Обнаружена сеть вражеских C2-серверов на территории Японии

Среди обнаруженных инструментов преобладают современные и сложные C2-системы. Наибольшее количество инцидентов - два из шести - связано с использованием фреймворка Brute Ratel C4. Этот инструмент получил печальную известность в сфере красных команд (Red Team) и активно адаптируется реальными злоумышленниками из-за своих продвинутых возможностей по обходу систем защиты. Оба сервера Brute Ratel C4 были размещены в инфраструктуре облачного провайдера Amazon (автономная система AS16509, AMAZON-02) с IP-адресами 52[.]68[.]211[.]55 и 35[.]76[.]36[.]180. Их одновременное обнаружение 18 октября может свидетельствовать о скоординированной кампании.

Остальные четыре сервера представляли собой разнородный набор вредоносных платформ. Один сервер, с адресом 45[.]249[.]89[.]204, был идентифицирован как использующий знаменитый фреймворк для пентеста Cobalt Strike, который десятилетиями остается одним из основных инструментов в арсенале как легитных специалистов по безопасности, так и хакеров. Его активность была зафиксирована 17 октября в автономной системе AS142594 (SpeedyPage Ltd).

Кроме того, в выборку попали серверы, использующие менее распространенные, но не менее опасные инструменты. 15 октября был обнаружен сервер с программой-бэкдором GobRAT (IP-адрес 38[.]54[.]56[.]90, AS138915 Kaopu Cloud HK Limited). 18 октября исследователи зафиксировали активность сразу трех разных угроз: кроме двух упомянутых экземпляров Brute Ratel C4, это был сервер с трояном DcRat (137[.]220[.]145[.]250, AS152194 CTG Server Limited) и сервер, использующий многофункциональный вредоносный фреймворк PlugX (166[.]88[.]14[.]173, AS149440 Evoxt Enterprise).

Географическое расположение инфраструктуры представляет особый интерес. Хотя серверы физически находятся в Японии и нацелены, предположительно, на локальные организации, их владение зарегистрировано на международные компании и облачные провайдеры, такие как Amazon. Это соответствует современной тактике Advanced Persistent Threat (APT, продвинутая постоянная угроза) групп, которые стремятся максимально затруднить атрибуцию и усложнить вывод из строя своей операционной инфраструктуры. Использование легитных хостинг-провайдеров позволяет им маскировать вредоносный трафик под обычный интернет-обмен данными.

Обнаружение шести активных C2-серверов в течение одной недели свидетельствует о значительном уровне угрозы для японского cyberspace. Разнообразие использованных фреймворков - от коммерческого Brute Ratel C4 и Cobalt Strike до открытых DcRat и GobRAT - указывает на то, что в регионе могут одновременно действовать несколько независимых групп злоумышленников с разным уровнем технической оснащенности и финансовых возможностей.

Такие находки имеют критическое значение для специалистов по безопасности, работающих в Security Operations Center (SOC, Центр управления безопасностью). Зная IP-адреса и сигнатуры конкретных C2-фреймворков, они могут настроить свои системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS) на блокировку связи с этими серверами. Это позволяет прервать цепочку кибератаки по методологии MITRE ATT&CK на ранней стадии, еще до утечки данных или развертывания программы-шифровальщика (ransomware).

Постоянный мониторинг интернет-инфраструктуры с помощью таких платформ, как Censys, остается одним из ключевых методов проактивной защиты. Своевременное обнаружение и нейтрализация C2-серверов лишает злоумышленников возможности управлять своими вредоносными программами и является важным элементом в борьбе с киберпреступностью и целевыми атаками.

IPv4

• 137.220.145.250
• 166.88.14.173
• 35.76.36.180
• 38.54.56.90
• 45.249.89.204
• 52.68.211.55