В ходе еженедельного мониторинга угроз с 18 по 24 августа 2025 года специалисты по кибербезопасности обнаружили на территории Японии 17 активных командных серверов (Command and Control, C2), используемых злоумышленниками для управления вредоносными программами. Исследование проводилось с использованием платформы Censys, позволяющей анализировать сетевую инфраструктуру по всему миру.
Описание
Среди выявленных серверов наибольшее внимание привлекли три экземпляра, использующих фреймворк Cobalt Strike - легитимный инструмент для тестирования на проникновение, который часто применяется киберпреступниками для организации атак. Также были идентифицированы серверы, связанные с такими инструментами удаленного доступа, как NetSupport Manager RAT (в нескольких версиях), Brute Ratel C4, Sliver, PlugX, DcRat, Ares RAT и Supershell.
Особый интерес вызвал сервер под номером 16 (IP-адрес: 47.79.149.234), на котором работала вредоносная программа Ares RAT. Используя его в качестве точки отсчета, исследователи провели дополнительный анализ на основе хэша тела HTTP-ответа (services.http.response.body_hashes) и обнаружили ещё один связанный узел - 47.242.51.181. Кроме того, по заголовку HTML-страницы (services.http.response.html_title="Ares") было выявлено 23 хоста, имеющих признаки принадлежности к одной и той же группе злоумышленников. На момент 30 августа эти серверы оставались активными.
Большинство из обнаруженных серверов размещены в инфраструктуре крупных облачных провайдеров, таких как Amazon Web Services (AS16509), Vultr (AS20473), Alibaba Cloud (AS45102) и других. Это подтверждает тренд на использование злоумышленниками легитимных хостинговых услуг для маскировки вредоносной активности.
Подобные серверы часто используются для организации фишинговых атак, распространения программ-шифровальщиков (ransomware), кражи конфиденциальных данных и длительного наблюдения за целевыми сетями. Обнаружение и блокировка такой инфраструктуры на ранних этапах позволяют предотвратить развитие атаки и снизить потенциальный ущерб.
Эксперты рекомендуют компаниям, особенно работающим в Азиатско-Тихоокеанском регионе, усилить мониторинг исходящего и входящего трафика, обращая внимание на аномальные соединения с указанными IP-адресами. Также важно обновлять сигнатуры систем обнаружения вторжений (IDS) и использовать актуальные данные угроз для повышения эффективности защиты.
Данное исследование демонстрирует важность проактивного поиска киберугроз и необходимость международного сотрудничества в области кибербезопасности для противодействия общим вызовам.
Индикаторы компрометации
IPv4
- 124.156.225.126
- 13.115.109.98
- 13.208.252.175
- 15.152.50.124
- 15.168.3.125
- 166.88.2.90
- 167.179.104.126
- 18.182.173.57
- 202.182.127.147
- 206.119.173.107
- 38.54.50.239
- 43.207.199.12
- 47.79.146.121
- 47.79.149.234
- 47.79.84.118
- 54.250.164.8
- 54.65.66.80
