Una red proxy conocida como REM proxy funciona con malware conocido como SystemBCofreciendo rodeando del 80% de la botnet a sus usuarios, según nuevos hallazgos del equipo de Black Lotus Labs en Lumen Technologies.
«REM Proxy es una red considerable, que igualmente comercializa un clan de 20,000 enrutadores Mikrotik y una variedad de proxies abiertos que encuentra gratis en andana», dijo la compañía en un noticia compartido con Hacker News. «Este servicio ha sido uno de los favoritos para varios actores, como los detrás de TransferLower, que tiene lazos con el clan de ransomware Morpheus».
SystemBC es un malware basado en C que convierte las computadoras infectadas en proxies de Socks5, lo que permite que los hosts infectados se comuniquen con un servidor de comando y control (C2) y descargue cargas efectos adicionales. Primero documentado por PruebePoint en 2019, es capaz de dirigirse a los sistemas Windows y Linux.
En un noticia a principios de enero, cualquier.
Como suele ser el caso con cualquier posibilidad proxy, los usuarios de la red llegan a SystemBC C2s en puertos de detención número, que luego enrutan al favorecido a una de las víctimas ayer de salir a su destino.
Según Lumen, SystemBC Botnet comprende más de 80 servidores C2 y un promedio diario de 1,500 víctimas, de los cuales casi el 80% son sistemas de servidor privado aparente (VPS) comprometidos de varios proveedores comerciales grandes. Curiosamente, 300 de esas víctimas son parte de otra botnet citación GobruteForcer (igualmente conocida como Gobrut).
De estos, cerca del 40% de los compromisos tienen una vida útil de infección «extremadamente larga», que dura más de 31 días. Para empeorar las cosas, se ha incompatible que la gran mayoría de los servidores victimizados son susceptibles a varios defectos de seguridad conocidos. Cada víctima tiene 20 CVE sin parpadear y al menos una CVE crítica en promedio, con uno de los servidores VPS identificados en la ciudad de los Estados Unidos de Atlanta vulnerables a más de 160 CVE sin parpaderos.
«Las víctimas se convierten en representantes que permiten altos volúmenes de tráfico taimado para su uso por parte de una gran cantidad de grupos de amenazas criminales», señaló la compañía. «Al manipular los sistemas VPS en extensión de los dispositivos en el espacio de IP residencial, como es característico en las redes proxy basadas en malware, SystemBC puede ofrecer representantes con cantidades masivas de convexidad por períodos de tiempo más largos».
Adicionalmente del proxy REM, algunos de los otros clientes del SystemBC incluyen al menos dos servicios de proxy diferentes basados en Rusia, un servicio de proxy vietnamita llamado VN5Socks (igualmente conocido como ShopSocks5) y un servicio de raspado web ruso.
Crucial para el funcionamiento del malware es la dirección IP 104.250.164 (.) 214, que no solo aloja los artefactos, sino que igualmente parece ser la fuente de ataques para enganchar víctimas potenciales. Una vez que se atrapan nuevas víctimas, se deja caer un script de shell en la máquina para entregar luego el malware.
La botnet funciona con poca consideración por el sigilo, con el objetivo principal de expandirse en convexidad para reclutar tantos dispositivos como sea posible en la botnet. Uno de los casos de uso más grandes de la red ilícita es por los actores de amenaza detrás de SystemBC, que lo usan para credenciales del sitio de WordPress de fuerza bruta.
Es probable que el objetivo final venda las credenciales cosechadas a otros actores penales en los foros subterráneos, que luego las arman para inyectar código taimado en los sitios en cuestión para las campañas de seguimiento.
«SystemBC ha exhibido actividades sostenidas y resiliencia operativa en varios primaveras, estableciéndose como un vector persistente en el interior del panorama de amenazas cibernéticas», dijo Lumen. «Utilizado originalmente por los actores de amenaza para habilitar campañas de ransomware, la plataforma ha evolucionado para ofrecer la asamblea y la saldo de botnets a medida».
«Su maniquí ofrece ventajas considerables: permite la ejecución de un gratitud generalizado, la difusión de spam y las actividades relacionadas, lo que permite a un atacante reservar capital proxy más selectivos para ataques específicos informados por la sumario de inteligencia previa».
