Токийские эксперты по кибербезопасности выявили шесть активных серверов командования и управления (C2), используемых злоумышленниками для координации вредоносных кампаний на территории Японии. Обнаружение стало результатом еженедельного мониторинга интернет-инфраструктуры, проведенного с 11 по 17 августа 2025 года с помощью платформы Censys.
Описание
Согласно отчету, каждый из идентифицированных серверов связан с различными типами вредоносного программного обеспечения, что указывает на многообразие тактик, используемых киберпреступниками. В списке обнаруженных инструментов значатся DCRat, Cobalt Strike, NetSupportManager RAT, Sliver, Havoc и GHOST - все они относятся к категории удаленных административных троянцев (RAT) либо фреймворков для пентестинга, часто используемых в противоправных целях.
Особое внимание привлек сервер, помеченный как Cobalt Strike - известный легитимный инструмент для тестирования на проникновение, который регулярно используется хакерами для организации атак благодаря своей гибкости и способности обходить защитные механизмы. Его присутствие в списке подчеркивает тенденцию злоупотребления легальными кибер инструментами.
Инфраструктура серверов распределена между несколькими крупными интернет-провайдерами и облачными платформами, включая Oracle BMC, ASNET, Amazon и Akamai Connected Cloud. Это усложняет отслеживание и блокировку злоумышленников, поскольку они используют надежные хостинговые услуги для маскировки своей деятельности. Один из IP-адресов даже зарегистрирован в автономной системе под названием «Naruto», что демонстрирует использование нестандартных провайдеров.
Эксперты отмечают, что концентрация обнаруженных серверов на конец недели (три из шести были активны 17 августа) может свидетельствовать об усилении активности злоумышленников в этот период. Это также указывает на необходимость постоянного, а не выборочного мониторинга интернет-пространства.
Подобные исследования играют ключевую роль в проактивной защите: идентификация C2-серверов до начала масштабных атак позволяет предотвратить кражу данных, шпионаж или разрушительные операции. Япония, как одна из наиболее технологически развитых стран, остается привлекательной мишенью для киберпреступников, что требует повышенных мер vigilance со стороны корпораций и государственных учреждений.
В текущем глобальном контексте, где киберугрозы становятся все более изощренными, сотрудничество между частным сектором и правоохранительными органами необходимо для быстрого реагирования на подобные риски. Оповещения о компрометированной инфраструктуре уже переданы заинтересованным сторонам для принятия мер по нейтрализации.
Растущее разнообразие вредоносных инструментов - от классических, как Cobalt Strike, до относительно новых, таких как Sliver и Havoc - подтверждает, что злоумышленники непрерывно обновляют свой арсенал.
Индикаторы компрометации
IPv4
- 138.2.16.164
- 158.179.184.221
- 172.104.99.167
- 185.141.219.10
- 23.249.20.36
- 56.155.113.234
