Еженедельное сканирование глобального интернета на предмет инфраструктуры злоумышленников выявило 80 активных командных центров в период с 8 по 14 июня 2026 года. Это результат целенаправленной охоты за серверами, которые хакеры используют для удалённого управления заражёнными устройствами. Подобные исследования критически важны для понимания текущих угроз и своевременного блокирования каналов связи атакующих.
Описание
Под командным центром понимается сервер, через который злоумышленник отдаёт команды вредоносному ПО. Обнаружение таких узлов позволяет выявить активные кампании и подготовиться к отражению атак. В отчёте за указанную неделю перечислены IP-адреса и типы используемых фреймворков - специализированных наборов инструментов для построения C2-инфраструктуры.
Самым популярным среди обнаруженных оказался Cobalt Strike - мощный инструмент для имитации атак, который часто применяется киберпреступниками для закрепления в сети и кражи данных. Его доля составила 22 сервера из 80. На втором месте расположился Sliver - современный опенсорсный фреймворк, набирающий популярность благодаря гибкости и кроссплатформенности. Он был найден на 21 IP-адресе. Третье место занял Mythic (14 серверов) - платформа с поддержкой множества агентов и возможностью шифрования трафика. Замыкают пятёрку Havoc (11 экземпляров), SuperShell (7) и Empire (5). Последние два фреймворка известны своей ориентацией на атаки через веб-интерфейсы и работу с PowerShell соответственно.
География размещения серверов оказалась очень широкой. Большая часть инфраструктуры была развёрнута в Китае (на IP-адресах провайдеров Alibaba, Tencent, China Unicom), США (Amazon, Oracle, DigitalOcean, HostPapa, Namecheap) и Сингапуре. Также отмечены узлы в Нидерландах, Маврикии, Франции, Германии, Гонконге, Латвии, Финляндии, Марокко и Люксембурге. Поставщиками облачных мощностей в основном выступают крупные дата-центры и хостинг-провайдеры, что усложняет блокировку целых подсетей.
Особого внимания заслуживает тот факт, что за одну неделю специалисты зафиксировали не только сами командные серверы, но и несколько работающих панелей управления стилерами - программами для кражи учётных данных. [Отчёт] включает перечень таких узлов: например, CookieGhost, StarGift Stealer версии 31, MTProto Key Stealer, Lucid Stealer и несколько вариантов 751 Stealer. Все они доступны по HTTP-адресам с портами 8080 или 5000 и представляют собой готовые веб-панели, что говорит о низком пороге входа для новых киберпреступников.
Наличие одновременно восьми различных панелей для кражи данных и cookies указывает на устойчивый спрос на такие инструменты в теневом секторе. Злоумышленники активно автоматизируют сбор паролей, сессионных токенов и банковских данных. При этом сами командные серверы C2 могут использоваться как для последующей продажи доступа, так и для развёртывания программ-вымогателей. Учитывая, что среди обнаруженных фреймворков есть как коммерческие (Cobalt Strike), так и бесплатные (Sliver, Mythic), можно говорить о диверсификации арсенала атакующих.
С точки зрения защиты предприятий и частных пользователей эта информация служит напоминанием о необходимости мониторить внешние соединения из корпоративной сети. Обнаружение обращений к перечисленным IP-адресам в логах прокси или межсетевого экрана почти наверняка означает компрометацию хотя бы одного рабочего места. Кроме того, регулярное обновление баз данных угроз и систем обнаружения вторжений, обучение персонала методам социальной инженерии остаются базовыми мерами, снижающими риск перехвата управления.
Текущая ситуация показывает, что инфраструктура командных серверов не только не сокращается, но и постоянно мигрирует между странами и провайдерами. Каждая новая неделя приносит десятки новых узлов, а атакующие продолжают совершенствовать инструменты, делая их менее заметными для традиционной сигнатурной защиты. Поэтому проактивный поиск C2 и анализ панелей стилеров становятся обязательной практикой для любого SOC (центра мониторинга безопасности), стремящегося опережать угрозы, а не реагировать на уже произошедшие инциденты.
Индикаторы компрометации
IPv4
- 102.117.162.191
- 102.117.165.173
- 102.117.166.116
- 102.117.169.57
- 103.160.59.17
- 104.168.64.205
- 104.225.149.151
- 105.69.67.73
- 107.189.11.149
- 109.107.140.248
- 109.199.109.62
- 111.119.234.82
- 114.132.89.132
- 120.55.246.213
- 120.76.41.150
- 134.209.108.57
- 137.184.163.27
- 139.59.106.160
- 146.71.85.53
- 150.40.117.134
- 153.0.195.156
- 154.40.58.52
- 154.83.186.106
- 155.94.193.170
- 156.234.211.138
- 156.234.211.162
- 156.234.211.165
- 156.234.211.220
- 156.238.235.199
- 157.230.248.213
- 159.65.22.41
- 159.89.48.54
- 16.170.32.198
- 160.30.209.132
- 175.178.123.42
- 18.175.227.88
- 182.255.82.121
- 185.122.171.217
- 185.163.2.10
- 185.167.60.46
- 185.245.182.240
- 186.246.16.124
- 188.239.22.26
- 192.144.213.21
- 192.210.174.149
- 193.242.184.158
- 2.26.228.27
- 20.218.149.195
- 20.218.157.204
- 201.229.119.55
- 202.73.4.137
- 203.88.125.186
- 207.174.30.91
- 207.211.163.106
- 207.56.226.75
- 217.154.212.25
- 217.69.4.107
- 219.92.2.65
- 35.225.227.214
- 38.181.42.160
- 43.156.218.130
- 45.149.154.219
- 45.87.53.6
- 47.121.181.148
- 5.230.201.54
- 52.40.33.72
- 63.250.47.156
- 64.89.161.183
- 66.116.238.103
- 67.205.141.81
- 74.48.108.73
- 74.48.202.123
- 8.138.103.47
- 8.219.158.30
- 81.71.20.155
- 89.125.255.5
- 91.236.230.152
- 92.242.164.31
- 95.182.84.43
URLs
- http://130.51.23.240/
- http://185.103.166.93/login
- http://185.103.166.93:3001/login
- http://20.87.213.75:8080/login
- http://20.87.213.75:8080/register
- http://204.10.194.239:8080/login
- http://31.76.11.100:5000/
- http://66.42.114.65:8080/login
- http://66.42.114.65:8080/register
- http://92.5.57.240:4000
- http://93.152.224.46:8080/login