Команда исследователей безопасности с помощью платформы поиска и анализа интернет-активов Censys выявила в Японии действующую инфраструктуру злоумышленников. За неделю наблюдений, с 23 февраля по 1 марта 2026 года, было обнаружено восемь серверов управления и контроля. Данная инфраструктура активно использовалась для управления вредоносным программным обеспечением, включая такие известные фреймворки, как Cobalt Strike и Brute Ratel C4. Это открытие подчеркивает сохраняющуюся активность продвинутых угроз в регионе и демонстрирует, как злоумышленники используют легитимные облачные сервисы и хостинг-провайдеров для размещения своих инструментов.
Описание
Серверы управления и контроля являются критически важным компонентом практически любой кибератаки. После проникновения в систему жертвы вредоносная программа устанавливает соединение с таким сервером, чтобы получать команды, загружать дополнительные модули и передавать похищенные данные. Обнаружение и нейтрализация этих серверов - одна из ключевых задач специалистов по кибербезопасности. В данном случае исследователи использовали поисковые возможности Censys, которая сканирует интернет и классифицирует службы на основе их цифровых отпечатков. Платформа автоматически помечает известные шаблоны, связанные с различными фреймворками для пентеста и вредоносного ПО, что и позволило идентифицировать активные C2-узлы.
Особое внимание привлекает разнообразие обнаруженных инструментов. Каждый из восьми IP-адресов был связан с разным типом C2-фреймворка. Помимо уже упомянутого Cobalt Strike - легитимного инструмента для тестирования на проникновение, который часто используется хакерами из-за его широких возможностей, - в списке значатся Sliver, Havoc и Brute Ratel C4. Эти три фреймворка являются относительно новыми, открытыми альтернативами Cobalt Strike, набирающими популярность в киберпреступной среде благодаря своей гибкости и сложности обнаружения традиционными средствами защиты. Также были обнаружены серверы для управления такими вредоносами, как Remcos (удаленный административный троянец, часто используемый для кражи данных), Hookbot, Supershell и GobRAT. Последний, в частности, известен своей нацеленностью на устройства под управлением Linux, что может указывать на атаки на серверную инфраструктуру.
Географическое расположение серверов также представляет интерес для анализа. Шесть из восьми обнаруженных узлов были размещены в автономной системе под номером 16509, которая принадлежит Amazon.com, Inc. Это означает, что злоумышленники активно используют публичные облачные сервисы, такие как Amazon Web Services (AWS), для размещения своей вредоносной инфраструктуры. Подобная тактика дает им несколько преимуществ: легкий и быстрый доступ к ресурсам, возможность быстро развернуть или свернуть сервер (так называемая «эфемерная инфраструктура»), а также использование доверия, которое многие сетевые фильтры оказывают трафику от крупных облачных провайдеров. Остальные серверы были зарегистрированы на менее известных хостинг-компаниях в разных юрисдикциях, включая CTG Server Limited и LIGHT NODE LIMITED.
Для компаний, ведущих бизнес в Японии или сотрудничающих с японскими партнерами, это исследование служит важным напоминанием о необходимости усиления мониторинга сетевой активности. Использование таких разнообразных C2-фреймворков, особенно открытых и настраиваемых, затрудняет их обнаружение сигнатурными методами. Специалистам по информационной безопасности следует делать акцент на поведенческом анализе и поиске аномалий. Ключевыми индикаторами компрометации могут быть необычные исходящие соединения на нестандартные порты, трафик, шифруемый необычными методами, или попытки связи с доменами, имеющими низкую репутацию. Кроме того, учитывая популярность облачных платформ у злоумышленников, политики безопасности должны одинаково строго применяться как к внутренним, так и к внешним сетевым ресурсам. Регулярная сверка исходящего трафика с актуальными списками индикаторов компрометации является обязательной практикой.
Обнаружение восьми активных серверов управления за короткий промежуток времени указывает на оживленную киберпреступную деятельность в японском сегменте интернета. Между тем, тот факт, что эти сервера были успешно идентифицированы с помощью публично доступных инструментов сканирования, демонстрирует эффективность проактивного поиска угроз. Подобные исследования позволяют не только констатировать факт атаки, но и собирать ценные данные для построения гипотез о тактиках, техниках и процедурах (TTP) конкретных группировок. Своевременное использование этой информации для обновления правил в системах обнаружения вторжений и файрволах может предотвратить успешную компрометацию. Как отмечают исследователи, все обнаруженные IP-адреса были помечены платформой Censys как связанные с инфраструктурой управления вредоносным ПО отчёт на основе данных Censys. Это наглядный пример того, как открытые источники разведданных могут быть использованы для укрепления обороны на ранних этапах кибератаки.
Индикаторы компрометации
IPv4
- 130.94.66.244
- 137.220.219.244
- 163.5.56.206
- 167.179.100.170
- 3.113.109.82
- 35.78.231.220
- 52.199.136.69
- 54.168.38.97
