Una red de proxy conocida como REM Proxy funciona con un malware conocido como Sistema BC , que ofrece alrededor del 80% de la botnet a sus usuarios, según los nuevos hallazgos del equipo de Black Lotus Labs de Lumen Technologies.
«REM Proxy es una red de gran tamaño, que también comercializa un conjunto de 20 000 enrutadores Mikrotik y una variedad de proxies abiertos que encuentra disponibles gratuitamente en línea», dijo la empresa dijo en un informe compartido con The Hacker News. «Este servicio ha sido el favorito de varios actores, como los que están detrás Cargador de transferencia , que tiene vínculos con el grupo de ransomware Morpheus».
Sistema BC es un malware basado en C que convierte los ordenadores infectados en servidores proxy SOCKS5, lo que permite a los hosts infectados comunicarse con un servidor de comando y control (C2) y descargar cargas útiles adicionales. Proofpoint lo documentó por primera vez en 2019 y es capaz de atacar ambos escaparates y Sistemas Linux .
En un informe publicado a principios de enero, ANY.RUN revelada que la variante Linux del implante proxy SystemBC está potencialmente diseñada para servicios corporativos internos y que se usa principalmente para atacar redes corporativas, servidores en la nube y dispositivos de IoT.
Como suele ocurrir con cualquier solución de proxy, los usuarios de la red se comunican con los SystemBC C2 en puertos con números altos, que luego dirigen al usuario hasta una de las víctimas antes de llegar a su destino.
Según Lumen, la botnet SystemBC comprende más de 80 servidores C2 y un promedio diario de 1500 víctimas, de las cuales casi el 80% son sistemas de servidores privados virtuales (VPS) comprometidos de varios grandes proveedores comerciales. Curiosamente, 300 de esas víctimas forman parte de otra red de bots llamada Go Brute Forcer (también conocido como GoBrut).
De estas, cerca del 40% de las infecciones comprometidas tienen una esperanza de vida de infección «promedio extremadamente larga», que dura más de 31 días. Para empeorar las cosas, se ha descubierto que la gran mayoría de los servidores víctimas son susceptibles a varios fallos de seguridad conocidos. Por término medio, cada víctima tiene 20 CVE sin parchear y al menos un CVE crítico, y uno de los servidores VPS identificados en la ciudad estadounidense de Atlanta es vulnerable a más de 160 CVE sin parchear.
«Las víctimas se convierten en proxies que permiten que una gran cantidad de grupos de amenazas delictivas utilicen grandes volúmenes de tráfico malicioso», señaló la empresa. «Al manipular los sistemas VPS en lugar de los dispositivos en un espacio IP residencial, como es habitual en las redes proxy basadas en malware, SystemBC puede ofrecer proxies con enormes cantidades de volumen durante períodos de tiempo más prolongados».
Además de REM Proxy, algunos de los otros clientes del SystemBC incluyen al menos dos servicios de proxy diferentes con sede en Rusia, un servicio de proxy vietnamita llamado VN5socks (también conocido como Shopsocks5) y un servicio de raspado web ruso.
La dirección IP 104.250.164 [.] 214 es crucial para el funcionamiento del malware, que no solo aloja los artefactos, sino que también parece ser la fuente de ataques para reclutar posibles víctimas. Una vez atrapadas las nuevas víctimas, se coloca un script de shell en la máquina para enviar el malware.
La botnet opera con poco respeto por el sigilo, y el objetivo principal es expandir su volumen para incluir tantos dispositivos como sea posible en la botnet. Uno de los casos de uso más frecuentes de esta red ilícita es el de los propios actores de amenazas que están detrás de SystemBC, que la utilizan para obtener por fuerza bruta las credenciales de los sitios de WordPress.
Es probable que el objetivo final sea vender las credenciales recopiladas a otros actores delictivos en foros clandestinos, quienes luego las convierten en armas para inyectar código malicioso a los sitios en cuestión para campañas de seguimiento.
«SystemBC ha demostrado una actividad sostenida y una resiliencia operativa a lo largo de varios años, estableciéndose como un vector persistente en el panorama de las ciberamenazas», dijo Lumen. «La plataforma, que originalmente utilizaban los actores de amenazas para posibilitar las campañas de ransomware, ha evolucionado para ofrecer el montaje y la venta de redes de bots a medida».
«Su modelo ofrece ventajas considerables: permite la ejecución de actividades generalizadas de reconocimiento, difusión de spam y actividades relacionadas, lo que permite a un atacante reservar recursos de proxy más selectivos para ataques selectivos basados en la recopilación previa de información de inteligencia».