SystemBC Proxy Botnet’in operatörleri, savunmasız ticari sanal özel sunucular (VPS) için avlanıyor ve her gün kötü niyetli trafik için bir otoyol sağlayan ortalama 1.500 bot koruyor.
Uzaklaştırılmış sunucular dünyanın her yerinde bulunur ve bazıları onlarca güvenlik sorunuyla boğuşan en az bir tane çıkarılmamış kritik güvenlik açığı vardır.
SystemBC en az 2019’dan beri var ve çeşitli fidye yazılımı çeteleri de dahil olmak üzere çeşitli tehdit aktörleri tarafından yükler sunmak için kullanıldı.
Saldırganların enfekte ana bilgisayar aracılığıyla kötü niyetli trafiği yönlendirmesine ve algılamayı daha zor hale getirmek için komut ve kontrol (C2) etkinliğini gizlemelerine izin verir.
SystemBC’nin müşterileri
Lumen Technology’nin Black Lotus Labs’taki araştırmacılara göre, SystemBC Proxy Network, Stealth için çok az endişe duyan hacim için üretilmiştir. Aynı zamanda diğer cezai vekalet ağlarına da güç verir ve “son derece uzun ortalama enfeksiyon yaşamları” vardır.
Araştırmacıların bulgularına dayanarak, ne müşteriler ne de SystemBC operatörleri düşük bir profil tutmaya önem vermez, çünkü botların IP adresleri hiçbir şekilde korunmaz (örneğin gizleme veya rotasyon yoluyla).
SystemBC, istemcileri enfekte olmuş bir proxy sunucusuna bağlayan 80’den fazla komut ve kontrol (C2) sunucusuna sahiptir ve diğer proxy ağ hizmetlerini besler.
REM Proxy adlı kötü amaçlı bir hizmet, gerekli proxy kalitesine bağlı olarak müşterilerine katmanlı hizmetler sunarak SystemBC’nin botlarının yaklaşık% 80’ine dayanır.
Büyük bir Rus web-scraping hizmeti, Vietnam tabanlı bir proxy ağı ile birlikte VN5Socks veya Shopsocks5 adlı bir başka önemli SystemBC müşterisidir.
Kaynak: Black Lotus Labs
Bununla birlikte, araştırmacılar, SystemBC operatörlerinin, sitelere kötü amaçlı kod enjekte eden brokerlere satılan Brute-Force WordPress kimlik bilgilerini en çok kullandıklarını söylüyor.
Savunmasız VPS’leri hedeflemek
Günlük 1.500 bottan oluşan SystemBC ağının neredeyse% 80’i, birden fazla “büyük ticari sağlayıcı” dan ödün verilen VPS sistemlerinden oluşmaktadır.
Black Lotus Labs, bunun ortalamanın yaklaşık% 40’ının bir aydan fazla bir süre ödün verdiği ortalamadan daha uzun bir enfeksiyon ömrüne izin verdiğini söylüyor.
Enfekte olmuş tüm sunucular birden fazla “yok edilmesi kolay” güvenlik açıklarına sahiptir, ortalama 20 açıklanmamış güvenlik sorunu ve en az bir kritik şiddetlidir.
Araştırmacılar ayrıca Alabama’da Censys internet istihbarat platformunun ve arama motorunun 161 güvenlik açığı olduğu listelenen bir sistem buldular.
Kaynak: Black Lotus Labs
VPS sistemlerinden ödün vererek SystemBC, müşterileri için yüksek hacimli, istikrarlı trafik olanak sağlar, bu da Soho cihazlarına dayalı konut vekil ağlarıyla mümkün değildir.
SystemBC kötü amaçlı yazılımları simüle edilmiş bir ortamda çalıştırarak, araştırmacılar “belirli bir IP adresi sadece 24 saat içinde 16 gigabayt proxy verisi üretti” gözlemlediler.
Black Lotus Labs araştırmacıları BleepingComputer ile paylaşılan bir raporda, “Bu miktar veri tipik proxy ağlarında yaygın olarak görülenden daha büyük bir büyüklük sırasıdır” dedi.
Şirketin Global IP telemetrisine dayanarak, bir adres, 104.250.164[.]214, mağdur işe alım faaliyetinin merkezinde yer alıyor ve ayrıca 180 SystemBC kötü amaçlı yazılım örneğine ev sahipliği yapıyor.
Araştırmacıların analizine göre, yeni enfekte olmuş bir sunucu, Rusça yorumları olan ve botu her SystemBC örneğini aynı anda çalıştırmaya yönlendiren bir kabuk komut dosyasını indirir.
Proxy ağı uzun zamandır aktiftir ve SystemBC dahil birden fazla botnet için kötü amaçlı yazılım damlalarını hedefleyen Endgame gibi kolluk operasyonlarına bile direndi.
Black Lotus Labs, kuruluşların uzlaşma girişimlerini belirlemelerine veya operasyonu bozmalarına yardımcı olmak için SystemBC Proxy kötü amaçlı yazılımının ayrıntılı bir teknik analizini sunar.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.