Обнаружено 15 командных серверов вредоносного ПО в Японии: Cobalt Strike и другие угрозы

Среди обнаруженных угроз доминирует Cobalt Strike - профессиональный инструмент для тестирования на проникновение, часто эксплуатируемый хакерами. Из 15 серверов 7 работали на основе этого фреймворка. Остальные серверы распределились между менее распространёнными, но не менее опасными инструментами: NetSupportManager RAT (в нескольких версиях), Sliver, RedGuard, Brute Ratel C4 и NHAS Reverse SSH.

Географически инфраструктура была разбросана по разным провайдерам и автономным системам. Часть серверов размещалась на платформах Amazon Web Services (AS16509), что подчёркивает тенденцию злоумышленников арендовать легитимные облачные ресурсы для маскировки. Другие хосты находились в сетях DigitalVirt, Microsoft, Alibaba и Tencent, что значительно усложняет их блокировку из-за распределённой архитектуры.

Особого внимания заслуживает сервер с IP 64.176.60.64, помеченный как RedGuard - это прокси-инструмент, специально разработанный для обхода систем обнаружения Cobalt Strike. Его наличие указывает на попытки хакеров скрыть свою активность от средств защиты. Ещё один необычный экземпляр - NHAS Reverse SSH (47.245.59.94), позволяющий устанавливать скрытые SSH-туннели для доступа к заражённым устройствам.

Анализ дат активности показывает, что большинство серверов были развёрнуты в середине июля, причём их количество росло к концу недели. Например, 18 июля было зафиксировано сразу 4 новых C2, включая инстансы Brute Ratel C4 и NetSupportManager. Последний, несмотря на своё легальное происхождение (используется для удалённого администрирования), давно стал частью арсенала киберпреступников.

Эксперты отмечают, что Япония остаётся привлекательной целью для атакующих из-за высокой цифровизации бизнеса и госсектора. Использование Censys для поиска C2-инфраструктуры - распространённая практика, так как сервис индексирует открытые порты и сервисы, позволяя выявлять шаблоны, характерные для ботнетов или шпионских кампаний. Однако данные этого исследования - лишь верхушка айсберга: многие серверы могли остаться незамеченными из-за динамических IP или шифрования трафика.

Кроме того, некоторые инструменты в списке, например Sliver, относятся к относительно новым фреймворкам с открытым исходным кодом, что осложняет их детектирование. Sliver, позиционирующийся как альтернатива Cobalt Strike, уже используется APT-группами для целевых атак. А Brute Ratel C4, обнаруженный на хосте 54.65.227.196, и вовсе считается «лайт-версией» легендарного Cobalt Strike с упором на обход EDR-систем.

Данный отчёт подтверждает, что злоумышленники активно экспериментируют с инструментарием, комбинируя проверенные решения с новыми разработками. Распределение серверов по разным AS и хостам демонстрирует стратегию «гидры»: при блокировке одного узла остальные продолжают функционировать. Это создаёт серьёзные трудности для правоохранительных органов и SOC-команд, вынужденных отслеживать десятки IP-адресов и доменов одновременно.

Важно понимать, что подобные исследования - лишь часть глобальной картины. За кадром остаются методы заражения (фишинг, эксплуатация уязвимостей), масштабы компрометации и конечные жертвы. Тем не менее, даже такие данные помогают оценить динамику угроз и подготовиться к их отражению. В ближайшее время можно ожидать роста числа подобных серверов в регионе, особенно с учётом геополитической напряжённости и увеличения числа атак на критическую инфраструктуру.

IPv4

• 103.106.0.76
• 103.115.18.51
• 103.125.248.109
• 13.208.185.26
• 13.208.249.200
• 151.241.129.147
• 151.241.129.49
• 18.183.141.66
• 43.163.221.96
• 47.245.59.94
• 52.194.225.30
• 54.65.227.196
• 64.176.60.64
• 74.226.206.60
• 92.112.53.88