Обнаружены скрытые серверы управления вредоносами в японской инфраструктуре

Основные результаты исследования показывают широкий спектр используемых вредоносных платформ. Среди обнаруженных C2-серверов лидирует Brute Ratel C4 - сложный фреймворк для пентестинга и пост-эксплуатации, часто эксплуатируемый злоумышленниками. Он был идентифицирован на двух независимых IP-адресах. По одному экземпляру выявлено для других известных инструментов: Chaos, Cobalt Strike, Sliver, DcRat и PlugX. Последний особенно примечателен своей историей использования в целевых атаках государственного уровня. Также обнаружены два сервера, помеченные как NetSupportManager RAT (версии 1 и 2), легитимный инструмент удаленного администрирования, часто перепрофилируемый киберпреступниками.

Географическое и инфраструктурное распределение серверов вызывает серьезную озабоченность. Пять из девяти серверов размещались в облачных средах крупнейших мировых провайдеров. Три сервера (включая один Brute Ratel C4 и оба NetSupportManager RAT) были обнаружены в сети Amazon Web Services (ASN 16509). Еще один сервер, помеченный как Brute Ratel C4, также размещался на инфраструктуре AWS. Сервер Chaos был найден в облаке Google Cloud Platform (ASN 396982), а сервер Sliver - на платформе Akamai Connected Cloud (ASN 63949). Остальные серверы были связаны с менее крупными операторами: Datacamp Limited (ASN 212238) для Cobalt Strike и Evoxt Enterprise (ASN 149440) для DcRat и PlugX. Использование респектабельных облачных провайдеров и хостинг-компаний является распространенной тактикой злоумышленников для маскировки вредоносной активности и усложнения атрибуции.

Хронология обнаружения указывает на постоянное присутствие и, возможно, ротацию подобной инфраструктуры в японском сегменте интернета. Первый сервер (Chaos) был зафиксирован 28 июля на IP 35.194.117.29. В последующие дни выявлялись другие узлы: Sliver (172.104.110.213) и Cobalt Strike (96.62.214.108) 31 июля, DcRat (23.27.169.64) и PlugX (166.88.97.138) 1 августа. Пик активности по регистрации новых серверов пришелся на 2 и 3 августа, когда были обнаружены NetSupportManager RAT 2 (13.208.190.18), Brute Ratel C4 (57.182.176.173), NetSupportManager RAT 1 (15.168.61.27) и еще один Brute Ratel C4 (52.194.178.241). Распределение по времени и провайдерам позволяет предположить, что это не единичная кампания, а элементы инфраструктуры, потенциально используемые разными угрозными акторами.

Обнаружение серверов C2, особенно таких мощных, как Cobalt Strike и Brute Ratel C4, на территории Японии является тревожным сигналом. Эти платформы предоставляют злоумышленникам полный контроль над зараженными системами, возможность кражи данных, скрытого наблюдения и перемещения по сетям. Наличие сервера PlugX, исторически связанного с продвинутыми постоянными угрозами (APT), часто ассоциируемыми с государственными структурами, добавляет дополнительный уровень обеспокоенности относительно возможных целей атак. Использование легитимных инструментов удаленного доступа, таких как NetSupport Manager, в злонамеренных целях также является устойчивой тенденцией, позволяющей вредоносу избегать обнаружения традиционными антивирусными решениями.

Факт размещения серверов на платформах крупных облачных провайдеров ставит перед ними сложные вопросы по усилению процедур проверки клиентов и мониторинга сетевой активности для выявления злоупотреблений. Японские организации, особенно в критически важных секторах, должны усилить меры по обнаружению аномальных исходящих соединений, которые могут указывать на компрометацию систем и связь с подобными C2-серверами. Данные исследования предоставляют ценную информацию для специалистов по безопасности и правоохранительных органов для дальнейшего расследования и нейтрализации этих скрытых угроз.

IPv4

• 13.208.190.18
• 15.168.61.27
• 166.88.97.138
• 172.104.110.213
• 23.27.169.64
• 35.194.117.29
• 52.194.178.241
• 57.182.176.173
• 96.62.214.108