Киберугрозы в Японии: обнаружены три активных сервера командования и управления

Обнаруженные C2-серверы представляют серьезную угрозу информационной безопасности, поскольку используются злоумышленниками для удаленного контроля над зараженными системами, кража данных и организации дополнительных атак. Все три сервера были активны в течение недели наблюдений и использовали различные инструменты киберпреступников.

Первый инцидент был зафиксирован 8 октября. Сервер с IP-адресом 202[.]78[.]167[.]14, размещенный в автономной системе G-Core Labs S.A., идентифицирован как использующий фреймворк GobRAT. Этот инструмент известен своей способностью обходить традиционные средства защиты и обеспечивать злоумышленникам постоянный доступ к компрометированным системам.

На следующий день, 9 октября, был обнаружен второй сервер с адресом 141[.]11[.]138[.]193 в автономной системе ByteVirt LLC. Анализ показал использование знаменитого инструмента пентеста Cobalt Strike, который часто эксплуатируется киберпреступниками для вредоносной деятельности несмотря на свое легитимное первоначальное назначение.

Третий сервер выявлен 10 октября по адресу 23[.]140[.]36[.]126 в сети TEFEXIA. На нем работал троянец удаленного доступа Remcos, известный своими шпионскими возможностями и функционалом для кражи учетных данных.

Особую озабоченность вызывает тот факт, что все три сервера использовали разные инструменты и были размещены в различных сетях, что свидетельствует о скоординированной деятельности нескольких групп злоумышленников или о применении диверсифицированной инфраструктуры для повышения устойчивости операций.

Эксперты по кибербезопасности отмечают, что обнаружение таких серверов на ранней стадии их активности имеет критическое значение для предотвращения масштабных киберинцидентов. Серверы C2 служат центральным элементом в цепочках компрометации по методике MITRE ATT&CK, обеспечивая злоумышленникам постоянный доступ к инфраструктуре жертв и возможность кражи конфиденциальных данных.

Специалисты рекомендуют организациям в Японии и соседних регионах усилить мониторинг сетевой активности на предмет подключений к обнаруженным адресам. Также целесообразно обновить сигнатуры систем обнаружения вторжений (IDS, Intrusion Detection System) и предотвращения вторжений (IPS, Intrusion Prevention System) для блокировки взаимодействия с этими серверами.

Обнаружение трех активных C2-серверов в течение одной недели подчеркивает сохраняющуюся высокую активность киберпреступных группировок в азиатско-тихоокеанском регионе. Эксперты предупреждают, что подобные инфраструктурные элементы часто используются в качестве плацдарма для более масштабных операций, включая целевые атаки на корпоративный сектор и государственные организации.

Регулярные исследования угрозной инфраструктуры становятся неотъемлемой частью стратегии кибербезопасности как на национальном, так и на корпоративном уровне. Раннее обнаружение и нейтрализация серверов управления позволяют существенно снизить потенциальный ущерб от кибератак и предотвратить их эскалацию в более серьезные инциденты.

IPv4

• 141.11.138.193
• 202.78.167.14
• 23.140.36.126