Обнаружены серверы управления вредоносным ПО в Японии: активность восьми C2-инфраструктур за неделю

Расследование показало, что злоумышленники применяли разнообразный набор инструментов для создания вредоносных сетей. Среди обнаруженных C2-фреймворков (frameworks) - Cobalt Strike, Havoc, Villain, Quasar, NHAS Reverse SSH, Sliver и Mythic. Наиболее распространенным оказался легендарный фреймворк для пентеста (тестирования на проникновение) и создания бэкдоров Cobalt Strike, который был идентифицирован на двух серверах. Его часто используют как законные специалисты, так и хакеры ввиду широких возможностей по удаленному управлению.

Остальные инструменты представляют собой либо открытые, либо коммерческие платформы для разработки вредоносного ПО. Например, Havoc и Mythic позиционируются как современные кроссплатформенные фреймворки для создания полезной нагрузки (payload). Sliver известен как альтернатива Cobalt Strike с открытым исходным кодом. Инструменты Villain, Quasar и NHAS Reverse SSH также широко используются в киберпреступной среде для создания бэкдоров и туннелирования трафика.

Географическое расположение физических серверов, судя по принадлежности автономных систем (Autonomous System, AS), оказалось распределенным. Инфраструктура была размещена у различных хостинг-провайдеров и в дата-центрах, включая ресурсы компаний MICROSOFT-CORP-MSN-AS-BLOCK, VULTR, KAMATERA и других более мелких провайдеров, таких как PEG-TY и Kaopu Cloud HK Limited. Подобная дисперсия усложняет процедуру быстрого вывода из строя всей зловредной сети, так как требует координации с множеством организаций.

Обнаружение подобной активности подчеркивает, что Япония остается значимой целью для киберпреступников. Серверы C2 являются критически важным элементом любой сложной атаки, обеспечивая злоумышленникам устойчивость (persistence) в сети жертвы, скрытый канал управления и возможность загрузки дополнительного вредоносного кода. Их своевременное выявление позволяет предотвратить потенциальные инциденты, такие как утечка данных или масштабные атаки программ-вымогателей (ransomware).

Эксперты отмечают, что регулярный поиск и анализ подобной инфраструктуры с помощью открытых источников (Open Source Intelligence, OSINT) является ключевой практикой для проактивной защиты. Такой подход, известный как Threat Hunting (поиск угроз), позволяет выявлять угрозы до того, как они реализуют свою разрушительную полезную нагрузку. Общедоступные платформы вроде Censys сканируют интернет, фиксируя характерные отпечатки различных сервисов, что и помогает исследователям находить скрытые серверы управления.

Данный случай недельного наблюдения демонстрирует постоянную динамику в киберпространстве. Злоумышленники активно арендуют инфраструктуру по всему миру, меняют инструменты и тактики, чтобы избежать обнаружения. Следовательно, мониторинг интернет-границы на предмет появления новых C2-серверов должен быть непрерывным процессом. Это важный элемент работы центров мониторинга безопасности (SOC) и групп по реагированию на инциденты (Computer Security Incident Response Team, CSIRT).

Выявление восьми серверов за короткий период в одной стране указывает на высокий уровень скрытой киберпреступной активности. Подобные отчеты служат напоминанием для организаций о необходимости усиления контроля за исходящим сетевым трафиком, который может указывать на скомпрометированные системы. В конечном счете, борьба с C2-инфраструктурой остается одним из наиболее эффективных способов подрыва операционных возможностей киберпреступных группировок на ранних стадиях атаки.

IPv4

• 185.39.31.126
• 20.27.222.177
• 92.112.53.46
• 104.233.169.83
• 185.216.118.100
• 167.179.95.158
• 38.54.88.89
• 45.130.166.85