В ходе еженедельного исследования угроз безопасности, проведенного в 43-ю неделю 2025 года, в Японии была выявлена активность семи серверов управления и контроля, известных как C2-инфраструктура. Исследование проводилось с 20 по 26 октября с использованием платформы Censys, специализирующейся на сканировании интернет-активов. Обнаруженные серверы связаны с различными семействами вредоносного программного обеспечения, включая известные инструменты киберпреступников Cobalt Strike, Empire и PlugX.
Описание
Период мониторинга показал, что злоумышленники используют разнообразные инструменты для организации командных серверов. Наибольшее количество инцидентов было зафиксировано 21 октября, когда одновременно функционировали три различных C2-сервера. Географическое расположение инфраструктуры демонстрирует глобальный характер угрозы: серверы размещены в автономных системах различных стран и провайдеров, включая Amazon Web Services, Vultr и менее известные хостинговые компании.
Среди обнаруженных угроз особое внимание привлек Cobalt Strike - легитимный инструмент для тестирования на проникновение, который активно используется киберпреступниками для организации атак. Аналогичная ситуация наблюдается с NetSupport Manager - программным обеспечением для удаленного администрирования, которое в руках злоумышленников превращается в инструмент несанкционированного доступа. Обнаружение серверов Empire указывает на использование фреймворка для постэксплуатации в целях сохранения контроля над скомпрометированными системами.
Инфраструктура распределена между различными автономными системами, что затрудняет ее блокировку. Два сервера DcRat размещены в автономной системе CTG Server Limited, в то время как другие угрозы распределены между Amazon, Vultr и специализированными провайдерами. Такой подход демонстрирует стремление злоумышленников повысить устойчивость своей инфраструктуры за счет диверсификации хостинга.
Особенностью обнаруженной сети является использование как специализированных вредоносных программ, так и легитимных инструментов, перепрофилированных для противоправных целей. PlugX представляет собой бэкдор с удаленным доступом, исторически связанный с целевыми атаками. Hookbot, в свою очередь, является менее распространенным, но не менее опасным вредоносным ПО, способным создавать ботнеты.
Анализ временных меток показывает, что активность злоумышленников не носила эпизодический характер, а продолжалась в течение всей недели наблюдений. Это свидетельствует о планомерной работе по поддержанию инфраструктуры в работоспособном состоянии. Использование облачных платформ, таких как Amazon Web Services, позволяет преступникам быстро развертывать и масштабировать свои операции, оставаясь при этом в рамках легальных сервисов.
Обнаружение подобной инфраструктуры в Японии подчеркивает глобальный характер современных киберугроз. Страна с развитой цифровой экономикой становится привлекательной мишенью для злоумышленников, использующих как сложные целевые атаки, так и массовые кампании. Регулярный мониторинг интернет-пространства позволяет своевременно выявлять такие угрозы, но требует постоянного совершенствования методик обнаружения.
Эксперты в области кибербезопасности отмечают, что борьба с C2-инфраструктурой требует координации между правоохранительными органами, интернет-провайдерами и организациями, отвечающими за безопасность. Своевременное выявление и нейтрализация таких серверов позволяет предотвратить развитие атаки на ранней стадии, снижая потенциальный ущерб для конечных пользователей и компаний.
Индикаторы компрометации
IPv4
- 137.220.145.253
- 137.220.145.254
- 154.36.184.35
- 23.27.201.13
- 43.224.33.15
- 54.178.98.33
- 56.155.30.6
