В Японии за неделю обнаружили 64 сервера управления атаками: лидируют Cobalt Strike и китайские хостинги

Речь идёт о так называемых C2-серверах (серверах управления и контроля) - центральных узлах, через которые хакеры отдают команды заражённым компьютерам. В ходе мониторинга аналитики отслеживали сразу семь популярных фреймворков для построения таких сетей. Среди них оказались как хорошо известный Cobalt Strike, так и более новые инструменты вроде Havoc, Sliver, Mythic, SuperShell, Empire и NimPlant. Большинство этих платформ используются для проведения целевых атак и поддержания скрытого доступа к скомпрометированным системам.

Лидером по количеству обнаруженных серверов стал именно Cobalt Strike, который применяется уже много лет и по-прежнему остаётся самым востребованным инструментом у киберпреступников. За неделю эксперты насчитали 19 таких узлов. Следом за ним идёт Havoc - сравнительно новый фреймворк с открытым исходным кодом, который набирает популярность среди хакеров. Его обнаружили 14 раз. Тройку замкнул Sliver - ещё одно решение с открытым исходным кодом, которое часто используют как альтернативу Cobalt Strike. Он встретился 11 раз. Mythic и SuperShell поделили четвёртое место, попавшись по 10 раз каждый.

География размещения серверов оказалась весьма широкой, хотя некоторые закономерности всё же прослеживаются. Китайские хостинговые компании, такие как дочерние структуры Alibaba и Tencent, стали источником значительного числа угроз. Например, 19 мая на инфраструктуре Alibaba в Гонконге обнаружили сервер SuperShell, а 20 мая сразу три узла Cobalt Strike работали через сети Tencent. Американские провайдеры тоже активно используются злоумышленниками. Компания RouterHosting LLC, зарегистрированная в США, обслуживала сразу несколько серверов Mythic и Havoc. Европейские хостеры, включая немецкую Hetzner и французскую Contabo, также попали в статистику.

Весьма примечательно, что часть серверов была развёрнута на облачных платформах крупных вендоров. Например, 22 мая на британском сегменте Amazon Web Services специалисты нашли один из узлов Cobalt Strike, а 24 мая на ресурсах Amazon в США работал сервер Havoc. Даже инфраструктура Microsoft не стала исключением. 21 мая в Гонконге был замечен сервер SuperShell, использующий мощности облака Microsoft. Это лишний раз доказывает, что злоумышленники активно арендуют легитимные облачные мощности, чтобы не выделяться на фоне обычного трафика. Аналитики в своём отчёте подчеркнули, что выявить такие серверы становится всё сложнее, ведь они маскируются под обычные бизнес-приложения.

Не обошлось и без экзотических локаций. Один из серверов Mythic был размещён на Маврикии через местного провайдера MauritiusTelecom. Ещё один узел Sliver обнаружили в Молдове. Тайский провайдер AIS Fibre, южнокорейская LG HelloVision и украинские хостинги также попали в список. Такое разнообразие географии указывает на то, что атакующие стараются распределять свои ресурсы по разным юрисдикциям, чтобы затруднить блокировку и расследование.

Особый интерес представляет тот факт, что три сервера были зафиксированы на территории России и Украины. Например, 23 мая в сети украинского провайдера Limited Liability Company best Solutions заработал узел Sliver. Двумя днями ранее во Франции через местного оператора связи развернули ещё один Sliver. А на следующий день в Австрии через netcup GmbH появился очередной сервер того же типа. Это говорит о том, что преступники не привязаны к одной стране и готовы использовать мощности в любой точке мира.

Помимо самих C2-серверов, специалисты также зафиксировали активность нескольких вредоносных программ-стилеров. Это особый тип вредоносного ПО, которое ворует учётные данные, пароли и файлы с заражённых машин. В ходе расследования были обнаружены панели управления для стилеров Ask Stealer, Sign Stealer и Signature Stealer. Каждый из них имеет свою собственную инфраструктуру для сбора и выгрузки похищенных данных. Например, один из стилеров располагался по адресу 144[.]31[.]221[.]55, а два других висели на портах 7979 и 4040 соответственно. Подобные стилеры часто используются в качестве первого этапа атаки, после чего полученные данные позволяют хакерам получить доступ к корпоративным сетям.

Текущая статистика показывает, что борьба с командной инфраструктурой злоумышленников остаётся сложной задачей. Серверы открываются, закрываются и меняют провайдеров в течение нескольких часов. Тем не менее, регулярный мониторинг даёт возможность оперативно выявлять новые угрозы и передавать данные для блокировки. Японским компаниям, как и бизнесу по всему миру, стоит обратить внимание на эту статистику и пересмотреть свои политики доступа к облачным сервисам. Особенно важно фильтровать трафик к узлам, расположенным в Китае и США, где сосредоточено наибольшее количество опасных серверов. Использование поведенческого анализа сетевого трафика и систем выявления аномалий может помочь вовремя распознать попытки подключения к таким командным центрам.

IPv4

• 1.117.77.166
• 102.117.160.232
• 102.117.160.233
• 102.117.168.33
• 103.13.210.49
• 103.144.245.73
• 103.149.93.107
• 107.172.252.244
• 107.189.25.70
• 108.187.42.63
• 108.187.42.64
• 119.29.117.194
• 119.91.26.245
• 120.55.170.103
• 124.220.36.247
• 124.223.53.112
• 129.204.14.131
• 139.59.84.11
• 144.172.100.157
• 144.172.101.148
• 146.19.213.207
• 147.45.72.199
• 151.115.53.61
• 152.53.187.147
• 154.201.68.191
• 161.248.87.10
• 165.154.201.9
• 165.154.224.78
• 172.236.10.250
• 172.86.72.240
• 176.97.114.74
• 18.133.255.252
• 183.78.199.126
• 184.82.96.72
• 185.44.76.137
• 188.213.28.210
• 20.255.154.56
• 20.81.139.12
• 203.159.90.230
• 207.154.243.85
• 216.250.96.155
• 217.154.212.25
• 35.220.177.232
• 38.242.215.217
• 39.100.88.189
• 43.139.170.200
• 43.173.100.69
• 45.86.221.107
• 46.224.70.245
• 46.8.226.70
• 47.116.67.169
• 47.243.51.220
• 59.110.81.93
• 64.225.77.186
• 75.101.235.112
• 8.222.192.153
• 80.241.216.248
• 80.91.79.31
• 81.68.216.220
• 81.70.208.242
• 95.158.10.249
• 98.92.188.200

URLs

• http://144.172.92.46:4040/login
• http://144.31.221.55/dashboard
• http://69.197.168.170:7979/login