REM Proxy olarak bilinen bir proxy ağ, olarak bilinen kötü amaçlı yazılımlarla güçlendirilir. SystembcLumen Technologies’deki Black Lotus Labs ekibinin yeni bulgularına göre, BOTNET’in yaklaşık% 80’ini kullanıcılarına sunuyor.
Hacker News ile paylaşılan bir raporda, “REM Proxy, 20.000 Mikrotik yönlendiricilerinden oluşan bir havuzu ve çevrimiçi olarak serbestçe kullanılabilir bulduğu çeşitli açık vekilleri de pazarlayan büyük bir ağdır.” Dedi. “Bu hizmet, Morpheus Ransomware Group ile bağları olan TransferLoader’ın arkasındaki olanlar gibi çeşitli aktörler için favori oldu.”
SystemBC, enfekte bilgisayarları SOCKS5 vekillerine dönüştüren ve enfekte olmuş ana bilgisayarların bir komut ve kontrol (C2) sunucusu ile iletişim kurmasına ve ek yükler indirmesine izin veren C tabanlı bir kötü amaçlı yazılımdır. İlk olarak 2019’da Proofpoint tarafından belgelenen, hem Windows hem de Linux sistemlerini hedefleyebilir.
Bu Ocak ayının başlarında bir raporda, herhangi bir.Run, SystemBC Proxy implantının Linux varyantının potansiyel olarak dahili kurumsal hizmetler için tasarlandığını ve esas olarak kurumsal ağları, bulut sunucularını ve IoT cihazlarını hedeflemek için kullanıldığını ortaya koydu.
Genellikle herhangi bir proxy çözümünde olduğu gibi, ağ kullanıcıları yüksek numaralı bağlantı noktalarında SystemBC C2’lere ulaşır ve daha sonra kullanıcıyı hedeflerine ulaşmadan önce kurbanlardan birine yönlendirir.
Lumen’e göre, SystemBC botnet 80’den fazla C2 sunucusu ve günlük ortalama 1.500 kurbandan oluşuyor ve bunlardan yaklaşık% 80’i birkaç büyük ticari sağlayıcıdan tehlikeye atılmış sanal özel sunucu (VPS) sistemleri. İlginç bir şekilde, bu kurbanların 300’ü GobruteForcer (diğer adıyla Gobrut) adlı başka bir botnetin parçası.
Bunlardan, uzlaşmaların% 40’ına yakın “son derece uzun ortalama” enfeksiyon ömrüne sahiptir ve 31 günden fazla sürer. Daha da kötüsü, mağdur sunucuların büyük çoğunluğunun bilinen birkaç güvenlik kusuruna duyarlı olduğu bulunmuştur. Her kurbanın, ABD şehrinde tanımlanan VPS sunucularından biri olan ve 160’dan fazla CVVE’den fazla CVVE’ye karşı savunmasız olan her kurbanın ortalama 20’sinin tamamlanmamış CVE’si ve en az bir kritik CVE’si vardır.
Şirket, “Kurbanlar, bir dizi ceza tehdidi grubunun kullanımı için yüksek hacimli kötü amaçlı trafik sağlayan vekillere dönüştürülüyor.” “Kötü amaçlı yazılım tabanlı proxy ağlarında tipik olduğu gibi, konut IP alanındaki cihazlar yerine VPS sistemlerini manipüle ederek SystemBC, daha uzun süre büyük miktarda hacim olan vekiller sunabilir.”
REM Proxy’nin yanı sıra, SystemBC’nin diğer müşterilerinden bazıları en az iki farklı Rusya merkezli proxy hizmeti, VN5Socks (AKA Shopsocks5) adlı bir Vietnam proxy hizmeti ve bir Rus web kazıma hizmeti içerir.
Kötü amaçlı yazılımın işleyişi için çok önemli olan IP adresi 104.250.164[.]214, sadece eserlere ev sahipliği yapmakla kalmaz, aynı zamanda potansiyel kurbanları işe almak için saldırıların kaynağı gibi görünmektedir. Yeni kurbanlar verildikten sonra, daha sonra kötü amaçlı yazılımları teslim etmek için makineye bir kabuk komut dosyası bırakılır.
Botnet, Gizli’ye çok az saygı duyarak çalışır, birincil hedef, botnet’e mümkün olduğunca çok cihaz almak için hacimde genişlemektir. Yasadışı ağın en büyük kullanım durumlarından biri, SystemBC’nin kendisinin arkasındaki tehdit aktörleridir ve onu Brute-Force WordPress site kimlik bilgileri için kullanır.
Nihai hedefin, hasat edilen kimlik bilgilerini yeraltı forumlarındaki diğer suçlu aktörlere satması muhtemeldir, bu da daha sonra takip kampanyaları için söz konusu sitelere kötü amaçlı kod enjekte etmek için silahlandırır.
Lumen, “SystemBC, birkaç yıl boyunca sürekli faaliyet ve operasyonel esneklik sergiledi ve kendisini siber tehdit manzarasında kalıcı bir vektör olarak kurdu.” Dedi. “Başlangıçta tehdit aktörleri tarafından fidye yazılımı kampanyalarını mümkün kılmak için kullanılan platform, ısmarlama botnetlerin montajını ve satışını sunmak için gelişti.”
“Modelleri önemli avantajlar sunuyor: Yaygın keşif, spam yayma ve ilgili faaliyetlerin yürütülmesini sağlar ve bir saldırganın önceki istihbarat toplanması tarafından bilgilendirilen hedefli saldırılar için daha seçici vekalet kaynakları ayırmasına izin verir.”