SystemBC让REM代理网络可以每天对80台C2服务器上的1500个VPS受害者进行攻击
SystemBC让REM代理网络可以每天对80台C2服务器上的1500个VPS受害者进行攻击
根据 Lumen Technologies 旗下的 Black Lotus Labs 团队的最新发现,一个名为REM Proxy的代理网络由SystemBC 恶意软件驱动,该网络向其用户提供了约80% 的僵尸网络资源。
Lumen 公司在一份报告中表示:“REM Proxy 是一个庞大的网络,同时还销售一批包含两万 台Mikrotik 路由器的资源池,以及它从网上发现的各种免费开放代理。它们的服务一直深受多个攻击团体的喜爱,比如与Morpheus 勒索软件组织有关联并隐身在TransferLoader背后的攻击者。”
SystemBC 是一种基于C 语言开发的恶意软件,它可以将受感染的计算机变成SOCKS5 代理服务器,允许受感染主机与命令与控制(C2)服务器通信,并下载额外的恶意负载。该恶意软件最早是在2019 年由Proofpoint 首次记录,能够攻击Windows 和Linux 系统。
在今年一月的一份报告中,ANY.RUN 揭示了SystemBC 的Linux 版本的代理植入程序可能是为企业内部服务而设计的,主要用于攻击企业网络、云服务器和物联网设备(IoT)。与通常的代理解决方案一样,该网络的用户会通过高端口号访问SystemBC 的C2 服务器,然后被路由到某个受害者机器,再转发到目标地址。
根据 Lumen 的说法,SystemBC 僵尸网络包含超过80 个C2 服务器,每天平均有1500 个受害者,其中将近 80% 是来自多个大型商业提供商被攻陷的虚拟专用服务器(VPS)系统。有趣的是,其中有300 个受害者也属于另一个名为GoBruteforcer(又称GoBrut)的僵尸网络。在这些受害主机中,接近40% 的感染案例具有“极其长的平均”感染周期,持续时间超过31 天。更糟糕的是,大多数被感染的服务器都被发现存在多个已知的安全漏洞。每个受害主机平均存在20 个未修补的CVE(公共漏洞披露),并至少存在一个关键漏洞;其中一台位于美国亚特兰大的VPS 服务器,被发现存在超过160 个未修补的CVE 漏洞。
该公司指出:“这些受害者主机被变成代理,支持大量的恶意流量,供多个犯罪威胁团体使用。通过操控 VPS 系统,而不是典型恶意代理网络那样利用住宅IP 空间中的设备,SystemBC 能够提供更大流量、更长在线时间的代理服务。”
除了REM Proxy,SystemBC 的其他客户还包括至少两个俄罗斯的代理服务商,一个名为VN5Socks(又称 Shopsocks5)的越南代理服务商,以及一个俄罗斯的网页爬虫服务。SystemBC 恶意软件的正常运行关键依赖于IP 地址104.250.164[.]214,该地址不仅用于托管恶意文件,还似乎是用于发起攻击、招募潜在受害者的来源。一旦新的受害者被控制,一段shell 脚本就会被投递到受害机器上,进而安装恶意软件。
该僵尸网络几乎不在意隐蔽性,其主要目标是尽可能扩大感染规模,让更多设备加入该网络。
该非法网络的最大用途之一,是让SystemBC 背后的攻击者使用其进行暴力破解WordPress网站的登录账号及密码。其最终目的很可能是将收集到的账号密码出售给地下论坛的其他犯罪分子,这些人随后利用这些账户在目标网站中注入恶意代码,用于后续攻击行动。
Lumen 表示:“SystemBC 展现出了持续的活动能力和运营韧性,持续多年,已成为网络威胁环境中的持久攻击向量。最初,它被用于支持勒索软件攻击,如今该平台已经演化为组建并出售定制僵尸网络的工具。他们的运营模式带来了显著优势:它能够执行广泛的侦察、垃圾邮件分发及其他相关活动,让攻击者能够将更有针对性的代理资源保留给经过情报收集后的定向攻击。”
Lumen 公司在一份报告中表示:“REM Proxy 是一个庞大的网络,同时还销售一批包含两万 台Mikrotik 路由器的资源池,以及它从网上发现的各种免费开放代理。它们的服务一直深受多个攻击团体的喜爱,比如与Morpheus 勒索软件组织有关联并隐身在TransferLoader背后的攻击者。”
SystemBC 是一种基于C 语言开发的恶意软件,它可以将受感染的计算机变成SOCKS5 代理服务器,允许受感染主机与命令与控制(C2)服务器通信,并下载额外的恶意负载。该恶意软件最早是在2019 年由Proofpoint 首次记录,能够攻击Windows 和Linux 系统。
在今年一月的一份报告中,ANY.RUN 揭示了SystemBC 的Linux 版本的代理植入程序可能是为企业内部服务而设计的,主要用于攻击企业网络、云服务器和物联网设备(IoT)。与通常的代理解决方案一样,该网络的用户会通过高端口号访问SystemBC 的C2 服务器,然后被路由到某个受害者机器,再转发到目标地址。
根据 Lumen 的说法,SystemBC 僵尸网络包含超过80 个C2 服务器,每天平均有1500 个受害者,其中将近 80% 是来自多个大型商业提供商被攻陷的虚拟专用服务器(VPS)系统。有趣的是,其中有300 个受害者也属于另一个名为GoBruteforcer(又称GoBrut)的僵尸网络。在这些受害主机中,接近40% 的感染案例具有“极其长的平均”感染周期,持续时间超过31 天。更糟糕的是,大多数被感染的服务器都被发现存在多个已知的安全漏洞。每个受害主机平均存在20 个未修补的CVE(公共漏洞披露),并至少存在一个关键漏洞;其中一台位于美国亚特兰大的VPS 服务器,被发现存在超过160 个未修补的CVE 漏洞。
该公司指出:“这些受害者主机被变成代理,支持大量的恶意流量,供多个犯罪威胁团体使用。通过操控 VPS 系统,而不是典型恶意代理网络那样利用住宅IP 空间中的设备,SystemBC 能够提供更大流量、更长在线时间的代理服务。”
除了REM Proxy,SystemBC 的其他客户还包括至少两个俄罗斯的代理服务商,一个名为VN5Socks(又称 Shopsocks5)的越南代理服务商,以及一个俄罗斯的网页爬虫服务。SystemBC 恶意软件的正常运行关键依赖于IP 地址104.250.164[.]214,该地址不仅用于托管恶意文件,还似乎是用于发起攻击、招募潜在受害者的来源。一旦新的受害者被控制,一段shell 脚本就会被投递到受害机器上,进而安装恶意软件。
该僵尸网络几乎不在意隐蔽性,其主要目标是尽可能扩大感染规模,让更多设备加入该网络。
该非法网络的最大用途之一,是让SystemBC 背后的攻击者使用其进行暴力破解WordPress网站的登录账号及密码。其最终目的很可能是将收集到的账号密码出售给地下论坛的其他犯罪分子,这些人随后利用这些账户在目标网站中注入恶意代码,用于后续攻击行动。
Lumen 表示:“SystemBC 展现出了持续的活动能力和运营韧性,持续多年,已成为网络威胁环境中的持久攻击向量。最初,它被用于支持勒索软件攻击,如今该平台已经演化为组建并出售定制僵尸网络的工具。他们的运营模式带来了显著优势:它能够执行广泛的侦察、垃圾邮件分发及其他相关活动,让攻击者能够将更有针对性的代理资源保留给经过情报收集后的定向攻击。”
关于作者
评论0次