По результатам еженедельного расследования угроз, специалисты по кибербезопасности обнаружили на территории Японии тринадцать активных серверов командования и управления, известных как C2 (command and control). Расследование, охватившее период с 15 по 21 декабря, было проведено с использованием поисковых возможностей платформы Censys, которая сканирует и анализирует интернет-инфраструктуру. Обнаруженные серверы использовали различные фреймворки для удаленного доступа и контроля, что свидетельствует о разнообразии угроз.
Описание
Наиболее часто в ходе исследования встречались серверы, использующие фреймворк Cobalt Strike. Этот легитимный инструмент для тестирования на проникновение часто злоумышленниками для развертывания вредоносного ПО и организации C2-инфраструктуры. Всего было идентифицировано четыре таких экземпляра. Кроме того, обнаружено по два сервера, использующих Brute Ratel C4, PlugX и Sliver. Также по одному разу были зафиксированы Metasploit, Supershell и DcRat.
Анализ автономных систем, к которым принадлежали IP-адреса, показал, что злоумышленники активно используют облачные и хостинговые провайдеры для размещения своей инфраструктуры. Среди них фигурируют такие компании, как Amazon (AS16509), Vultr (AS20473), xTom Japan Corporation и Alibaba Cloud. Подобная тактика позволяет преступникам быстро развертывать и ликвидировать серверы, а также маскировать свою истинную географическую локацию. Например, сервер с меткой Cobalt Strike, обнаруженный 16 декабря, был размещен в сети японского провайдера NETLAB-SDN, в то время как другой подобный сервер, найденный 15 декабря, принадлежал гонконгской компании Kaopu Cloud HK Limited.
Важно отметить, что обнаружение сервера с определенной меткой, такой как Cobalt Strike или Sliver, не всегда однозначно указывает на злонамеренную деятельность. Эти инструменты могут использоваться и в законных целях, например, в рамках учебных программ по безопасности или при проведении легитимных пентестов. Однако их массовое обнаружение в открытом доступе, особенно в комбинации с другими известными вредоносными фреймворками, является тревожным сигналом для экспертов.
Особое внимание привлекло обнаружение серверов PlugX. Этот троян, известный своей модульной архитектурой, исторически ассоциируется с китайскоязычными APT-группами (Advanced Persistent Threat - целенаправленная постоянная угроза). Его появление в японской сетевой инфраструктуре требует тщательного изучения. Аналогично, DcRat представляет собой удаленный троян для Windows с открытым исходным кодом, часто используемый для кражи данных и создания ботнетов.
Данные такого рода расследований имеют практическую ценность. Во-первых, они позволяют составить актуальную картину угроз для конкретного региона. Во-вторых, выявленные индикаторы компрометации, такие как IP-адреса и хеши вредоносных файлов, могут быть добавлены в системы мониторинга безопасности для блокировки подозрительного трафика. Наконец, подобная информация помогает отслеживать тактики, техники и процедуры злоумышленников в рамках модели MITRE ATT&CK.
Эксперты подчеркивают, что обнаружение C2-серверов - это лишь первый шаг. Ключевой задачей является отслеживание их активности, идентификация связанных с ними вредоносных кампаний и, по возможности, установление атрибуции. Регулярный мониторинг интернет-инфраструктуры с помощью таких платформ, как Censys или Shodan, стал неотъемлемой частью работы современных SOC (Security Operations Center - центр управления безопасностью). Это позволяет выявлять угрозы на ранних стадиях, еще до начала масштабных атак. Таким образом, постоянный анализ угрозной инфраструктуры остается критически важным компонентом в глобальной борьбе с киберпреступностью.
Индикаторы компрометации
IPv4
- 147.79.20.165
- 154.36.158.166
- 166.88.100.64
- 166.88.100.71
- 172.93.220.237
- 3.114.19.102
- 35.72.185.60
- 38.54.89.19
- 45.32.37.156
- 54.249.141.45
- 57.183.58.160
- 64.176.36.191
- 8.216.41.238
