Операторы вредоносного ПО SystemBC охотятся за уязвимыми коммерческими виртуальными выделенными серверами (VPS) и ежедневно поддерживают в рабочем состоянии в среднем 1500 ботов, обеспечивающих канал для вредоносного трафика.
Компрометированные серверы находятся по всему миру и имеют как минимум одну критическую уязвимость, не закрытую обновлениями — некоторые из них имеют десятки разных уязвимостей.
SystemBC существует как минимум с 2019 года и использовался различными злоумышленниками, включая несколько групп, для распроспространения шифровальщиков а также для доставки вредоносных нагрузок.
Он позволяет атакующим перенаправлять вредоносный трафик через заражённый хост и скрывать активность командно-контрольных (C2) серверов, что затрудняет обнаружение.
По данным исследователей, ни операторы, ни клиенты SystemBC не стремятся оставаться незаметными — IP-адреса ботов никак не защищены (например, не скрываются и не ротируются).
У SystemBC более 80 C2-серверов, которые соединяют клиентов с заражёнными прокси-серверами и помогают другим сервисам прокси-сетей.
Один из таких вредоносных сервисов под названием REM Proxy использует около 80% ботов SystemBC, предлагая клиентам многоуровневые услуги в зависимости от качества прокси.
Ещё одним крупным клиентом SystemBC является российский сервис веб-скрапинга, а также вьетнамская прокси-сеть под названиями VN5Socks или Shopsocks5.
По словам Black Lotus Labs, это обеспечивает заражениям более долгую «жизнь»: около 40% систем остаются под контролем злоумышленников более месяца.
Все заражённые серверы имеют множество легко эксплуатируемых уязвимостей — в среднем 20 незакрытых проблем безопасности, включая как минимум одну критическую.
Исследователи обнаружили, например, один сервер в штате Алабама, который, согласно данным платформы интернет-разведки Censys, имел 161 уязвимость.
При запуске вредоносного ПО SystemBC в изолированной среде, исследователи зафиксировали, что один IP-адрес сгенерировал более 16 гигабайт прокси-трафика всего за 24 часа.
Согласно глобальной IP-телеметрии компании, один адрес — 104.250.164[.]214 — находится в центре деятельности по заражению новых жертв и хостит все 180 образцов вредоносного ПО SystemBC.
По результатам анализа, после заражения сервер скачивает shell-скрипт с комментариями на русском языке, который указывает боту запускать все образцы SystemBC одновременно.
Эта прокси-сеть активна уже долгое время и сумела устоять даже перед операцией правоохранительных органов, включая операцию Endgame, нацеленную на распространителей вредоносного ПО для нескольких ботнетов, включая SystemBC.
Black Lotus Labs предоставила подробный технический анализ вредоносного ПО SystemBC и индикаторы компрометации, которые помогут организациям распознавать атаки и мешать работе ботнета.
Компрометированные серверы находятся по всему миру и имеют как минимум одну критическую уязвимость, не закрытую обновлениями — некоторые из них имеют десятки разных уязвимостей.
SystemBC существует как минимум с 2019 года и использовался различными злоумышленниками, включая несколько групп, для распроспространения шифровальщиков а также для доставки вредоносных нагрузок.
Он позволяет атакующим перенаправлять вредоносный трафик через заражённый хост и скрывать активность командно-контрольных (C2) серверов, что затрудняет обнаружение.
Клиенты SystemBC
Согласно исследованию специалистов Black Lotus Labs компании Lumen Technologies, прокси-сеть SystemBC построена с прицелом на масштаб и не слишком заботится о скрытности. Она также используется другими прокси-сетями и характеризуется «долгим средним временем заражения».По данным исследователей, ни операторы, ни клиенты SystemBC не стремятся оставаться незаметными — IP-адреса ботов никак не защищены (например, не скрываются и не ротируются).
У SystemBC более 80 C2-серверов, которые соединяют клиентов с заражёнными прокси-серверами и помогают другим сервисам прокси-сетей.
Один из таких вредоносных сервисов под названием REM Proxy использует около 80% ботов SystemBC, предлагая клиентам многоуровневые услуги в зависимости от качества прокси.
Ещё одним крупным клиентом SystemBC является российский сервис веб-скрапинга, а также вьетнамская прокси-сеть под названиями VN5Socks или Shopsocks5.
Киберпреступные прокси-сервисы, использующие сеть SystemBC
Однако, как отмечают исследователи, сами операторы SystemBC используют его в основном для брутфорса учётных данных WordPress, которые, скорее всего, затем продаются брокерам, внедряющим вредоносный код на сайты.Атаки на уязвимые VPS
Почти 80% ежедневной сети SystemBC из 1500 ботов состоит из скомпрометированных VPS-систем от крупных коммерческих провайдеров.По словам Black Lotus Labs, это обеспечивает заражениям более долгую «жизнь»: около 40% систем остаются под контролем злоумышленников более месяца.
Все заражённые серверы имеют множество легко эксплуатируемых уязвимостей — в среднем 20 незакрытых проблем безопасности, включая как минимум одну критическую.
Исследователи обнаружили, например, один сервер в штате Алабама, который, согласно данным платформы интернет-разведки Censys, имел 161 уязвимость.
VPS-бот в сети SystemBC с 161 незакрытой уязвимостью
Компрометируя VPS, SystemBC обеспечивает своим клиентам высокий объём и стабильность трафика, чего невозможно достичь при использовании прокси на основе устройств SOHO-класса.При запуске вредоносного ПО SystemBC в изолированной среде, исследователи зафиксировали, что один IP-адрес сгенерировал более 16 гигабайт прокси-трафика всего за 24 часа.
Согласно глобальной IP-телеметрии компании, один адрес — 104.250.164[.]214 — находится в центре деятельности по заражению новых жертв и хостит все 180 образцов вредоносного ПО SystemBC.
По результатам анализа, после заражения сервер скачивает shell-скрипт с комментариями на русском языке, который указывает боту запускать все образцы SystemBC одновременно.
Эта прокси-сеть активна уже долгое время и сумела устоять даже перед операцией правоохранительных органов, включая операцию Endgame, нацеленную на распространителей вредоносного ПО для нескольких ботнетов, включая SystemBC.
Black Lotus Labs предоставила подробный технический анализ вредоносного ПО SystemBC и индикаторы компрометации, которые помогут организациям распознавать атаки и мешать работе ботнета.
- Источник #1: https://www.bleepingcomputer[.]com/news/security/systembc-malware-turns-infected-vps-systems-into-proxy-highway/
- Источник #2: https://blog.lumen.com/systembc-bringing-the-noise/