Каждую неделю исследователи безопасности сканируют интернет в поисках серверов, которые злоумышленники используют для контроля над заражёнными устройствами. Такая инфраструктура - командные центры ботнетов, шпионских программ и вымогателей - существует в сетях сотен провайдеров по всему миру. Свежее исследование, охватившее период с 25 по 31 мая 2026 года, показало, как распределяются эти угрозы между странами и инструментами. Всего было обнаружено 78 C2-серверов (серверов управления и контроля), причём самым популярным фреймворком у атакующих остаётся Cobalt Strike.
Описание
Для поиска эксперты использовали поисковую платформу Censys, которая позволяет находить устройства и службы, открытые в глобальной сети. Мониторинг охватил сразу несколько распространённых фреймворков: Cobalt Strike, SuperShell, Mythic, Sliver, Havoc, Empire и NimPlant. Исследователи зафиксировали IP-адреса серверов, определили их провайдеров, страну размещения и тип C2. Полученные данные позволяют понять, где сейчас концентрируются атакующие и какие инструменты они предпочитают.
Лидером по числу обнаруженных серверов стал Cobalt Strike - 32 адреса из 78. Это коммерческое средство для тестирования на проникновение, но его постоянно адаптируют для вредоносных кампаний. На втором месте оказался Mythic (22 сервера) - более современный фреймворк с модульной архитектурой, который активно набирает популярность. Далее идёт Havoc (11 серверов), затем SuperShell (6), Sliver (5), а замыкают список NimPlant и Empire - по одному адресу. Такое распределение подтверждает тенденцию: старые, проверенные инструменты (Cobalt Strike) по-прежнему в ходу, но всё чаще встречаются новые разработки с расширенными возможностями.
География серверов оказалась весьма разнообразной. Значительная доля адресов зарегистрирована на китайские облачные платформы - Alibaba, Tencent, Huawei и Baidu. Это объясняется не столько злонамеренностью китайских компаний, сколько тем, что многие атакующие арендуют облачные ресурсы в Китае из-за низких цен и ослабленного контроля. Однако серверы расположены и в США, Нидерландах, Германии, Великобритании, Японии, Южной Корее, Франции, Ирландии, Турции и других странах. Например, несколько C2 найдены на инфраструктуре Amazon Web Services (AWS) в США, Сингапуре, Индии и Германии, а также на мощностях DigitalOcean и OVH. Это подчёркивает глобальный характер угрозы: злоумышленники не привязаны к одной юрисдикции и выбирают провайдеров, где можно быстро развернуть инфраструктуру и остаться незамеченным.
Чем опасны такие серверы? C2-инфраструктура служит связующим звеном между злоумышленником и захваченными устройствами. Через неё злоумышленники отправляют команды на кражу данных, шифрование файлов, запуск программ-вымогателей или шпионаж. Для компаний и организаций наличие C2 в своей сети или в облаке, которое они используют, означает реальный риск компрометации. Даже если сам сервер не принадлежит жертве, его обнаружение помогает защитникам блокировать исходящие соединения к этим адресам и своевременно выявлять заражение.
Дополнительную тревогу вызывает количество разных фреймворков - их разнообразие затрудняет создание универсальных сигнатур для систем обнаружения вторжений. Атакующие постоянно тестируют новые инструменты, чтобы обойти типовые защиты. Например, Mythic и Havoc активно используют шифрование трафика и маскируются под легитимные протоколы. Поэтому специалистам по безопасности приходится опираться на поведенческий анализ и репутационные списки, чтобы вовремя замечать подозрительные подключения.
Что делать на практике? Прежде всего, важно настроить мониторинг сетевого трафика на предмет соединений с известными C2-адресами. Регулярное обновление блок-листов на основе данных из открытых источников (таких как Censys, Shodan или Threat Intelligence) позволяет снизить риск. Также стоит ограничить исходящие подключения к непроверенным облачным провайдерам и усилить контроль за использованием теневых облачных ресурсов внутри компании. И конечно, не забывать о базовых принципах: своевременно закрывать уязвимости, сегментировать сети и использовать многофакторную аутентификацию.
Отчёт за неделю показывает, что ландшафт угроз остаётся крайне активным. Несмотря на десятилетия борьбы с ботнетами, злоумышленники продолжают массово разворачивать C2-серверы по всему миру. Только постоянный мониторинг и обмен информацией между защитниками позволяют вовремя выявлять и нейтрализовать такие инфраструктуры. Судя по собранным данным, атакующие не сбавляют оборотов, а значит, и безопасникам нельзя расслабляться.
Индикаторы компрометации
IPv4
- 1.117.61.9
- 1.92.95.105
- 101.126.10.34
- 102.117.173.39
- 102.117.174.4
- 103.183.75.134
- 106.13.231.65
- 107.172.22.3
- 112.125.19.107
- 113.44.136.127
- 117.72.159.215
- 119.91.254.26
- 120.48.66.205
- 121.199.27.49
- 121.37.200.35
- 121.43.243.13
- 124.223.90.150
- 124.70.184.106
- 13.209.95.4
- 13.213.58.233
- 134.175.78.181
- 137.184.54.93
- 146.59.182.123
- 15.204.255.172
- 156.225.22.84
- 156.234.211.156
- 159.194.201.51
- 164.90.206.5
- 183.78.199.44
- 184.82.98.158
- 185.196.117.168
- 193.29.58.188
- 194.11.226.147
- 207.148.87.34
- 209.99.184.51
- 213.109.227.99
- 216.238.75.34
- 27.102.138.15
- 3.144.125.51
- 35.158.219.35
- 35.77.84.233
- 35.79.16.81
- 4.240.85.243
- 40.85.252.198
- 43.129.24.234
- 43.133.165.151
- 43.138.192.16
- 43.143.162.139
- 43.144.19.220
- 43.156.42.49
- 43.160.243.8
- 43.204.108.246
- 44.196.128.72
- 45.116.104.104
- 45.13.212.243
- 45.152.243.170
- 45.152.65.240
- 45.77.250.44
- 45.91.81.189
- 46.246.96.214
- 47.120.32.72
- 47.236.24.112
- 5.252.153.0
- 51.195.119.119
- 65.109.232.157
- 68.183.109.88
- 68.64.180.15
- 69.42.23.214
- 78.17.71.43
- 79.175.189.207
- 8.134.70.73
- 8.138.180.67
- 8.163.49.50
- 8.208.80.165
- 82.157.52.180
- 82.221.139.243
- 83.52.226.72
- 9.141.105.20
