La red proxy, conocida como LEM proxy, funciona con malware conocido como SystemBC, que proporciona a los usuarios alrededor del 80% de la botnet, según una nueva encuesta del equipo de Black Lotus Labs en Lumen Technologies.
«REM Proxy es una red considerable, que vende un grupo de 20,000 enrutadores Mikrotik y una variedad de proxies abiertos que están disponibles gratuitamente en línea», dijo un informe compartido con Hacker News. «El servicio es uno de los favoritos para varios actores, incluido el actor detrás de TransferLower, que está vinculado al grupo de ransomware Morpheus».
SystemBC es un malware basado en C que convierte una computadora infectada en un proxy de Socks5, lo que permite que los hosts infectados se comuniquen con los servidores de comando y control (C2) y descarguen cargas útiles adicionales. De esta manera, documentada por primera vez por Proofpoint en 2019, puede dirigirse a los sistemas Windows y Linux.
En un informe a principios de enero, cualquier.
Por lo general, al igual que con las soluciones proxy, los usuarios en la red llegan a SystemBC C2s en puertos avanzados, luego enrutan al usuario a una de las víctimas antes de llegar a su destino.
Según Lumen, SystemBC Botnet consta de más de 80 servidores C2 y un promedio de 1,500 víctimas por día, de los cuales casi el 80% han sido dañados por sistemas de servidor privado virtual (VPS) de varios proveedores comerciales grandes. Curiosamente, 300 de estas víctimas son parte de otra botnet llamada GobruteForcer (también conocida como Gobrut).
De estos, casi el 40% de los compromisos tienen una vida útil de infección «muy larga», que dura 31 días. Peor aún, se sabe que la mayoría de los servidores víctimas son susceptibles a algunos defectos de seguridad conocidos. Cada víctima tiene un promedio de 20 CVE no parpadeados y al menos una CVE importante, con uno de los servidores VPS identificados en la ciudad de Atlanta, EE. UU. Vulnerable a más de 160 CVE no remunerados.
«Las víctimas ahora son representantes que permiten grandes cantidades de tráfico malicioso para el uso de numerosos grupos de amenazas de crimen», dijo la compañía. «Al operar un sistema VPS en lugar de un dispositivo en un espacio de IP residencial, SystemBC puede proporcionar un proxy que proporciona grandes volúmenes durante mucho tiempo, como es típico en una red proxy basada en malware».
Además del proxy de REM, algunos de los otros clientes de SystemBC incluyen al menos dos servicios proxy basados en ruso diferentes, un servicio de proxy vietnamita llamado VN5Socks (también conocido como ShopSocks5) y un servicio de raspado web ruso.
La característica importante del malware es la dirección IP 104.250.164 (.) 214. Esta parece ser la causa de los ataques que no solo albergan artefactos, sino que reclutan bajas potenciales. Cuando se seduce una nueva víctima, se deja caer un guión de concha en la máquina y luego se entrega el malware.
Las botnets funcionan con poca consideración sigilosa, y el objetivo principal es expandir el volumen para mantener tantos dispositivos como sea posible en la botnet. Uno de los mayores casos de uso para las redes ilegales proviene de actores de amenaza detrás de SystemBC.
Es probable que el objetivo final venda calificaciones cosechadas a otros delincuentes en el Foro Underground, luego los arrayice para inyectar código malicioso en el sitio problemático para su próxima campaña.
«SystemBC ha demostrado actividad sostenible y resiliencia operativa a lo largo de los años, estableciéndolo como un vector sostenible dentro de un panorama de amenazas cibernéticas», dijo Lumen. «La plataforma utilizada originalmente por los actores de amenaza para habilitar campañas de ransomware ha evolucionado para proporcionar un ensamblaje y ventas personalizados de Botnet».
«Su modelo ofrece ventajas considerables, lo que permite un reconocimiento generalizado, la propagación de spam y las actividades relacionadas para llevar a cabo, lo que permite a los atacantes reservar recursos proxy más selectivos para ataques específicos notificados por colecciones de inteligencia anteriores».
Source link
