- Автор темы
- #1
Специалисты Lumen Technology предупредили, что операторы ботнета SystemBC охотятся за уязвимыми VPS и делают из них прокси. Ежедневно в составе SystemBC активны около 1500 ботов, которые обеспечивают преступникам канал для вредоносной активности.
По данным исследователей, скомпрометированные серверы расположены по всему миру. Все они имеют как минимум одну незакрытую критическую уязвимость, а некоторые страдают от десятков различных проблем.
Ботнет SystemBC активен как минимум с 2019 года и ранее уже использовался различными хак-группами, включая вымогательские, для доставки полезных нагрузок. Ботнет позволяет злоумышленникам маршрутизировать вредоносный трафик через зараженные хосты и скрывать активность управляющих серверов.
Специалисты пишут, что SystemBC создан для обработки больших объемов трафика, и его операторы мало заботятся о скрытности. Кроме того, ботнет служит основой для других прокси-сетей и отличается «крайне длительным средним временем заражения».
Ни клиенты, ни операторы SystemBC не заботятся о скрытности, поскольку IP-адреса ботов никак не защищены (например, через обфускацию или ротацию). У SystemBC насчитывается более 80 управляющих серверов, которые соединяют клиентов с зараженными прокси и подпитывают другие прокси-сервисы.
Один из таких вредоносных сервисов — REM Proxy на 80% полагается на ботов SystemBC, предоставляя услуги своим клиентам, в зависимости от требуемого качества прокси. Среди других клиентов SystemBC специалисты называют некий крупный русскоязычный сервис для веб-скрапинга, а также вьетнамскую прокси-сеть, известную как VN5Socks или Shopsocks5.
Исследователи отмечают, что чаще всего операторы SystemBC используют ботнет для брутфорса учетных данных для WordPress. Затем они, вероятно, продают их брокерам, которые используют эти данные для внедрения вредоносного кода на сайты.
Эксперты пишут, что почти 80% сети SystemBC состоит из скомпрометированных VPS нескольких «крупных коммерческих провайдеров». Это позволяет злоумышленникам добиться более длительного времени заражения. Так, почти 40% систем остаются скомпрометированными более месяца.
Кроме того, компрометация VPS-систем позволяет SystemBC обеспечивать большие и стабильные объемы трафика для клиентов, что невозможно при использовании резидентных прокси на базе SOHO-устройств. Так, исследователи наблюдали, что «конкретный IP-адрес сгенерировал более 16 ГБ прокси-данных всего за 24 часа».
По данным исследователей, скомпрометированные серверы расположены по всему миру. Все они имеют как минимум одну незакрытую критическую уязвимость, а некоторые страдают от десятков различных проблем.
Ботнет SystemBC активен как минимум с 2019 года и ранее уже использовался различными хак-группами, включая вымогательские, для доставки полезных нагрузок. Ботнет позволяет злоумышленникам маршрутизировать вредоносный трафик через зараженные хосты и скрывать активность управляющих серверов.
Специалисты пишут, что SystemBC создан для обработки больших объемов трафика, и его операторы мало заботятся о скрытности. Кроме того, ботнет служит основой для других прокси-сетей и отличается «крайне длительным средним временем заражения».
Ни клиенты, ни операторы SystemBC не заботятся о скрытности, поскольку IP-адреса ботов никак не защищены (например, через обфускацию или ротацию). У SystemBC насчитывается более 80 управляющих серверов, которые соединяют клиентов с зараженными прокси и подпитывают другие прокси-сервисы.
Один из таких вредоносных сервисов — REM Proxy на 80% полагается на ботов SystemBC, предоставляя услуги своим клиентам, в зависимости от требуемого качества прокси. Среди других клиентов SystemBC специалисты называют некий крупный русскоязычный сервис для веб-скрапинга, а также вьетнамскую прокси-сеть, известную как VN5Socks или Shopsocks5.
Исследователи отмечают, что чаще всего операторы SystemBC используют ботнет для брутфорса учетных данных для WordPress. Затем они, вероятно, продают их брокерам, которые используют эти данные для внедрения вредоносного кода на сайты.
Эксперты пишут, что почти 80% сети SystemBC состоит из скомпрометированных VPS нескольких «крупных коммерческих провайдеров». Это позволяет злоумышленникам добиться более длительного времени заражения. Так, почти 40% систем остаются скомпрометированными более месяца.
Кроме того, компрометация VPS-систем позволяет SystemBC обеспечивать большие и стабильные объемы трафика для клиентов, что невозможно при использовании резидентных прокси на базе SOHO-устройств. Так, исследователи наблюдали, что «конкретный IP-адрес сгенерировал более 16 ГБ прокси-данных всего за 24 часа».
Судя по глобальной IP-телеметрии, один адрес (104.250.164[.]214), по-видимому, находится в центре активности по поиску и заражению новых жертв, а также хостит все 180 образцов малвари SystemBC.