Una red proxy conocida como REM proxy funciona con malware conocido como SystemBCofreciendo en torno a del 80% de la botnet a sus usuarios, según nuevos hallazgos del equipo de Black Lotus Labs en Lumen Technologies.
“REM Proxy es una red considerable, que además comercializa un colección de 20,000 enrutadores Mikrotik y una variedad de proxies abiertos que encuentra gratis en término”, dijo la compañía en un crónica compartido con Hacker News. “Este servicio ha sido uno de los favoritos para varios actores, como los detrás de TransferLower, que tiene lazos con el colección de ransomware Morpheus”.
SystemBC es un malware basado en C que convierte las computadoras infectadas en proxies de Socks5, lo que permite que los hosts infectados se comuniquen con un servidor de comando y control (C2) y descargue cargas enseres adicionales. Primero documentado por PruebePoint en 2019, es capaz de dirigirse a los sistemas Windows y Linux.
En un crónica a principios de enero, cualquier.
Como suele ser el caso con cualquier alternativa proxy, los usuarios de la red llegan a SystemBC C2s en puertos de parada número, que luego enrutan al becario a una de las víctimas antiguamente de ganar a su destino.
Según Lumen, SystemBC Botnet comprende más de 80 servidores C2 y un promedio diario de 1,500 víctimas, de los cuales casi el 80% son sistemas de servidor privado supuesto (VPS) comprometidos de varios proveedores comerciales grandes. Curiosamente, 300 de esas víctimas son parte de otra botnet indicación GobruteForcer (además conocida como Gobrut).
De estos, cerca del 40% de los compromisos tienen una vida útil de infección “extremadamente larga”, que dura más de 31 días. Para empeorar las cosas, se ha enemigo que la gran mayoría de los servidores victimizados son susceptibles a varios defectos de seguridad conocidos. Cada víctima tiene 20 CVE sin parpadear y al menos una CVE crítica en promedio, con uno de los servidores VPS identificados en la ciudad de los Estados Unidos de Atlanta vulnerables a más de 160 CVE sin parpaderos.
“Las víctimas se convierten en representantes que permiten altos volúmenes de tráfico receloso para su uso por parte de una gran cantidad de grupos de amenazas criminales”, señaló la compañía. “Al manipular los sistemas VPS en circunstancia de los dispositivos en el espacio de IP residencial, como es peculiar en las redes proxy basadas en malware, SystemBC puede ofrecer representantes con cantidades masivas de grosor por períodos de tiempo más largos”.
Adicionalmente del proxy REM, algunos de los otros clientes del SystemBC incluyen al menos dos servicios de proxy diferentes basados en Rusia, un servicio de proxy vietnamita llamado VN5Socks (además conocido como ShopSocks5) y un servicio de raspado web ruso.
Crucial para el funcionamiento del malware es la dirección IP 104.250.164 (.) 214, que no solo aloja los artefactos, sino que además parece ser la fuente de ataques para enganchar víctimas potenciales. Una vez que se atrapan nuevas víctimas, se deja caer un script de shell en la máquina para entregar luego el malware.
La botnet funciona con poca consideración por el sigilo, con el objetivo principal de expandirse en grosor para enganchar tantos dispositivos como sea posible en la botnet. Uno de los casos de uso más grandes de la red ilícita es por los actores de amenaza detrás de SystemBC, que lo usan para credenciales del sitio de WordPress de fuerza bruta.
Es probable que el objetivo final venda las credenciales cosechadas a otros actores penales en los foros subterráneos, que luego las arman para inyectar código receloso en los sitios en cuestión para las campañas de seguimiento.
“SystemBC ha exhibido actividades sostenidas y resiliencia operativa en varios abriles, estableciéndose como un vector persistente en el interior del panorama de amenazas cibernéticas”, dijo Lumen. “Utilizado originalmente por los actores de amenaza para habilitar campañas de ransomware, la plataforma ha evolucionado para ofrecer la asamblea y la cesión de botnets a medida”.
“Su maniquí ofrece ventajas considerables: permite la ejecución de un gratitud generalizado, la difusión de spam y las actividades relacionadas, lo que permite a un atacante reservar fortuna proxy más selectivos para ataques específicos informados por la sumario de inteligencia previa”.
