Выявлен 141 командный сервер злоумышленников: лидируют Sliver и Mythic

information security

Исследователи информационной безопасности подвели итоги очередного еженедельного мониторинга глобальной инфраструктуры управления атаками. С 1 по 7 июня 2026 года специалисты обнаружили 141 сервер, используемый злоумышленниками для контроля над взломанными системами. Речь идет о так называемых C2-серверах (серверах управления и контроля), которые выступают центральным звеном в цепочке кибератак.

Описание

Мониторинг охватил сразу несколько популярных фреймворков для удаленного управления. В поле зрения попали Cobalt Strike, SuperShell, Mythic, Sliver, Havoc, Empire и NimPlant. Каждый из этих инструментов позволяет атакующим отдавать команды зараженным устройствам, похищать данные и развивать атаку внутри сети жертвы.

Самым распространенным оказался фреймворк Sliver - на него пришлось 46 выявленных серверов. Это открытое программное обеспечение, которое набирает популярность среди злоумышленников благодаря гибкости и доступности. На втором месте расположился Mythic с 31 сервером. Третью строчку занял SuperShell - 21 экземпляр. Havoc и Cobalt Strike показали сопоставимые результаты: 19 и 18 серверов соответственно. Замыкают список Empire (5 серверов) и NimPlant (единственный экземпляр).

География размещения вредоносной инфраструктуры традиционно широка. Аналитики зафиксировали серверы в десятках стран, причем значительная их часть оказалась размещена на мощностях крупных облачных провайдеров и хостинговых компаний. Лидерами по числу инцидентов стали Китай, США, Нидерланды, Сингапур и Германия. Однако отдельные серверы обнаруживались и в более неожиданных локациях: на Маврикии, в Саудовской Аравии, Бразилии и Южной Африке.

Особую тревогу вызывает концентрация инфраструктуры на базе услуг крупных дата-центров. Злоумышленники активно арендуют мощности у DigitalOcean, Alibaba Cloud, Amazon Web Services, Microsoft Azure и Tencent. Это означает, что атакующие могут быстро разворачивать новые командные узлы и так же быстро отказываться от скомпрометированных адресов.

Аналитики в отчёте отметили, что облачные сервисы остаются идеальной средой для злоумышленников: низкая стоимость аренды, высокая доступность и возможность за считанные минуты создать новый сервер в любой точке мира делают их крайне привлекательными. В сочетании с растущей популярностью открытых C2-фреймворков это создает серьезные проблемы для служб защиты.

Стоит отметить, что распределение по дням недели не было равномерным. Пик обнаружений пришелся на 5 июня, когда специалисты зафиксировали сразу 44 сервера. Наименьшая активность наблюдалась 1 июня - всего 20 серверов. Такая волатильность может объясняться как особенностями работы самих злоумышленников, так и циклами сканирования исследовательской инфраструктуры.

Помимо основной статистики, в ходе мониторинга выявили две отдельные угрозы, связанные с кражей данных. Речь идет об инфраструктуре стилеров - вредоносных программ, специализирующихся на хищении паролей, данных банковских карт и файлов cookie. В отчёте упоминается программа 365-Stealer и продукт holdthismoney's Stealer. Первый был доступен по конкретному IP-адресу и порту, что указывает на активную работу панели управления стилером. Второй также представляет собой специализированное средство для сбора конфиденциальной информации.

Появление таких находок в рамках еженедельного мониторинга подтверждает системный характер угрозы. Злоумышленники не просто атакуют случайные цели - они строят целые сети серверов, объединяющие разные типы вредоносного ПО. Стилеры, как правило, работают в паре с C2-инфраструктурой: первый занимается кражей данных, второй обеспечивает управление зараженными машинами.

Главный вывод, который следует из полученных данных, заключается в том, что злоумышленники продолжают активно использовать публичные облачные инфраструктуры для размещения своих управляющих серверов. Открытые C2-фреймворки, такие как Sliver и Mythic, лишь упрощают эту задачу, обеспечивая атакующих готовыми и сложными инструментами.

Для специалистов по информационной безопасности результаты такого мониторинга служат сигналом к усилению контроля над сетевым трафиком к облачным провайдерам. Особое внимание следует уделять аномальным соединениям с серверами, арендованными через анонимные платежные системы или зарегистрированными на подставных лиц. Простая блокировка фиксированного набора IP-адресов здесь не поможет, так как злоумышленники легко меняют серверы. Требуются более глубокие методы анализа сетевых потоков и поведенческие детекторы.

Впрочем, сама по себе тенденция к росту числа C2-серверов у разных провайдеров не является новой. Она наблюдается на протяжении нескольких лет, и каждое новое исследование лишь подтверждает, что эта проблема не решена и вряд ли будет решена в ближайшее время. Главное оружие защитников - своевременное выявление такой инфраструктуры и обмен данными о ней внутри профессионального сообщества.

Индикаторы компрометации

IPv4

  • 1.117.77.166
  • 101.37.210.236
  • 101.42.104.134
  • 101.43.30.6
  • 102.117.162.179
  • 102.117.168.220
  • 102.117.169.130
  • 102.117.170.123
  • 102.117.171.72
  • 102.117.172.16
  • 102.117.173.141
  • 102.117.175.5
  • 103.202.61.220
  • 104.248.203.61
  • 104.251.180.92
  • 106.12.20.75
  • 106.15.74.29
  • 111.229.193.141
  • 113.44.64.117
  • 114.134.187.38
  • 114.55.167.52
  • 115.159.72.181
  • 117.148.177.48
  • 119.45.166.6
  • 120.26.208.96
  • 120.53.244.68
  • 120.79.192.53
  • 124.222.144.44
  • 124.222.155.113
  • 13.140.132.118
  • 13.215.203.132
  • 13.216.246.14
  • 13.222.116.11
  • 13.50.99.248
  • 134.122.14.217
  • 135.125.196.5
  • 137.184.110.105
  • 137.220.38.206
  • 138.199.154.7
  • 139.180.164.184
  • 139.84.220.94
  • 139.84.242.161
  • 140.245.13.61
  • 142.93.96.42
  • 143.198.149.226
  • 143.198.183.46
  • 146.190.69.62
  • 147.15.78.253
  • 147.182.231.214
  • 150.158.152.209
  • 151.64.102.217
  • 153.75.227.142
  • 153.75.251.219
  • 154.201.72.194
  • 154.201.72.41
  • 154.23.185.34
  • 154.36.188.239
  • 156.234.24.48
  • 157.245.101.92
  • 157.245.235.51
  • 158.178.141.79
  • 158.247.194.144
  • 159.138.167.119
  • 159.195.44.162
  • 164.90.231.249
  • 165.154.203.234
  • 167.172.239.135
  • 168.144.36.228
  • 169.40.135.133
  • 172.189.57.198
  • 172.232.105.92
  • 172.236.10.230
  • 172.237.125.146
  • 173.249.41.141
  • 176.126.103.164
  • 178.128.1.56
  • 178.128.244.152
  • 18.176.224.100
  • 18.178.163.94
  • 180.131.145.69
  • 181.215.6.77
  • 185.132.53.76
  • 193.149.190.156
  • 193.29.13.44
  • 195.246.230.99
  • 20.15.58.107
  • 204.152.220.114
  • 204.194.50.173
  • 207.56.229.234
  • 209.200.246.82
  • 209.209.40.215
  • 209.99.184.99
  • 213.139.205.45
  • 23.254.215.118
  • 3.137.155.40
  • 31.58.79.155
  • 34.27.96.82
  • 34.53.242.105
  • 35.208.7.65
  • 36.150.237.12
  • 37.187.222.170
  • 38.242.227.177
  • 42.193.120.28
  • 43.166.8.210
  • 44.201.91.176
  • 44.218.174.67
  • 45.11.94.64
  • 45.150.34.117
  • 45.197.12.73
  • 45.198.224.19
  • 45.76.203.112
  • 46.173.27.73
  • 47.120.61.155
  • 47.237.100.236
  • 47.84.199.208
  • 47.96.12.245
  • 5.163.158.1
  • 5.249.160.112
  • 52.143.174.249
  • 54.165.195.193
  • 54.85.200.79
  • 64.177.70.33
  • 64.225.49.99
  • 64.235.35.39
  • 64.235.43.82
  • 64.89.162.117
  • 66.116.237.233
  • 77.111.101.101
  • 8.163.104.36
  • 80.96.108.90
  • 80.96.112.226
  • 81.71.51.134
  • 82.156.224.184
  • 82.197.73.197
  • 83.229.120.73
  • 88.208.224.179
  • 89.35.131.140
  • 98.90.235.225

URLs

  • 23.94.61.3:8444/login

Комментарии: 0