Главная страница » Индикаторы компрометации
0
18 часов
Индикаторы компрометации

Распределённые серверы управления: глобальная карта угрозы на основе данных открытых C2-фреймворков

information security

Постоянный мониторинг интернет-инфраструктуры, используемой злоумышленниками, является критически важной задачей для сообщества информационной безопасности. Видимость расположения и типа серверов управления позволяет не только отслеживать активность известных группировок, но и выявлять новые тенденции в арсенале киберпреступников. Недавнее исследование, охватившее период с 6 по 12 апреля 2026 года, предоставило актуальный снимок глобальной распределённой сети таких вредоносных серверов, выявленных с помощью поисковых возможностей платформы Censys.

Описание

За указанную неделю в открытом доступе было обнаружено 91 уникальный IP-адрес, на которых развёрнуты серверы управления, относящиеся к популярным фреймворкам. В поле зрения исследователей попали как давно ставшие индустриальным стандартом инструменты вроде Cobalt Strike, так и более новые или нишевые платформы: SuperShell, Mythic, Sliver, Havoc, Empire и NimPlant. Такое разнообразие подчёркивает, что злоумышленники активно экспериментируют с инструментарием, возможно, стремясь обойти сигнатуры систем обнаружения, заточенные под классические решения. Наиболее распространёнными в выборке оказались серверы Cobalt Strike и Havoc - по 26 экземпляров каждого. За ними следуют Mythic (15), Sliver (9), а SuperShell и Empire делят позицию с 7 серверами. Единичный экземпляр был связан с фреймворком NimPlant.

Географическое распределение обнаруженной инфраструктуры демонстрирует её по-настоящему глобальный характер и привязку к крупным коммерческим облачным провайдерам и хостинг-компаниям. Серверы были размещены в 22 странах, включая США, Китай, Францию, Германию, Нидерланды, Гонконг, Маврикий, Сингапур и другие. Значительная часть адресов принадлежала автономным системам таких гигантов, как Microsoft Corporation, Amazon.com, Inc., Google LLC, DigitalOcean, LLC, а также китайских облачных платформ Alibaba и Tencent. Эта тенденция не нова: злоумышленники десятилетиями используют надёжную и не вызывающую подозрений инфраструктуру легитимных провайдеров для размещения своих C2-серверов, что затрудняет их блокировку на сетевом уровне без анализа трафика и поведения.

Важно понимать, что обнаруженные серверы представляют собой лишь видимую часть айсберга. Речь идёт об инфраструктуре, которая по тем или иным причинам оказалась доступна для сканирования извне, например, использовала стандартные конфигурации или порты. Опытные операторы, особенно связанные с целевыми атаками (APT), часто маскируют свои каналы управления под легитимный трафик (например, используют популярные облачные хранилища или сервисы обмена сообщениями) или применяют методы скрытного управления, что делает их невидимыми для пассивного сканирования. Тем не менее, подобные исследования выполняют важную функцию индикации общей активности и популярности тех или иных инструментов в преступной среде.

Детальный анализ представленных данных позволяет сделать несколько ключевых наблюдений. Например, фреймворк Havoc, открытая кроссплатформенная платформа для разработки полезных нагрузок, демонстрирует растущую популярность, сравнявшись по количеству обнаруженных экземпляров с индустриальным гигантом Cobalt Strike. Это может сигнализировать о смещении интереса части сообщества в сторону бесплатных, гибких и активно развивающихся альтернатив. Кроме того, высокая концентрация серверов Mythic и других фреймворков в автономной системе MauritiusTelecom (AS23889) на Маврикии, как показано в отчёте, может указывать на целенаправленное использование конкретного хостинг-провайдера определённой группой или сообществом.

С практической точки зрения, информация о таких открытых серверах C2 является ценной для специалистов по защите. Её можно использовать для обновления списков блокировки (Indicator of Compromise, IOC) в системах защиты периметра, таких как межсетевые экраны нового поколения (NGFW) или системы предотвращения вторжений (IPS). Однако эффективность этого подхода ограничена, так как срок жизни подобной инфраструктуры часто исчисляется часами или днями. Более фундаментальной мерой защиты остаётся комплексный мониторинг сетевой активности внутри корпоративного периметра на предмет аномальных исходящих соединений, анализ трафика на предмет использования нестандартных протоколов или шифрования, а также применение концепции нулевого доверия (Zero Trust) для минимизации ущерба от потенциально скомпрометированных узлов.

Таким образом, еженедельные исследования угрозовой инфраструктуры служат важным барометром, отражающим текущие тенденции в киберпреступной экосистеме. Они наглядно показывают, что, несмотря на все усилия правоохранительных органов и компаний в сфере кибербезопасности, доступ к мощным инструментам для атак остается широким, а инфраструктура для их проведения - распределённой, динамичной и зачастую арендуемой у тех же провайдеров, что обслуживают легитимный бизнес. Для организаций это означает, что защита не может полагаться на статические чёрные списки, а требует постоянной адаптации, глубокого анализа трафика и готовности к тому, что следующий C2-сервер может быть развёрнут в самом неожиданном месте на карте мирового интернета.

Индикаторы компрометации

IPv4

  • 1.15.76.39
  • 100.52.66.182
  • 102.117.163.221
  • 102.117.164.149
  • 102.117.165.190
  • 102.117.166.249
  • 102.117.168.137
  • 102.117.169.120
  • 102.117.172.140
  • 103.75.117.209
  • 104.168.26.145
  • 107.173.52.214
  • 111.124.203.18
  • 111.230.217.36
  • 114.132.251.233
  • 120.48.18.226
  • 121.4.21.197
  • 123.56.127.50
  • 13.61.4.46
  • 134.122.169.42
  • 139.59.3.131
  • 141.98.11.205
  • 144.172.100.243
  • 144.172.96.85
  • 144.2.118.27
  • 146.190.133.216
  • 150.158.18.27
  • 154.201.83.139
  • 156.234.162.251
  • 156.234.202.149
  • 156.234.202.153
  • 156.234.56.125
  • 157.173.96.123
  • 167.86.114.91
  • 170.64.203.23
  • 172.236.106.137
  • 172.245.11.99
  • 178.128.125.237
  • 178.128.252.142
  • 178.255.222.69
  • 18.167.103.46
  • 18.188.75.8
  • 182.70.248.168
  • 187.124.1.63
  • 187.124.44.244
  • 193.93.192.14
  • 195.177.94.157
  • 198.46.147.169
  • 20.226.47.239
  • 203.161.41.129
  • 206.82.6.110
  • 209.99.186.178
  • 212.50.245.113
  • 217.154.13.193
  • 217.154.212.25
  • 217.76.57.92
  • 3.144.108.224
  • 3.147.56.85
  • 31.57.216.218
  • 34.57.12.248
  • 34.61.254.239
  • 34.95.222.105
  • 35.202.212.119
  • 38.76.214.170
  • 39.102.125.11
  • 39.106.133.52
  • 39.107.242.125
  • 43.106.132.30
  • 43.139.108.161
  • 45.137.99.96
  • 45.76.156.222
  • 45.79.200.235
  • 51.81.148.37
  • 52.16.231.37
  • 52.184.81.137
  • 52.248.41.253
  • 52.51.214.235
  • 54.178.98.33
  • 62.204.35.187
  • 62.234.44.238
  • 66.119.15.233
  • 74.211.98.224
  • 8.159.146.72
  • 80.28.77.38
  • 82.180.139.121
  • 83.142.209.60
  • 84.247.132.220
  • 86.48.5.53
  • 91.124.63.131
  • 91.197.97.236
  • 91.92.242.114
Комментарии: 0
Похожие записи
0
27.10.2025
Индикаторы компрометации

Китайские хакеры атаковали телеком-компанию на Ближнем Востоке через уязвимость ToolShell

APT
Группа хакеров, связанных с Китаем, использовала уязвимость ToolShell (CVE-2025-53770) для компрометации телекоммуникационной компании на Ближнем Востоке всего через два дня после публикации патча в июле 2025 года.
0
15.04.2023
Индикаторы компрометации

Cozy Bear (APT29) APT IOCs - Part 3

security
Служба военной контрразведки и команда CERT Polska (CERT.PL) заметили широкомасштабную кампанию шпионажа направленную на сбор информации от иностранных министерств и дипломатических учреждений  учреждений.
0
21.07.2025
Индикаторы компрометации

APT41 расширяет географию атак: новое наступление на африканские правительственные структуры

APT
В последние месяцы группа APT41, известная своей активностью в сфере кибершпионажа, существенно расширила зону действий, включив в список целей правительственные организации Африки.