Una red proxy conocida como REM proxy funciona con malware conocido como SystemBCofreciendo alrededor del 80% de la botnet a sus usuarios, según nuevos hallazgos del equipo de Black Lotus Labs en Lumen Technologies.
«REM Proxy es una red considerable, que también comercializa un grupo de 20,000 enrutadores Mikrotik y una variedad de proxies abiertos que encuentra gratuitamente en línea», dijo la compañía en un informe compartido con Hacker News. «Este servicio ha sido uno de los favoritos para varios actores, como los detrás de TransferLower, que tiene lazos con el grupo de ransomware Morpheus».
SystemBC es un malware basado en C que convierte las computadoras infectadas en proxies de Socks5, lo que permite que los hosts infectados se comuniquen con un servidor de comando y control (C2) y descargue cargas útiles adicionales. Primero documentado por PruebePoint en 2019, es capaz de dirigirse a los sistemas Windows y Linux.
En un informe a principios de enero, cualquier.
Como suele ser el caso con cualquier solución proxy, los usuarios de la red llegan a SystemBC C2s en puertos de alto número, que luego enrutan al usuario a una de las víctimas antes de llegar a su destino.
Según Lumen, SystemBC Botnet comprende más de 80 servidores C2 y un promedio diario de 1,500 víctimas, de los cuales casi el 80% son sistemas de servidor privado virtual (VPS) comprometidos de varios proveedores comerciales grandes. Curiosamente, 300 de esas víctimas son parte de otra botnet llamada GobruteForcer (también conocida como Gobrut).
De estos, cerca del 40% de los compromisos tienen una vida útil de infección «extremadamente larga», que dura más de 31 días. Para empeorar las cosas, se ha encontrado que la gran mayoría de los servidores victimizados son susceptibles a varios defectos de seguridad conocidos. Cada víctima tiene 20 CVE sin parpadear y al menos una CVE crítica en promedio, con uno de los servidores VPS identificados en la ciudad de los Estados Unidos de Atlanta vulnerables a más de 160 CVE sin parpaderos.
«Las víctimas se convierten en representantes que permiten altos volúmenes de tráfico malicioso para su uso por parte de una gran cantidad de grupos de amenazas criminales», señaló la compañía. «Al manipular los sistemas VPS en lugar de los dispositivos en el espacio de IP residencial, como es típico en las redes proxy basadas en malware, SystemBC puede ofrecer representantes con cantidades masivas de volumen por períodos de tiempo más largos».
Además del proxy REM, algunos de los otros clientes del SystemBC incluyen al menos dos servicios de proxy diferentes basados en Rusia, un servicio de proxy vietnamita llamado VN5Socks (también conocido como ShopSocks5) y un servicio de raspado web ruso.
Crucial para el funcionamiento del malware es la dirección IP 104.250.164 (.) 214, que no solo aloja los artefactos, sino que también parece ser la fuente de ataques para reclutar víctimas potenciales. Una vez que se atrapan nuevas víctimas, se deja caer un script de shell en la máquina para entregar posteriormente el malware.
La botnet funciona con poca consideración por el sigilo, con el objetivo principal de expandirse en volumen para alistar tantos dispositivos como sea posible en la botnet. Uno de los casos de uso más grandes de la red ilícita es por los actores de amenaza detrás de SystemBC, que lo usan para credenciales del sitio de WordPress de fuerza bruta.
Es probable que el objetivo final venda las credenciales cosechadas a otros actores penales en los foros subterráneos, que luego las arman para inyectar código malicioso en los sitios en cuestión para las campañas de seguimiento.
«SystemBC ha exhibido actividades sostenidas y resiliencia operativa en varios años, estableciéndose como un vector persistente dentro del panorama de amenazas cibernéticas», dijo Lumen. «Utilizado originalmente por los actores de amenaza para habilitar campañas de ransomware, la plataforma ha evolucionado para ofrecer la asamblea y la venta de botnets a medida».
«Su modelo ofrece ventajas considerables: permite la ejecución de un reconocimiento generalizado, la difusión de spam y las actividades relacionadas, lo que permite a un atacante reservar recursos proxy más selectivos para ataques específicos informados por la recopilación de inteligencia previa».