Независимые исследователи кибербезопасности провели мониторинг угроз и выявили в интернет-пространстве Японии активную инфраструктуру, используемую для кибератак. В ходе еженедельного расследования, охватившего период с 12 по 18 января, с помощью поисковой платформы Censys было обнаружено четыре действующих командных сервера (C2, Command and Control). Эти серверы являются критически важным элементом для управления вредоносным программным обеспечением после его внедрения в систему жертвы.
Описание
Анализ данных показал, что злоумышленники используют современные и сложные фреймворки. В частности, два сервера работали на основе инструмента Brute Ratel C4, который позиционируется как усовершенствованная альтернатива известному Cobalt Strike и часто ассоциируется с целевыми атаками. Еще один сервер использовал бэкдор ShadowPad, известный своей связью с китайскоязычными APT-группами (Advanced Persistent Threat, устойчивая целевая угроза). Четвертый сервер, как и ожидалось, работал на основе самого распространенного фреймворка для киберразведки и тестирования на проникновение - Cobalt Strike, который, однако, активно применяется и злоумышленниками.
Географическое расположение инфраструктуры представляет отдельный интерес для анализа. Три из четырех обнаруженных серверов были размещены в облачном сервисе Amazon Web Services (автономная система AS16509). Четвертый сервер находился в инфраструктуре японского провайдера Sakura Internet Inc. (AS9370). Подобное распределение демонстрирует распространенную тактику злоумышленников: они арендуют ресурсы у крупных доверенных облачных провайдеров, чтобы замаскировать свою активность под легитимный трафик и усложнить процедуру блокировки.
Обнаружение подобной активной инфраструктуры в ограниченный временной промежуток указывает на постоянную киберугрозу для организаций в регионе. Командные серверы служат центральным узлом для таких действий, как кража данных, распространение внутри сети и выполнение вредоносных полезных нагрузок (payload). Например, они могут использоваться для развертывания программ-шифровальщиков (ransomware) или обеспечения постоянного доступа (persistence) к скомпрометированным системам.
Эксперты подчеркивают, что обнаружение C2-серверов на ранней стадии является ключевым элементом в предотвращении масштабных инцидентов. Постоянный мониторинг интернет-экосистемы с помощью таких платформ, как Censys, Shodan или Criminal IP, позволяет выявлять цифровые следы злоумышленников еще до начала полномасштабной атаки. Специалисты по безопасности рекомендуют корпоративным SOC (Security Operations Center, центр управления информационной безопасностью) интегрировать данные из открытых источников в свои процессы охоты за угрозами (threat hunting). Это помогает проактивно искать индикаторы компрометации, связанные с известными фреймворками вроде Cobalt Strike или Brute Ratel.
Важно отметить, что сам факт наличия такого сервера в сети не всегда означает успешное заражение. Однако он четко сигнализирует о подготовке или проведении атаки. Следовательно, блокировка взаимодействия с выявленными IP-адресами на уровне сетевых экранов или систем IPS (Intrusion Prevention System, система предотвращения вторжений) является одной из первоочередных мер реагирования. Данное расследование наглядно показывает, что даже краткосрочный мониторинг может принести значимые результаты для повышения уровня кибербезопасности в конкретном регионе или отрасли.
Индикаторы компрометации
IPv4
- 13.115.238.220
- 160.16.209.202
- 35.77.235.12
- 54.168.37.22
