Исследователи угроз в Японии выявили скрытую активность злоумышленников, обнаружив на территории страны несколько серверов командования и управления. Последние являются критически важным элементом инфраструктуры для киберпреступников и APT-групп, обеспечивая управление внедрёнными в системы жертв вредоносными программами, передачу данных и выполнение команд. Обнаружение подобных узлов на ранней стадии позволяет предотвратить масштабные инциденты, однако находка указывает на наличие уже скомпрометированных систем в японском сегменте интернета.
Описание
В ходе еженедельного мониторинга, проведённого с 16 по 22 февраля 2026 года с использованием поисковой платформы Censys, было идентифицировано четыре IP-адреса, помеченные системой как C2-серверы. Анализ меток позволил определить конкретные фреймворки, используемые злоумышленниками для контроля над заражёнными компьютерами. В частности, были обнаружены два сервера, использующих инструмент Sliver. Данный фреймворк с открытым исходным кодом набирает популярность в среде киберпреступников как альтернатива более известным решениям вроде Cobalt Strike, предлагая широкие возможности для создания backdoor-доступа (скрытого канала управления), перемещения по сети и сбора данных.
Кроме того, в сетевой инфраструктуре был найден по одному серверу, использующему MooBot и Octopus. MooBot традиционно ассоциируется с ботами для организации DDoS-атак (Distributed Denial of Service, распределённый отказ в обслуживании), что может указывать на подготовку к кампаниям по выводу ресурсов из строя. Octopus, в свою очередь, является коммерческим шпионским ПО, ориентированным на кражу конфиденциальной информации, что смещает фокус потенциальных угроз в сторону промышленного шпионажа или целевого сбора данных. Географическое распределение инфраструктуры также представляет интерес: серверы были размещены у различных хостинг-провайдеров, включая xTom Japan Corporation, AKILE LTD, а также на облачной платформе Amazon Web Services и у американского провайдера The Constant Company. Такое разнообразие усложняет процедуру быстрого реагирования и "выбивания" всей инфраструктуры разом.
С технической точки зрения, обнаружение подобных серверов стало возможным благодаря анализу сетевых метаданных и характерных признаков, оставляемых фреймворками C2 при их настройке. Платформы вроде Censys постоянно сканируют интернет, фиксируя открытые порты, сертификаты и баннеры служб, что позволяет с определённой долей вероятности классифицировать назначение узла. Однако злоумышленники активно применяют техники обфускации и используют легитимные облачные сервисы для маскировки своего трафика, что превращает поиск C2 в сложную задачу. Обнаружение четырёх серверов за неделю - это лишь видимая часть айсберга, сигнализирующая о фоновой активности различных угроз.
Последствия функционирования такой инфраструктуры для японских организаций могут быть серьёзными. Наличие C2-сервера Sliver предполагает, что в сетях компаний или государственных учреждений уже могли быть внедрены его агенты, обеспечивающие злоумышленникам долгосрочное закрепление в системе. Это создаёт риск утечек интеллектуальной собственности, финансовых данных или информации, относящейся к национальной безопасности. Сервер MooBot может быть использован для атак на японские веб-ресурсы, а Octopus - для целевого шпионажа против конкретных сотрудников или отраслей.
Что могут сделать специалисты по информационной безопасности для защиты?
- Критически важно наладить непрерывный мониторинг исходящего сетевого трафика на предмет аномальных соединений с подозрительными IP-адресами и доменами. Все обнаруженные в ходе расследования адреса должны быть немедленно добавлены в чёрные списки систем межсетевого экранирования и средств защиты на уровне сети.
- Учитывая природу угроз, необходимо регулярно проводить "охоту" за угрозами внутри корпоративных сетей, ориентируясь на тактики, описанные в матрице MITRE ATT&CK, такие как "закрепление в системе" и "командование и управление".
- Применение решений класса EDR поможет выявить подозрительную активность на рабочих станциях и серверах, например, попытки выполнения скриптов Sliver. Наконец, размещение части инфраструктуры на AWS напоминает о необходимости усиленного контроля за конфигурацией и использованием облачных сервисов, которые могут быть случайно или намеренно сконфигурированы небезопасным образом.
Таким образом, обнаружение четырёх C2-серверов в Японии - это не просто статистический факт, а чёткий сигнал о текущей оперативной активности противника. Для эффективного противодействия организациям необходимо выстроить многоуровневую оборону, сочетающую превентивные меры, постоянный мониторинг и готовность к инцидентам, поскольку следующая цель атаки может оказаться в любой отрасли.
Индикаторы компрометации
IPv4
- 156.246.95.51
- 176.119.148.130
- 43.206.237.223
- 64.176.37.51
