SystemBC hỗ trợ REM Proxy với 1.500 nạn nhân VPS mỗi ngày trên 80 máy chủ C2

[Starlink]

Theo những phát hiện mới từ nhóm Black Lotus Labs tại Lumen Technologies, một mạng proxy có tên là REM Proxy được hỗ trợ bởi phần mềm độc hại có tên là SystemBC, cung cấp khoảng 80% botnet cho người dùng.

"REM Proxy là một mạng lưới lớn, đồng thời cũng tiếp thị một nhóm gồm 20.000 bộ định tuyến Mikrotik và nhiều proxy mở mà họ tìm thấy có sẵn miễn phí trực tuyến", công ty cho biết trong một báo cáo được chia sẻ với The Hacker News. "Dịch vụ này đã trở thành mục tiêu ưa thích của nhiều đối tượng, chẳng hạn như những kẻ đứng sau TransferLoader, có liên quan đến nhóm ransomware Morpheus."

SystemBC là một phần mềm độc hại dựa trên nền tảng C, biến máy tính bị nhiễm thành proxy SOCKS5, cho phép các máy chủ bị nhiễm giao tiếp với máy chủ chỉ huy và điều khiển (C2) và tải xuống các phần mềm độc hại bổ sung. Được Proofpoint ghi nhận lần đầu tiên vào năm 2019, phần mềm này có khả năng nhắm mục tiêu vào cả hệ thống Windows và Linux.

Trong một báo cáo đầu tháng 1,   Đăng nhập để xem liên kết tiết lộ rằng biến thể Linux của phần mềm cấy ghép proxy SystemBC có khả năng được thiết kế cho các dịch vụ nội bộ của công ty và chủ yếu được sử dụng để nhắm mục tiêu vào mạng công ty, máy chủ đám mây và thiết bị IoT.

Như thường lệ với bất kỳ giải pháp proxy nào, người dùng mạng sẽ kết nối tới SystemBC C2 trên các cổng có số cao, sau đó định tuyến người dùng đến một trong các nạn nhân trước khi đến đích.

Theo Lumen, botnet SystemBC bao gồm hơn 80 máy chủ C2 và trung bình mỗi ngày có 1.500 nạn nhân, trong đó gần 80% là các hệ thống máy chủ riêng ảo (VPS) bị xâm nhập từ một số nhà cung cấp dịch vụ thương mại lớn. Điều thú vị là 300 trong số những nạn nhân này là một phần của một botnet khác có tên là GoBruteforcer (hay còn gọi là GoBrut).

Trong số này, gần 40% các vụ xâm nhập có "tuổi thọ trung bình cực kỳ dài", kéo dài hơn 31 ngày. Tệ hơn nữa, phần lớn các máy chủ bị ảnh hưởng đều dễ bị tấn công bởi một số lỗ hổng bảo mật đã biết. Trung bình mỗi máy chủ bị ảnh hưởng có 20 lỗ hổng CVE chưa được vá và ít nhất một lỗ hổng CVE nghiêm trọng, trong đó một máy chủ VPS được xác định tại thành phố Atlanta, Hoa Kỳ dễ bị tấn công bởi hơn 160 lỗ hổng CVE chưa được vá.

"Nạn nhân bị biến thành proxy, cho phép lưu lượng truy cập độc hại lớn được nhiều nhóm tội phạm sử dụng", công ty lưu ý. "Bằng cách thao túng hệ thống VPS thay vì các thiết bị trong không gian IP dân dụng, như thường thấy trong các mạng proxy dựa trên phần mềm độc hại, SystemBC có thể cung cấp proxy với khối lượng lớn trong thời gian dài hơn."

Bên cạnh REM Proxy, một số khách hàng khác của SystemBC bao gồm ít nhất hai dịch vụ proxy khác nhau có trụ sở tại Nga, một dịch vụ proxy của Việt Nam có tên là VN5Socks (hay còn gọi là Shopsocks5) và một dịch vụ thu thập dữ liệu web của Nga.

Địa chỉ IP 104.250.164[.]214 đóng vai trò then chốt đối với hoạt động của phần mềm độc hại, không chỉ lưu trữ các hiện vật mà còn dường như là nguồn gốc của các cuộc tấn công nhằm thu hút nạn nhân tiềm năng. Khi nạn nhân mới bị mắc bẫy, một tập lệnh shell sẽ được cài vào máy để sau đó phát tán phần mềm độc hại.

Botnet hoạt động không mấy quan tâm đến tính ẩn danh, với mục tiêu chính là mở rộng quy mô để lôi kéo càng nhiều thiết bị vào botnet càng tốt. Một trong những trường hợp sử dụng mạng lưới bất hợp pháp phổ biến nhất là do chính những kẻ tấn công đứng sau SystemBC sử dụng nó để tấn công brute-force thông tin đăng nhập trang web WordPress.

Mục tiêu cuối cùng có thể là bán thông tin đăng nhập thu thập được cho những tội phạm khác trên các diễn đàn ngầm, sau đó biến chúng thành vũ khí để đưa mã độc vào các trang web đó cho các chiến dịch tiếp theo.

"SystemBC đã thể hiện hoạt động bền bỉ và khả năng phục hồi hoạt động trong nhiều năm qua, khẳng định vị thế là một công cụ đắc lực trong bối cảnh đe dọa mạng", Lumen cho biết. "Ban đầu, nền tảng này được các tác nhân đe dọa sử dụng để thực hiện các chiến dịch ransomware, nhưng sau đó đã phát triển để cung cấp dịch vụ lắp ráp và bán botnet theo yêu cầu."

"Mô hình của họ mang lại những lợi thế đáng kể: nó cho phép thực hiện hoạt động do thám trên diện rộng, phát tán thư rác và các hoạt động liên quan, cho phép kẻ tấn công dành riêng nhiều tài nguyên proxy có chọn lọc hơn cho các cuộc tấn công có mục tiêu dựa trên thông tin tình báo thu thập được trước đó."