В ходе еженедельного расследования угроз, проведенного с 15 по 21 сентября 2025 года, в японском сегменте интернета было выявлено семнадцать активных серверов командования и управления (C2, Command and Control). Исследование, основанное на данных платформы поиска и анализа интернет-активов Censys, показало использование злоумышленниками нескольких популярных фреймворков для кибератак, что свидетельствует о разнообразии тактик и целей потенциальных операторов.
Описание
Наибольшее распространение среди обнаруженных C2-серверов получил инструмент под названием GHOST, на долю которого пришлось десять из семнадцати идентифицированных IP-адресов. Следующими по распространенности оказались фреймворки Cobalt Strike и Sliver, зафиксированные на двух серверах каждый. Также был обнаружен по одному серверу, использующему инфраструктуру Mythic, Supershell и DcRat. Такое распределение демонстрирует, что, несмотря на наличие нишевых инструментов, злоумышленники продолжают активно эксплуатировать и хорошо известные платформы вроде Cobalt Strike, который изначально создавался для легитного тестирования на проникновение, но широко используется киберпреступными группировками.
Географический и инфраструктурный анализ выявленных серверов представляет отдельный интерес. Подавляющее большинство серверов GHOST, а именно десять единиц, были размещены в автономной системе (AS) под номером 152156 с маркировкой "Naruto". Это указывает на возможную концентрацию усилий одной группы злоумышленников или на использование ими единого хостинг-провайдера для развертывания своей бот-сети. Два сервера Cobalt Strike были обнаружены в автономных системах G-Core Labs S.A. и YISU CLOUD LTD, а серверы Sliver использовали инфраструктуру Google Cloud Platform и другой, неидентифицированной автономной системы.
Активность по дням в течение недели исследования была неравномерной. Пик пришелся на 18 сентября, когда в один день было зарегистрировано одиннадцать новых C2-серверов. Значительная часть этой активности, как уже отмечалось, была связана с развертыванием фреймворка GHOST в сети "Naruto". Это может говорить либо о масштабной кампании по обновлению инфраструктуры, либо о начале новой атаки. Единичные серверы были обнаружены 16, 17 и 20 сентября.
Обнаружение подобной инфраструктуры имеет решающее значение для упреждающего противодействия кибератакам. C2-серверы являются нервным центром любой продолжительной атаки, будь то целевое проникновение, кража данных или развертывание программ-вымогателей (ransomware). Своевременная идентификация и блокировка этих серверов позволяют сорвать операцию до того, как будет нанесен существенный ущерб. Использование таких платформ, как Censys, для сканирования и маркировки подозрительных активов является стандартной практикой в арсенале специалистов по безопасности.
Регулярный мониторинг публичных и частных сетей на предмет появления характерных отпечатков популярных C2-фреймворков позволяет выявлять угрозы на ранней стадии. Особое внимание следует уделять облачным провайдерам и хостинг-компаниям, чьи услуги часто злоупотребляются злоумышленниками для быстрого и анонимного развертывания вредоносной инфраструктуры. Данные этого отчета предоставляют организациям, особенно тем, чьи интересы связаны с японским регионом, конкретные индикаторы компрометации для проверки своих сетей и систем. Постоянный анализ подобных данных помогает отслеживать тенденции в мире киберпреступности и адаптировать оборону к меняющимся тактикам противника.
Индикаторы компрометации
IPv4
- 108.160.143.248
- 156.227.235.133
- 202.182.117.236
- 23.249.20.22
- 23.249.20.27
- 23.249.20.39
- 23.249.20.46
- 23.249.20.49
- 23.249.20.55
- 23.249.20.67
- 23.249.20.78
- 23.249.20.81
- 23.249.20.94
- 34.146.49.105
- 5.8.71.125
- 8.211.156.87
- 89.233.104.159
