Hunting for enemy infrastructure in Japan
Censysを使い、C2とラベルされた日本のインフラストラクチャーを集計しました。
期間は2月3日から2月9日です。
I used Censys to tabulate the infrastructure labeled C2 and located in Japan.
The period is from 2/3 to 2/9 .
Total period
2/3~2/9
Total number of c2 servers found
7IP
Type of C2 servers found
| C2 | Numbers |
|---|---|
| Cobalt Strike | 2 |
| Brute Ratel C4 | 1 |
| Empire | 1 |
| NetSupportManager RAT 2 | 1 |
| NHAS Reverse SSH | 1 |
| Octopus | 1 |
Aggregate Data
| No | Date | IP | Autonomous System Number | Autonomous System Label | Censys label |
|---|---|---|---|---|---|
| 1 | 2月5日 | 13[.]208[.]245[.]242 | 16509 | AMAZON-02 | NetSupportManager RAT 2 |
| 2 | 2月5日 | 18[.]178[.]51[.]37 | 16509 | AMAZON-02 | Brute Ratel C4 |
| 3 | 2月5日 | 74[.]226[.]247[.]135 | 8075 | MICROSOFT-CORP-MSN-AS-BLOCK | Octopus |
| 4 | 2月6日 | 45[.]66[.]218[.]244 | 3258 | xTom Japan Co., Ltd. | Cobalt Strike |
| 5 | 2月7日 | 92[.]38[.]178[.]197 | 202422 | G-Core Labs S.A. | Cobalt Strike |
| 6 | 2月7日 | 48[.]218[.]60[.]118 | 8075 | MICROSOFT-CORP-MSN-AS-BLOCK | Empire |
| 7 | 2月8日 | 107[.]148[.]0[.]86 | 398993 | PEG-TY | NHAS Reverse SSH |
Appendix
Censys query
Empire
services.http.response.body_hashes="sha1:dcb32e6256459d3660fdc90e4c79e95a921841cc"
NHAS Reverse SSH
services.tls.certificates.leaf_data.issuer_dn="C=US, O=Cloudflare\\, Inc, CN=:3232"
Octopus
services.http.response.body_hashes="sha256:26f76fcfac4b29f4508615d74244793cef02d7f3027e410fe192d96c05c52d1d"
Special Thanks
この調査はCensys社のResearch Accessで行っております。
Research Accessを提供していただきありがとうございます。
