Специалисты по кибербезопасности провели масштабное исследование инфраструктуры, используемой злоумышленниками для управления вредоносными атаками на территории Японии. В период с 7 по 14 июля 2025 года с помощью поискового инструмента Censys были обнаружены 15 серверов командования и управления (C2), связанных с различными типами вредоносного ПО. Среди выявленных угроз преобладают Cobalt Strike, NetSupportManager RAT и Sliver, что свидетельствует о разнообразии тактик, применяемых киберпреступниками.
Описание
Исследование показало, что большинство серверов C2 размещены на платформах облачных провайдеров, включая Amazon Web Services (AS16509), что затрудняет их обнаружение и блокировку. Четыре сервера использовали Cobalt Strike - популярный фреймворк для пентестинга, который часто эксплуатируется злоумышленниками для проведения атак. Два сервера работали на основе Sliver, относительно нового инструмента для постэксплуатации, который набирает популярность среди хакеров из-за своей гибкости и скрытности.
Особую озабоченность вызывает активность NetSupportManager RAT - удаленного административного инструмента, который злоумышленники адаптировали для кражи данных. В ходе исследования было обнаружено восемь его модификаций, включая версии 3, 5 и 8. Также были выявлены серверы, использующие VIPER, Havoc и AsyncRAT, что подтверждает тенденцию к использованию разнородных инструментов в рамках одной инфраструктуры.
Географический анализ показал, что часть серверов расположена в Японии, но многие работают через зарубежные хостеры, такие как xTom Japan Corporation и Datacamp Limited. Это усложняет расследование, поскольку злоумышленники намеренно распределяют инфраструктуру по разным юрисдикциям. Например, сервер AsyncRAT был размещен в сети LATITUDE-SH (AS396356), а два экземпляра VIPER - через xTom Japan Corporation и VMISS.
Эксперты отмечают, что злоумышленники активно меняют IP-адреса и используют легитимные сервисы для маскировки. Так, несколько серверов NetSupportManager RAT были обнаружены в Amazon Web Services, а один из серверов Sliver - в сети PEG-TY. Это демонстрирует, что киберпреступники всё чаще арендуют инфраструктуру у крупных провайдеров, чтобы избежать блокировок.
С точки зрения временных рамок пик активности пришелся на 11 и 14 июля, когда было зарегистрировано по четыре сервера C2. В частности, 11 июля были обнаружены два сервера Cobalt Strike на платформе CTG Server Limited (AS152194), а 14 июля - дополнительный сервер Cobalt Strike в сети DIGITALVIRT (AS11161).
Данное исследование подчеркивает необходимость усиления мониторинга сетевой активности и сотрудничества между провайдерами и правоохранительными органами. Поскольку злоумышленники продолжают совершенствовать методы обхода защиты, критически важно своевременно обновлять системы обнаружения угроз и делиться индикаторами компрометации (IoC) в профессиональном сообществе.
Индикаторы компрометации
IPv4
- 103.201.130.85
- 107.148.77.8
- 13.208.185.26
- 137.220.146.153
- 137.220.146.252
- 151.241.129.147
- 18.183.141.66
- 185.18.222.241
- 185.212.56.93
- 35.73.179.148
- 38.47.105.135
- 54.199.161.171
- 54.250.24.180
- 54.65.51.137
- 92.112.53.88
