SystemBC僵尸网络劫持了全球1万台设备用于DDoS攻击

SystemBC 恶意软件家族是一种持续性威胁，最早于 2019 年被发现，如今已发展成为一个庞大的僵尸网络基础设施，控制着全球超过 10,000 台被劫持的设备。

该恶意软件主要用作 SOCKS5 代理和后门，使威胁行为者能够掩盖其恶意流量并长期访问受感染的网络。

通过将受感染的系统转换为中继，僵尸网络允许攻击者通过受害者的机器路由命令和控制通信，有效地向防御者隐藏其真实位置，并使归因工作变得复杂。

这种“反向连接”架构创建了一个具有弹性的网络，该网络经受住了重大的执法干扰，包括欧洲刑警组织在 2024 年 5 月发起的“终局行动”。

基础设施并没有消失，而是进行了调整，将重点从住宅网络转移到了损害托管服务提供商。



这种战略转变使得感染持续时间比典型的恶意软件活动要长得多，平均系统被感染的时间长达 38 天，有些感染甚至持续超过 100 天。

僵尸网络是勒索软件部署的关键先导，它通过隧道传输流量以窃取数据并进行进一步利用。

Silent Push 的分析师指出，僵尸网络的复苏涉及对全球受感染 IP 地址的复杂追踪。



他们的研究发现，美国是主要目标，拥有超过 4300 台受感染的设备，其次是德国、法国和新加坡。

调查还揭露了敏感政府环境中令人震惊的漏洞，包括越南和布基纳法索境内托管官方网站的高密度服务器。

这些被入侵的资产经常被用来发动其他攻击或支持其他犯罪活动。

未检测到的 Perl 变体分析
此次行动的关键在于发现了一种此前未被记录的、用 Perl 编写的SystemBC变体，该变体专门用于规避传统的安全控制。

与僵尸网络命令基础设施通信的文件中包含这个不寻常的脚本，该脚本最初在主要防病毒引擎中均未被检测到。

这种变种通常由 ELF 二进制文件投放器部署，这些投放器被识别为“SafeObject”和“StringHash”，它们使用 UPX 打包来隐藏其恶意代码，使其无法通过静态分析工具进行分析。


一旦解压，这些投放器就会积极地在主机系统上搜索可写目录，然后执行数百个嵌入式有效载荷。

对投放器代码的调查显示，它异常“嘈杂”，并且充满了俄语字符串，这可能为威胁行为者的来源提供了线索。

由于 SystemBC 基础设施通常会发出入侵链早期阶段的信号，因此建议安全团队优先主动监控这些指标，以防止升级为勒索软件攻击。