Эксперты по кибербезопасности в ходе еженедельного исследования угроз выявили на территории Японии две активные командно-контрольные сервера (C2), используемые злоумышленниками для организации кибератак. Мониторинг проводился с 10 по 16 ноября 2025 года с помощью платформы Censys, специализирующейся на сканировании интернет-инфраструктуры.
Описание
Обнаруженные серверы относятся к известным фреймворкам для пентеста и кибератак. В частности, один сервер идентифицирован как Sliver - открытый инструмент для администрирования, часто используемый для создания бэкдоров. Второй сервер маркирован как Cobalt Strike - коммерческий продукт для тестирования на проникновение, который активно эксплуатируется киберпреступниками в зловредных целях. Оба инструмента предоставляют злоумышленникам возможности удаленного управления скомпрометированными системами, загрузки вредоносных полезных нагрузок (payload) и обеспечения устойчивости (persistence) в сети жертвы.
Инфраструктура размещена в автономных системах, связанных с хостинг-провайдерами. Сервер Sliver зарегистрирован в AS-VULTR (ASN 20473), что указывает на использование услуг глобального хостинг-провайдера Vultr. Сервер Cobalt Strike размещен в сети CTG Server Limited (ASN 152194). Подобный выбор инфраструктуры позволяет злоумышленникам маскировать свою активность под легитный трафик и усложнять атрибуцию атак.
Обнаружение подобных серверов на территории Японии может свидетельствовать о нескольких сценариях. Во-первых, злоумышленники могли выбрать японские хосты для атак на локальные организации, рассчитывая на меньшее внимание со стороны международных служб безопасности. Во-вторых, инфраструктура может быть частью более масштабной кампании, нацеленной на регион Азии. При этом сам факт использования коммерческих C2-фреймворков говорит о профессионализме операторов.
Эксперты отмечают, что инструменты класса Cobalt Strike и Sliver представляют серьезную угрозу, поскольку их трафик сложно отличить от легитного. Более того, они регулярно обновляются, чтобы обходить средства защиты. Например, Brute Ratel C4 - еще один упомянутый в контексте инструмент - известен своими мощными возможностями обхода систем обнаружения вторжений (IDS).
Для противодействия таким угрозам специалисты рекомендуют организациям внедрять комплексные меры безопасности. В частности, необходимо регулярно мониторить сетевую активность на предмет аномалий, использовать системы предотвращения вторжений (IPS) и применять подход Threat Intelligence для получения актуальных данных об угрозах. Кроме того, эффективным методом остается блокировка взаимодействия с известными C2-серверами на уровне сетевых экранов.
Данное исследование демонстрирует важность проактивного поиска угроз. Активное сканирование интернет-инфраструктуры позволяет выявлять вражеские серверы до начала масштабных атак. Тем не менее, обнаружение всего двух серверов за неделю может указывать на растущую скрытность злоумышленников, которые все чаще используют методы маскировки и шифрования.
В заключение стоит отметить, что киберпреступники продолжают адаптироваться к современным системам защиты. Следовательно, организациям необходимо постоянно совершенствовать свои стратегии безопасности, чтобы противостоять развивающимся угрозам. Обмен информацией об обнаруженных угрозах между компаниями и государственными структурами также играет ключевую роль в обеспечении коллективной безопасности.
Индикаторы компрометации
IPv4
137.220.194.49
149.28.16.250
