В Японии выявлено семь активных серверов управления вредоносными ботнетами

В течение недельного периода наблюдения исследователи идентифицировали серверы, связанные с пятью различными типами C2-фреймворков. Среди них были обнаружены два экземпляра, использующие популярный инструмент для администрирования Red Team - Cobalt Strike, который часто перепрофилируется киберпреступниками из-за своей гибкости и способности обходить традиционные средства защиты. Ещё два сервера использовали фреймворк Brute Ratel C4, который позиционируется как усовершенствованная и более скрытная альтернатива Cobalt Strike. Кроме того, по одному серверу было связано с такими платформами, как Supershell, Sliver и Havoc. Последние три представляют собой открытые, активно развивающиеся пост-эксплуатационные фреймворки, которые набирают популярность в среде как этичных хакеров, так и злоумышленников.

Анализ автономных систем (AS), к которым принадлежали выявленные IP-адреса, показал, что инфраструктура распределена между различными хостинг-провайдерами. Два сервера, включая один экземпляр Cobalt Strike и сервер Supershell, были размещены в сети японского провайдера xTom Japan Corporation. Три сервера (один Sliver и два Brute Ratel C4) были обнаружены в облачной инфраструктуре Amazon Web Services (AS16509). Оставшиеся серверы использовали сети провайдеров The Constant Company, LLC и BrainStorm Network, Inc. Такое географическое и провайдерское разнообразие является стандартной тактикой для усложнения атрибуции атаки и затруднения её пресечения.

Само по себе наличие серверов с установленным Cobalt Strike или Brute Ratel C4 не является однозначным свидетельством противоправной деятельности, поскольку эти инструменты законно применяются для моделирования угроз и тестирования безопасности. Однако контекст их обнаружения через поиск по открытым данным, а также соседство с открыто вредоносными фреймворками, такими как Havoc, указывает на высокую вероятность их использования в реальных атаках. Злоумышленники активно арендуют VPS и облачные сервисы для быстрого развёртывания и смены своей управляющей инфраструктуры, что делает её устойчивой к блокировкам.

Последствия работы подобных C2-серверов на территории страны могут быть серьёзными. Через них может осуществляться управление ботнетом, кража конфиденциальных данных, распространение программ-вымогателей или проведение целевых атак на японские компании и государственные учреждения. Обнаружение именно в Японии может указывать как на локализацию целей атаки, так и на выбор злоумышленниками надёжной и высокоскоростной инфраструктуры для управления глобальными кампаниями.

Для специалистов по безопасности данный случай служит напоминанием о критической важности мониторинга исходящего сетевого трафика на предмет соединений с известными адресами командных серверов. Регулярное обновление индикаторов компрометации (IoC) в системах защиты, таких как IPS (система предотвращения вторжений) и современные EDR-решения (платформы для обнаружения и реагирования на конечных точках), является обязательной практикой. Кроме того, сетевым администраторам и аналитикам SOC (Центр управления информационной безопасностью) рекомендуется настраивать правила корреляции событий для выявления аномальной активности, характерной для фреймворков вроде Cobalt Strike, например, использование специфических портов, TLS-отпечатков или шаблонов DNS-запросов. Постоянный аудит собственной инфраструктуры на предмет случайно оставленных или скомпрометированных тестовых серверов также помогает избежать их использования злоумышленниками.

IPv4

• 103.106.228.129
• 13.158.165.149
• 13.230.133.203
• 18.180.199.50
• 193.111.30.21
• 202.182.97.24
• 45.143.234.55