В Японии обнаружена сеть из девяти серверов управления вредоносными программами

Серверы C2 служат центральными узлами, через которые злоумышленники управляют скомпрометированными системами, похищают данные и распространяют вредоносное ПО. Обнаружение подобной инфраструктуры - ключевой шаг в срыве кибератак. Платформа Censys, сканирующая интернет для составления карты сетевых устройств и сервисов, помогла идентифицировать эти узлы по их характерным цифровым отпечаткам.

Согласно данным исследования, среди обнаруженных серверов наиболее распространенным оказался фреймворк Cobalt Strike. Этот легитимный инструмент для тестирования на проникновение часто используется хакерами из-за его широких возможностей. В общей сложности было найдено три экземпляра Cobalt Strike. Кроме того, исследователи зафиксировали по два сервера, использующих фреймворки Brute Ratel C4 и Remcos, а также по одному серверу с инструментами Sliver и Pupy RAT.

Географическое и провайдерское разнообразие инфраструктуры привлекает внимание. Хотя серверы были помечены как расположенные в Японии, их автономные системы (AS) принадлежали различным международным компаниям, включая Alibaba, Amazon и Vultr. Такой подход, когда злоумышленники размещают свою инфраструктуру у крупных облачных провайдеров и в разных сетях, помогает им маскировать активность и усложняет её блокировку.

Например, один из серверов Cobalt Strike был связан с автономной системой Alibaba US Technology Co., Ltd., а другой работал в облаке Amazon. Серверы Brute Ratel C4 также были размещены в инфраструктуре Amazon. Подобное распределение характерно для современных групп угроз, которые стремятся максимально затруднить атрибуцию и повысить устойчивость (persistence) своей сети.

Обнаружение таких инструментов, как Brute Ratel C4 и Sliver, особенно настораживает. Brute Ratel C4 позиционируется как усовершенствованная альтернатива Cobalt Strike, обладающая улучшенными возможностями обхода систем защиты. Sliver - это открытый фреймворк для администрирования, набирающий популярность в киберпреступной среде. Присутствие этих инструментов указывает на то, что злоумышленники, действующие в регионе, активно обновляют и диверсифицируют свой арсенал.

Эксперты подчеркивают, что подобные находки носят превентивный характер. Выявление серверов C2 до начала масштабной атаки позволяет изъять ключевые элементы управления у злоумышленников. Следовательно, компании могут заблокировать связь с этими IP-адресами на уровне сетевых экранов или систем обнаружения вторжений (IDS). Это эффективно нейтрализует угрозу, даже если вредоносный код уже проник в некоторые системы.

Тем не менее, исследование демонстрирует сохраняющуюся активность киберпреступных групп в азиатско-тихоокеанском регионе. Использование легитимных облачных платформ для размещения вредоносной инфраструктуры остается серьезной проблемой для глобальной безопасности. Постоянный мониторинг открытых данных и обмен информацией между исследовательскими группами и провайдерами являются необходимыми мерами для противодействия этой тенденции.

Таким образом, обнаружение девяти серверов управления в Японии служит своевременным напоминанием о важности проактивного поиска угроз. Организациям рекомендуется регулярно актуализировать списки индикаторов компрометации и укреплять мониторинг сетевого трафика, особенно на предмет связей с известными облачными хостингами. Это позволяет значительно повысить устойчивость к сложным целевым атакам.

IPv4

• 13.159.155.186
• 142.248.231.100
• 207.148.99.121
• 35.75.173.88
• 35.75.84.126
• 38.54.50.190
• 47.79.40.83
• 5.61.208.94
• 65.49.238.93