В течение третьей недели января 2026 года специалисты по кибербезопасности провели мониторинг угроз, сосредоточившись на выявлении злонамеренной инфраструктуры на территории Японии. В результате расследования, проходившего с 19 по 25 января, было обнаружено четыре активных сервера командования и управления. Эти серверы являются критически важными элементами инфраструктуры злоумышленников, используемыми для удаленного контроля над зараженными системами, кражи данных и распространения вредоносного кода.
Описание
Исследование проводилось с использованием поисковых возможностей платформы Censys, которая сканирует интернет для составления карты подключенных устройств и сервисов. Аналитики целенаправленно искали хосты, помеченные системой как C2-серверы. В итоге, все обнаруженные IP-адреса были классифицированы по типам используемых фреймворков для удаленного администрирования, часто эксплуатируемых в кибератаках.
Согласно сводным данным, наибольшее распространение получил фреймворк Cobalt Strike. Этот легитимный инструмент для тестирования на проникновение часто используется киберпреступниками и APT-группами (Advanced Persistent Threat, устойчивая продвинутая угроза) благодаря своей гибкости и мощным возможностям по обеспечению скрытности. В рамках данного расследования было выявлено два сервера Cobalt Strike. Первый, с адресом 155[.]117[.]155[.]45, был активен 20 января и размещался в автономной системе ByteVirt LLC. Второй сервер, 108[.]160[.]131[.]147, зафиксирован 23 января и принадлежал хостинг-провайдеру AS-VULTR.
Помимо этого, обнаружен один сервер, использующий вредоносное ПО Remcos. Данная программа, изначально создававшаяся как инструмент для удаленного администрирования, давно превратилась в популярное средство для кибершпионажа и кражи информации. Сервер Remcos с IP-адресом 142[.]248[.]231[.]251 также был активен 23 января и находился в сети провайдера TEFEXIA.
Особый интерес представляет четвертый выявленный сервер, который работал на основе открытого фреймворка Havoc. Этот постэксплуатационный фреймворк, появившийся относительно недавно, быстро набирает популярность в хакерской среде из-за своих продвинутых возможностей обхода защиты и модульной архитектуры. Сервер Havoc с адресом 13[.]71[.]137[.]28 был замечен 24 января. Примечательно, что он размещался в инфраструктуре MICROSOFT-CORP-MSN-AS-BLOCK, что может указывать на использование злоумышленниками облачных сервисов для маскировки своей деятельности.
Географическая привязка инфраструктуры к Японии может преследовать несколько целей. Во-первых, атакующие могут пытаться снизить подозрительность трафика, нацеливаясь на жертв в том же регионе. Во-вторых, это может быть частью стратегии по усложнению атрибуции атак, когда серверы арендуются в различных юрисдикциях. Наконец, выбор конкретных хостинг-провайдеров часто связан с их ценовой политикой и меньшей строгостью процедур проверки клиентов.
Обнаружение подобной активности подчеркивает постоянную необходимость для компаний и организаций укреплять свои защитные периметры. Эксперты рекомендуют внедрять системы обнаружения вторжений (IDS) и их предотвращения (IPS), которые способны выявлять сетевые аномалии, характерные для взаимодействия с C2-серверами. Кроме того, критически важен регулярный мониторинг исходящего сетевого трафика на предмет подключений к подозрительным или недавно зарегистрированным доменам и IP-адресам.
Таким образом, текущая ситуация демонстрирует, что киберпреступники продолжают активно развертывать и обновлять свою инфраструктуру, используя как проверенные временем, так и новые инструменты. Постоянный мониторинг открытых источников и данных интернет-сканирования остается одним из ключевых методов проактивного выявления угроз на ранних стадиях, до того как они приведут к масштабным инцидентам безопасности.
Индикаторы компрометации
IPv4
- 108.160.131.147
- 13.71.137.28
- 142.248.231.251
- 155.117.155.45
