Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Злонамерниот софтвер SystemBC ги претвора заразените VPS системи во прокси автопат

Објавено: 19.09.2025

Операторите на прокси ботнетот SystemBC ловат ранливи комерцијални VPS (виртуелни приватни сервери) и одржуваат просечно 1.500 ботови дневно, кои служат како автопат за злонамерен интернет сообраќај.

Заразени сервери се наоѓаат низ целиот свет и имаат барем една критична небезбедна ранливост, а некои се погодени и со десетици безбедносни проблеми.

SystemBC постои уште од најмалку 2019 година и е користен од различни заканувачки актери, вклучително и неколку групи за откупен софтвер (ransomware), за испорака на малициозни кодови.
Овој софтвер им овозможува на напаѓачите да го насочат малициозниот сообраќај преку заразениот хост и да ја сокријат командно-контролната (C2) активност, со што се отежнува нејзиното откривање.

Клиенти на SystemBC

Според истражувачите од Black Lotus Labs на Lumen Technologies, прокси мрежата на SystemBC е изградена со фокус на голем обем, а не на тајност. Таа исто така напојува и други криминални прокси мрежи и има “екстремно долг просечен век на инфекција“.

Врз основа на наодите, ниту клиентите ниту операторите на SystemBC не се грижат да останат под радар, бидејќи IP адресите на ботовите не се заштитени на никаков начин (на пример, преку маскирање или ротација).

SystemBC користи повеќе од 80 командно-контролни (C2) сервери, кои ги поврзуваат клиентите со заразените прокси сервери, и ги напојува и други прокси услуги.

Една злонамерна услуга наречена REM Proxy се потпира на околу 80% од ботовите на SystemBC, нудејќи услуги со различен квалитет на прокси врз основа на побарувачката.

Голема руска услуга за вадење податоци од веб (web-scraping) е уште еден значаен клиент на SystemBC, како и виемнамска прокси мрежа позната како VN5Socks или Shopsocks5.

Киберкриминални прокси-услуги користејќи ја мрежата SystemBC

Сепак, истражувачите велат дека операторите на SystemBC најмногу ја користат мрежата за „brute-force“ напади на WordPress лозинки, кои веројатно потоа се продаваат на посредници што инјектираат злонамерен код во веб-страници.

Насочување кон ранливи VPS системи

Речиси 80% од мрежата на SystemBC, која брои 1.500 дневни ботови, се состои од заразени VPS системи од неколку големи комерцијални провајдери.

Black Lotus Labs вели дека ова овозможува подолг период на инфекција од просекот, при што речиси 40% од системите остануваат заразени повеќе од еден месец.

Сите заразени сервери имаат повеќе “лесни за експлоатација” ранливости, со просек од 20 нерасправени безбедносни проблеми, и најмалку една со критична тежина.

Истражувачите дури откриле и еден систем во Алабама кој, според платформата за интернет разузнавање Censys, има 161 безбедносна ранливост.

VPS бот во мрежата на SystemBC со 161 незакрпена ранливост

Со компромитирање на VPS системи, SystemBC овозможува високо-волуменски и стабилен интернет сообраќај за своите клиенти, нешто што не е возможно со резиденцијални прокси мрежи базирани на уреди во домаќинства (SOHO уреди).

Со симулација на SystemBC во контролирана средина, истражувачите забележале дека “една IP адреса генерирала повеќе од 16 гигабајти прокси податоци за само 24 часа“.

„Овој обем на податоци е декада поголем од она што обично се среќава во типичните прокси мрежи“, велат истражувачите од Black Lotus Labs во извештај објавен за BleepingComputer.

Врз основа на глобелеметриските податоци од компанијата, една IP адреса — 104.250.164[.]214 — изгледа дека е во центарот на регрутација на нови жртви и хостира сите 180 примероци од SystemBC малициозен софтвер.

Според анализата, секој новозаразен сервер презема shell скрипта, која содржи коментари на руски јазик, и го насочува ботот да ги изврши сите примероци од SystemBC истовремено.

Оваа прокси мрежа е активна подолго време и дури успеала да преживее полициски операции, како што е Endgame, која целеше кон уништување на дистрибутери на малициозен софтвер за повеќе ботнети, вклучувајќи го и SystemBC.

Black Lotus Labs обезбедува детална техничка анализа на прокси малициозниот софтвер SystemBC, заедно со индикатори за компромитирање, со цел организациите да можат да идентификуваат обиди за инфекција или да го нарушат неговото функционирање.

Извори:

  • Bleeping Computer– „SystemBC malware turns infected VPS systems into proxy highway“ .Bleeping Computer