В Японии обнаружены девять серверов управления вредоносным ПО

Аналитики сфокусировали поиск на активах, помеченных в системе Censys как связанные с C2-инфраструктурой. В результате было идентифицировано девять уникальных IP-адресов. Наиболее часто встречающимся инструментом оказался Supershell, обнаруженный на трех серверах. Два сервера использовали фреймворк для пентеста и злонамеренной деятельности Cobalt Strike. По одному серверу было связано с троянами удаленного доступа (RAT) PlugX и Remcos, а также с инструментами Mythic и NHAS Reverse SSH.

Географическое и инфраструктурное распределение серверов демонстрирует типичную для современных угроз картину. Хотя целью исследования была Япония, сами серверы физически размещались у различных хостинг-провайдеров по всему миру. Например, несколько IP-адресов, включая два экземпляра Cobalt Strike и один Supershell, принадлежали автономной системе AS-VULTR (Choopa, LLC). Другие серверы были зарегистрированы на компании в Нидерландах, Германии, США и даже использовали инфраструктуру глобальных облачных провайдеров, таких как Alibaba и Amazon. Это подчеркивает, что злоумышленники активно используют глобальные хостинговые услуги и облачные платформы для маскировки и обеспечения устойчивости (persistence) своей инфраструктуры.

Обнаружение таких инструментов, как Cobalt Strike, которое может использоваться как для легитимного тестирования на проникновение, так и для реальных атак, требует тщательного контекстного анализа. Однако его сочетание с однозначно вредоносными семействами, такими как PlugX, часто ассоциирующимся с кибершпионажем, повышает общий уровень угрозы. Remcos, в свою очередь, является коммерческим RAT, который часто попадает в руки злоумышленников для кражи данных и несанкционированного доступа.

Присутствие инфраструктуры Supershell, инструмента с открытым исходным кодом для управления оболочками, также вызывает озабоченность у специалистов по безопасности. Его растущая популярность среди атакующих обусловлена простотой использования и возможностью кастомизации. Аналогично, инструменты вроде Mythic, представляющие собой платформы для пост-эксплуатации, и NHAS Reverse SSH, используемые для создания обратных туннелей, указывают на продвинутый этап атаки, когда злоумышленники закрепляются в сети и перемещаются laterally.

Данное исследование наглядно иллюстрирует текущие тенденции в киберпреступности и целевых атаках. Противники продолжают совершенствовать методы сокрытия, размещая критически важные C2-серверы у зарубежных провайдеров, что затрудняет их быструю нейтрализацию силами одного государства. Регулярный мониторинг и анализ интернет-инфраструктуры с помощью таких платформ, как Censys, остаются важнейшими компонентами проактивной защиты. Своевременное обнаружение и блокировка этих точек управления позволяют предотвратить кражу конфиденциальной информации или масштабные инциденты, такие как атаки программ-вымогателей (ransomware). Эксперты рекомендуют компаниям, особенно ведущим бизнес в Азиатско-Тихоокеанском регионе, усилить мониторинг сетевого трафика на предмет аномальных подключений к выявленным IP-адресам и сегментам сетей указанных автономных систем.

IPv4

• 141.11.240.103
• 167.179.73.103
• 185.254.240.249
• 202.182.102.83
• 35.74.234.218
• 50.114.113.144
• 64.176.48.137
• 8.216.15.30
• 85.113.70.180