о сознательной стратегии диверсификации инструментов для повышения устойчивости операций. Подобный подход значительно осложняет работу специалистов по кибербезопасности, поскольку требует глубокого понимания множества различных технологий и тактик.

Обнаружение подобной инфраструктуры на ранней стадии позволяет организациям предпринять упреждающие меры защиты. В частности, рекомендуется добавить выявленные IP-адреса в черные списки систем защиты периметра, обновить сигнатуры систем обнаружения вторжений (IDS) и профилактики вторжений (IPS), а также провести проверку сетевых логов на предмет подозрительных соединений с указанными адресами.

Данное исследование демонстрирует важность постоянного мониторинга интернет-инфраструктуры для выявления киберугроз на ранних стадиях. Хотя семь серверов могут показаться незначительным числом, каждый из них потенциально мог управлять сотнями или даже тысячами скомпрометированных систем. Своевременное обнаружение и нейтрализация таких угроз критически важны для предотвращения масштабных киберинцидентов, включая утечки конфиденциальных данных и атаки программ-вымогателей (ransomware).

IPv4

• 103.125.219.16
• 206.237.120.45
• 23.249.20.52
• 23.27.169.36
• 52.195.10.170
• 54.92.90.78
• 54.95.111.44