За одну неделю августа 2025 года в японском сегменте интернета выявлено тринадцать серверов командования и управления (C2), используемых злоумышленниками. Данные получены в результате мониторинга с использованием платформы Censys в период с 4 по 10 августа. Инфраструктура связана с известными вредоносными платформами, включая Cobalt Strike и Sliver.
Описание
Анализ, проведенный с помощью поисковых функций Censys, позволил идентифицировать и классифицировать активные C2-серверы. Наибольшее распространение получила платформа Sliver, обнаруженная на трех серверах. Два сервера использовали печально известный фреймворк Cobalt Strike, часто применяемый в сложных целевых атаках. Еще два сервера работали под управлением Brute Ratel C4, относительно нового, но набирающего популярность инструмента в арсенале злоумышленников. Также зафиксированы единичные случаи использования Havoc, Pupy RAT и нескольких версий NetSupportManager RAT (версии 7, 3 и 1), а также одного сервера с NHAS Reverse SSH.
Географическое распределение и принадлежность инфраструктуры вызывают серьезные вопросы. Четыре из тринадцати обнаруженных серверов размещались в сети под автономным номером системы (ASN) 16509, принадлежащем компании Amazon (AMAZON-02). Это указывает на использование злоумышленниками популярных публичных облачных сервисов для размещения своей вредоносной инфраструктуры. Два сервера (43[.]230[.]163[.]146 и 43[.]230[.]163[.]205) были зарегистрированы на ASN 395092 (SHOCK-1). Остальные серверы распределялись по провайдерам Eons Data Communications Limited (AS138997), SonderCloud Limited (AS133199), CTG Server Limited (AS152194), IT7NET (AS25820) и ALLIANCE INTELLIGENT TECHNOLOGIES PTE. LTD. (AS147003). Последний факт подчеркивает международный характер размещения инфраструктуры, даже если она нацелена на японский сегмент.
Обнаружение тринадцати активных C2-серверов в течение всего семи дней свидетельствует о сохраняющейся активности злоумышленников, эксплуатирующих японскую интернет-инфраструктуру или нацеленных на японские жертвы. Использование разнообразного арсенала C2-фреймворков, от широко распространенных, как Cobalt Strike, до более новых, таких как Brute Ratel C4 и Havoc, демонстрирует адаптивность угроз. Особую озабоченность вызывает значительная доля инфраструктуры (4 из 13 серверов), размещенной в публичном облаке Amazon (AS16509), что подчеркивает сложность разграничения легитимного и вредоносного трафика в таких средах. Выявление этих серверов является критически важным первым шагом для организаций по обеспечению безопасности в Японии, позволяющим блокировать вредоносные IP-адреса и расследовать потенциальные компрометации. Однако само по себе обнаружение не устраняет угрозу; оно лишь указывает на точки управления, используемые для координации атак, подчеркивая необходимость постоянного мониторинга и активных мер обороны.
Индикаторы компрометации
IPv4
- 13.112.193.216
- 13.231.207.37
- 202.61.137.217
- 205.198.78.177
- 206.119.172.150
- 206.190.236.171
- 206.237.127.70
- 35.75.228.75
- 43.230.163.146
- 43.230.163.205
- 54.238.45.243
- 54.95.36.98
- 56.155.28.140
