Обнаружена сеть киберугроз: в ходе еженедельного расследования выявлены 10 активных C2-серверов в Японии

Основным инструментом исследования стала функция поиска Censys, которая позволяет идентифицировать хосты по специфическим отпечаткам. В результате сканирования были выявлены IP-адреса, помеченные системой как C2-серверы. Всего за отчетный период было обнаружено десять таких серверов. При этом географическая привязка к Японии определялась по месту физического размещения инфраструктуры, а не по целевым атакам.

Наиболее распространенным среди обнаруженных инструментов оказался фреймворк для пентестинга и реализации атак Cobalt Strike, который был идентифицирован на четырех серверах. Этот инструмент, часто используемый как легитимными специалистами по безопасности, так и злоумышленниками из-за своей гибкости, позволяет осуществлять удаленное управление компрометированными системами, перемещение по сети и загрузку дополнительного вредоносного кода (payload). Его частое обнаружение в подобных расследованиях подтверждает его статус одного из ключевых инструментов в арсенале современных APT-групп и операторов программ-вымогателей (ransomware).

Помимо Cobalt Strike, исследователи обнаружили серверы, связанные с другими платформами. В частности, было найдено по два сервера, использующих клиент DcRat, и по одному серверу для фреймворков Mythic, GHOST, VIPER и NHAS Reverse SSH. Это разнообразие демонстрирует широкий спектр инструментов, к которым прибегают злоумышленники. Например, DcRat является открытым RAT (Remote Access Trojan, троянец удаленного доступа), часто используемым для кражи данных, а NHAS Reverse SSH может обеспечивать устойчивость (persistence) в сети через обратные SSH-туннели.

Анализ данных об автономных системах (AS), к которым принадлежали обнаруженные IP-адреса, показывает использование как облачных провайдеров, так и хостинг-компаний. Среди них фигурируют Microsoft, Tencent, Vultr и M247 Europe SRL. Подобная практика является стандартной для злоумышленников, поскольку аренда инфраструктуры у крупных коммерческих провайдеров помогает маскировать вредоносную деятельность под легитимный трафик и усложняет ее блокировку. Примечательно, что некоторые серверы были размещены у одного и того же хостера, например, два адреса DcRat находились в сети ZILLION-NETWORK, а два сервера Cobalt Strike - у CTG Server Limited.

Обнаружение активной C2-инфраструктуры является критически важным этапом в борьбе с киберугрозами. Подобные данные позволяют аналитикам из SOC (Security Operations Center, центр управления безопасностью) и исследователям угроз выстраивать тактики противодействия. В частности, индикаторы компрометации (IoC), такие как эти IP-адреса, могут быть добавлены в системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS) для блокировки подозрительных соединений. Кроме того, это помогает понять текущие тенденции в выборе инструментов и тактик злоумышленников, что можно соотнести с матрицей MITRE ATT&CK.

Данное расследование наглядно иллюстрирует постоянную активность злоумышленников в регионе. Несмотря на праздничный период, связанный с концом года, киберпреступная инфраструктура продолжала функционировать. Эксперты подчеркивают, что подобный мониторинг открытых источников и интернет-активов должен быть непрерывным процессом. Своевременное выявление и нейтрализация C2-серверов позволяют сорвать кибератаки на ранних стадиях, до того как будет нанесен существенный ущерб. В результате организации могут предотвратить утечку данных или шифрование систем программами-вымогателями.

IPv4

• 108.61.162.218
• 134.122.160.206
• 137.220.227.82
• 154.213.179.16
• 154.213.179.33
• 166.88.99.212
• 192.121.162.190
• 23.249.20.61
• 4.216.218.82
• 43.153.171.132