Специалисты по кибербезопасности в ходе еженедельного мониторинга инфраструктуры угроз с 25 по 31 августа 2025 года выявили 12 активных серверов командования и управления (C2, Command and Control), расположенных в Японии или связанных с японскими сетями. Исследование проводилось с использованием платформы поиска и анализа интернет-активов Censys. Большинство из обнаруженных серверов относятся к известным фреймворкам для пентестинга и кибератак, которые злоумышленники активно используют в реальных операциях.
Описание
Семь из двенадцати серверов были идентифицированы как часть инфраструктуры Cobalt Strike - популярного инструмента для администрирования сетей, который часто используется группами вредоносного ПО для организации долговременного доступа к compromised systems. Еще два сервера связаны с фреймворком Brute Ratel C4, также предназначенным для обхода защиты. Два сервера работали на платформе Sliver с открытым исходным кодом, а один - на основе Quasar RAT (Remote Access Trojan, троянец удаленного доступа).
Серверы размещались в облачных инфраструктурах мировых провайдеров, включая Alibaba, Amazon Web Services (AWS), Google Cloud Platform, Tencent и других. Это подтверждает тенденцию, согласно которой злоумышленники активно используют легитимные хостинг-услуги для маскировки своей активности и усложнения атрибуции.
Отдельный интерес представляет обнаружение трех IP-адресов (154.211.89.222, 206.238.68.237, 206.238.70.142), которые, судя по общему fingerprint SSH-ключа, вероятно, управляются одной и той же группой или оператором. На этих хостах был обнаружен открытый доступ к директориям (Open Directory) через HTTPS-порт 443, что позволило исследователям изучить содержимое рабочих каталогов.
В открытом доступе находились многочисленные инструменты для пост-эксплуатации и lateral movement: CrackMapExec (NetExec), Impacket, Metasploit, fscan, а также утилиты для организации обратных прокси (FRP - Fast Reverse Proxy) и управления оболочками (vshell, supershell). Кроме того, в папках остались файлы истории команд bash (.bash_history), конфигурации SSH и другие артефакты, которые могут указывать на методы работы оператора.
Наличие папки CVE-2024-9474 позволяет предположить, что злоумышленники экспериментировали или использовали уязвимость, связанную с данным идентификатором. Однако без анализа содержимого невозможно точно утверждать, была ли она успешно применена в атаках.
Обнаружение подобной инфраструктуры позволяет организациям усилить мониторинг сетевой активности, блокировать взаимодействие с указанными адресами и обновить сигнатуры систем обнаружения вторжений (IDS).
Индикаторы компрометации
IPv4
- 103.115.18.201
- 128.90.0.216
- 150.109.197.241
- 23.158.24.11
- 34.146.35.229
- 35.75.149.18
- 35.79.211.69
- 38.60.212.102
- 47.79.37.187
- 47.91.18.169
- 8.216.37.230
- 89.31.126.165
