Исследователи информационной безопасности подвели итоги очередного еженедельного мониторинга глобальной инфраструктуры управления атаками. С 1 по 7 июня 2026 года специалисты обнаружили 141 сервер, используемый злоумышленниками для контроля над взломанными системами. Речь идет о так называемых C2-серверах (серверах управления и контроля), которые выступают центральным звеном в цепочке кибератак.
Описание
Мониторинг охватил сразу несколько популярных фреймворков для удаленного управления. В поле зрения попали Cobalt Strike, SuperShell, Mythic, Sliver, Havoc, Empire и NimPlant. Каждый из этих инструментов позволяет атакующим отдавать команды зараженным устройствам, похищать данные и развивать атаку внутри сети жертвы.
Самым распространенным оказался фреймворк Sliver - на него пришлось 46 выявленных серверов. Это открытое программное обеспечение, которое набирает популярность среди злоумышленников благодаря гибкости и доступности. На втором месте расположился Mythic с 31 сервером. Третью строчку занял SuperShell - 21 экземпляр. Havoc и Cobalt Strike показали сопоставимые результаты: 19 и 18 серверов соответственно. Замыкают список Empire (5 серверов) и NimPlant (единственный экземпляр).
География размещения вредоносной инфраструктуры традиционно широка. Аналитики зафиксировали серверы в десятках стран, причем значительная их часть оказалась размещена на мощностях крупных облачных провайдеров и хостинговых компаний. Лидерами по числу инцидентов стали Китай, США, Нидерланды, Сингапур и Германия. Однако отдельные серверы обнаруживались и в более неожиданных локациях: на Маврикии, в Саудовской Аравии, Бразилии и Южной Африке.
Особую тревогу вызывает концентрация инфраструктуры на базе услуг крупных дата-центров. Злоумышленники активно арендуют мощности у DigitalOcean, Alibaba Cloud, Amazon Web Services, Microsoft Azure и Tencent. Это означает, что атакующие могут быстро разворачивать новые командные узлы и так же быстро отказываться от скомпрометированных адресов.
Аналитики в отчёте отметили, что облачные сервисы остаются идеальной средой для злоумышленников: низкая стоимость аренды, высокая доступность и возможность за считанные минуты создать новый сервер в любой точке мира делают их крайне привлекательными. В сочетании с растущей популярностью открытых C2-фреймворков это создает серьезные проблемы для служб защиты.
Стоит отметить, что распределение по дням недели не было равномерным. Пик обнаружений пришелся на 5 июня, когда специалисты зафиксировали сразу 44 сервера. Наименьшая активность наблюдалась 1 июня - всего 20 серверов. Такая волатильность может объясняться как особенностями работы самих злоумышленников, так и циклами сканирования исследовательской инфраструктуры.
Помимо основной статистики, в ходе мониторинга выявили две отдельные угрозы, связанные с кражей данных. Речь идет об инфраструктуре стилеров - вредоносных программ, специализирующихся на хищении паролей, данных банковских карт и файлов cookie. В отчёте упоминается программа 365-Stealer и продукт holdthismoney's Stealer. Первый был доступен по конкретному IP-адресу и порту, что указывает на активную работу панели управления стилером. Второй также представляет собой специализированное средство для сбора конфиденциальной информации.
Появление таких находок в рамках еженедельного мониторинга подтверждает системный характер угрозы. Злоумышленники не просто атакуют случайные цели - они строят целые сети серверов, объединяющие разные типы вредоносного ПО. Стилеры, как правило, работают в паре с C2-инфраструктурой: первый занимается кражей данных, второй обеспечивает управление зараженными машинами.
Главный вывод, который следует из полученных данных, заключается в том, что злоумышленники продолжают активно использовать публичные облачные инфраструктуры для размещения своих управляющих серверов. Открытые C2-фреймворки, такие как Sliver и Mythic, лишь упрощают эту задачу, обеспечивая атакующих готовыми и сложными инструментами.
Для специалистов по информационной безопасности результаты такого мониторинга служат сигналом к усилению контроля над сетевым трафиком к облачным провайдерам. Особое внимание следует уделять аномальным соединениям с серверами, арендованными через анонимные платежные системы или зарегистрированными на подставных лиц. Простая блокировка фиксированного набора IP-адресов здесь не поможет, так как злоумышленники легко меняют серверы. Требуются более глубокие методы анализа сетевых потоков и поведенческие детекторы.
Впрочем, сама по себе тенденция к росту числа C2-серверов у разных провайдеров не является новой. Она наблюдается на протяжении нескольких лет, и каждое новое исследование лишь подтверждает, что эта проблема не решена и вряд ли будет решена в ближайшее время. Главное оружие защитников - своевременное выявление такой инфраструктуры и обмен данными о ней внутри профессионального сообщества.
Индикаторы компрометации
IPv4
- 1.117.77.166
- 101.37.210.236
- 101.42.104.134
- 101.43.30.6
- 102.117.162.179
- 102.117.168.220
- 102.117.169.130
- 102.117.170.123
- 102.117.171.72
- 102.117.172.16
- 102.117.173.141
- 102.117.175.5
- 103.202.61.220
- 104.248.203.61
- 104.251.180.92
- 106.12.20.75
- 106.15.74.29
- 111.229.193.141
- 113.44.64.117
- 114.134.187.38
- 114.55.167.52
- 115.159.72.181
- 117.148.177.48
- 119.45.166.6
- 120.26.208.96
- 120.53.244.68
- 120.79.192.53
- 124.222.144.44
- 124.222.155.113
- 13.140.132.118
- 13.215.203.132
- 13.216.246.14
- 13.222.116.11
- 13.50.99.248
- 134.122.14.217
- 135.125.196.5
- 137.184.110.105
- 137.220.38.206
- 138.199.154.7
- 139.180.164.184
- 139.84.220.94
- 139.84.242.161
- 140.245.13.61
- 142.93.96.42
- 143.198.149.226
- 143.198.183.46
- 146.190.69.62
- 147.15.78.253
- 147.182.231.214
- 150.158.152.209
- 151.64.102.217
- 153.75.227.142
- 153.75.251.219
- 154.201.72.194
- 154.201.72.41
- 154.23.185.34
- 154.36.188.239
- 156.234.24.48
- 157.245.101.92
- 157.245.235.51
- 158.178.141.79
- 158.247.194.144
- 159.138.167.119
- 159.195.44.162
- 164.90.231.249
- 165.154.203.234
- 167.172.239.135
- 168.144.36.228
- 169.40.135.133
- 172.189.57.198
- 172.232.105.92
- 172.236.10.230
- 172.237.125.146
- 173.249.41.141
- 176.126.103.164
- 178.128.1.56
- 178.128.244.152
- 18.176.224.100
- 18.178.163.94
- 180.131.145.69
- 181.215.6.77
- 185.132.53.76
- 193.149.190.156
- 193.29.13.44
- 195.246.230.99
- 20.15.58.107
- 204.152.220.114
- 204.194.50.173
- 207.56.229.234
- 209.200.246.82
- 209.209.40.215
- 209.99.184.99
- 213.139.205.45
- 23.254.215.118
- 3.137.155.40
- 31.58.79.155
- 34.27.96.82
- 34.53.242.105
- 35.208.7.65
- 36.150.237.12
- 37.187.222.170
- 38.242.227.177
- 42.193.120.28
- 43.166.8.210
- 44.201.91.176
- 44.218.174.67
- 45.11.94.64
- 45.150.34.117
- 45.197.12.73
- 45.198.224.19
- 45.76.203.112
- 46.173.27.73
- 47.120.61.155
- 47.237.100.236
- 47.84.199.208
- 47.96.12.245
- 5.163.158.1
- 5.249.160.112
- 52.143.174.249
- 54.165.195.193
- 54.85.200.79
- 64.177.70.33
- 64.225.49.99
- 64.235.35.39
- 64.235.43.82
- 64.89.162.117
- 66.116.237.233
- 77.111.101.101
- 8.163.104.36
- 80.96.108.90
- 80.96.112.226
- 81.71.51.134
- 82.156.224.184
- 82.197.73.197
- 83.229.120.73
- 88.208.224.179
- 89.35.131.140
- 98.90.235.225
URLs
- 23.94.61.3:8444/login