Обнаружена сеть вражеских серверов в Японии: 15 C2-инфраструктур действовали в течение недели

Подавляющее большинство обнаруженных вредоносных серверов было размещено на инфраструктуре глобальных публичных облачных провайдеров и хостинговых компаний. Шесть IP-адресов, связанных с Brute Ratel C4, а также по одному экземпляру Cobalt Strike и NetSupportManager RAT, находились в автономной системе AS16509, принадлежащей Amazon. Это подтверждает устойчивую тенденцию киберпреступников активно использовать легитимные облачные сервисы для маскировки своей деятельности и повышения живучести инфраструктуры.

Три сервера, помеченные как связанные с трояном PlugX, были зарегистрированы в автономной системе AS149440 под названием Evoxt Enterprise. Еще по одному серверу было обнаружено в сетях Kaopu Cloud HK Limited (GobRAT), M247 Europe SRL (Pupy RAT) и TEFEXIA (Remcos). Подобное географическое и провайдерское разнообразие усложняет задачи по быстрому выведению из строя всей сети и указывает на тщательное планирование со стороны операторов угроз.

Анализ распределения угроз по типам выявил лидерство фреймворка Brute Ratel C4, на который пришлось шесть из пятнадцати обнаружений. Этот инструмент, позиционируемый как усовершенствованная альтернатива Cobalt Strike, известен своими мощными возможностями по обходу систем защиты (EDR, Endpoint Detection and Response) и пользуется популярностью у продвинутых групп кибератакующих. Три экземпляра PlugX, многоцелевого трояна с долгой историей использования в основном китайскоязычными APT-группами (Advanced Persistent Threat, Продвинутая Постоянная Угроза), также указывают на возможную связь кампании с высококвалифицированными противниками.

Остальные находки представлены единичными экземплярами различных RAT (Remote Access Trojan, Троян Удаленного Доступа): GobRAT, Cobalt Strike, Pupy RAT, две версии NetSupport Manager RAT и Remcos. NetSupport Manager изначально является легитимным инструментом для удаленного администрирования, чья функциональность часто перенимается злоумышленниками для скрытного контроля над зараженными системами. Наличие двух его slightly различающихся конфигураций может говорить либо о работе двух независимых групп, либо о тактике одного оператора по использованию разнородной инфраструктуры для снижения риска полного компрометирования.

Хронология обнаружений показывает, что основная активность по развертыванию серверов пришлась на 2 и 3 октября, когда было зафиксировано десять из пятнадцати IP-адресов. Это может свидетельствовать об интенсивной фазе подготовки или проведения самой атаки. Примечательно, что сервер Brute Ratel C4, найденный 2 октября, и один из серверов NetSupport Manager, обнаруженный 29 сентября, находились в одной и той же подсети Amazon, что потенциально позволяет связать эти активности в единую цепочку.

Подобные исследования угрозовой инфраструктуры играют ключевую роль в проактивной безопасности. Заблаговременное выявление и составление карты C2-серверов позволяет организациям заблокировать взаимодействие с ними на уровне сетевых экранов и систем IPS (Intrusion Prevention System, Система Предотвращения Вторжений) до того, как произойдет реальная компрометация корпоративных сетей. Постоянный мониторинг публичных интернет-данных, таких как предоставляемые Censys, становится неотъемлемой частью современной стратегии защиты для противодействия изощренным киберугрозам, активно использующим глобальную облачную инфраструктуру.

IPv4

• 136.0.11.122
• 136.0.11.77
• 166.88.99.210
• 18.181.197.12
• 192.144.23.109
• 23.140.36.124
• 35.75.178.12
• 35.79.147.99
• 38.60.212.14
• 52.197.117.100
• 52.69.230.91
• 54.65.57.175
• 56.155.117.222
• 57.182.172.83
• 57.182.63.219