Обнаружена сеть вредоносных серверов в Японии: активность пяти семейств удаленного доступа

Все обнаруженные серверы C2 были размещены на хостинговых платформах и зарегистрированы в различных автономных системах. Анализ меток Censys показал, что в сети одновременно эксплуатируются инструменты пяти различных семейств. Наибольшее распространение получил фреймворк Supershell, на долю которого пришлось три из семи выявленных IP-адресов. Остальные серверы использовались под управлением таких известных в среде злоумышленников инструментов, как DcRat, VIPER, VenomRAT и Remcos.

Эксперты отмечают, что подобное разнообразие используемых C2-фреймворков в рамках одной географической зоны может указывать на деятельность нескольких независимых угрозных акторов или на сознательную стратегию по разделению инфраструктуры для повышения устойчивости. Обнаруженные серверы были зарегистрированы у провайдеров ABCCLOUD SDN.BHD., Evoxt Enterprise, AS-VULTR, Xserver Inc. и TEFEXIA. Важно подчеркнуть, что факт размещения на коммерческом хостинге не означает причастности самих провайдеров к вредоносной деятельности.

Анализ временной шкалы показал, что активность наблюдалась практически ежедневно в течение всей недели мониторинга. Первые три сервера Supershell были зафиксированы 2 и 4 февраля. В те же даты появились серверы DcRat и VIPER. Сервер VenomRAT был обнаружен 5 февраля, а Remcos - 6 февраля. Такая динамика подтверждает постоянный характер эксплуатации данной инфраструктуры.

Обнаружение подобной сети C2-серверов является критически важным для организаций, ведущих бизнес в Японии или взаимодействующих с японскими партнерами. Серверы управления служат центральным элементом для долговременного присутствия (persistence) злоумышленников в сети жертвы, сбора данных и доставки дополнительного вредоносного кода (payload). Своевременное блокирование взаимодействия с этими IP-адресами на уровне сетевых экранов или систем предотвращения вторжений (IPS, Intrusion Prevention System) может прервать цепочку компрометации.

Данное исследование наглядно демонстрирует актуальность проактивного поиска угроз (Threat Hunting), основанного на анализе открытых данных и специализированных платформ. Регулярный мониторинг подобных индикаторов компрометации позволяет выявлять вредоносную инфраструктуру на ранних стадиях, до того как она будет использована в масштабных атаках. Кибербезопасность остается областью постоянного противостояния, где заблаговременное обнаружение инструментов противника является ключом к эффективной защите.

IPv4

• 102.204.223.152
• 102.204.223.155
• 102.204.223.168
• 108.160.131.117
• 142.248.231.4
• 166.88.99.211
• 210.131.217.107