Les opérateurs du botnet proxy SystemBC recherchent des serveurs privés virtuels (VPS) commerciaux vulnérables et entretiennent en moyenne 1 500 robots chaque jour qui constituent une autoroute pour le trafic malveillant.
Les serveurs compromis sont situés partout dans le monde et présentent au moins une vulnérabilité critique non corrigée, dont certains sont en proie à des dizaines de problèmes de sécurité.
SystemBC existe depuis au moins 2019 et a été utilisé par divers acteurs de la menace, y compris plusieurs gangs de ransomwares, pour fournir des charges utiles.
Il permet aux attaquants d’acheminer le trafic malveillant via l’hôte infecté et de masquer l’activité de commande et de contrôle (C2) pour rendre la détection plus difficile.
Les clients de SystemBC
Selon des chercheurs des laboratoires Black Lotus de Lumen Technology, le réseau proxy SystemBC est conçu pour le volume sans se soucier de la furtivité. Il alimente également d’autres réseaux proxy criminels et a “des durées de vie d’infection moyennes extrêmement longues.”
Sur la base des conclusions des chercheurs, ni les clients ni les opérateurs de SystemBC ne se soucient de garder un profil bas, car les adresses IP des robots ne sont protégées d’aucune façon (par exemple par obscurcissement ou rotation).
SystemBC dispose de plus de 80 serveurs de commande et de contrôle (C2), qui connectent les clients à un serveur proxy infecté, et alimente d’autres services de réseau proxy.
Un service malveillant appelé REM Proxy s’appuie sur environ 80% des robots de SystemBC, fournissant des services à plusieurs niveaux à ses clients, en fonction de la qualité de proxy requise.
Un important service de grattage Web russe est un autre client important de SystemBC, ainsi qu’un réseau proxy basé au Vietnam appelé VN5Socks ou Shopsocks5.
Cependant, les chercheurs affirment que les opérateurs de SystemBC en font le plus usage pour forcer brutalement les informations d’identification WordPress qui sont probablement vendues à des courtiers qui injectent des sites avec du code malveillant.
Cibler les VPS vulnérables
Près de 80% du réseau SystemBC de 1 500 robots quotidiens se compose de systèmes VPS compromis provenant de plusieurs “grands fournisseurs commerciaux ».”
Black Lotus Labs affirme que cela permet une durée de vie des infections plus longue que la moyenne, près de 40% des systèmes restant compromis pendant plus d’un mois.
Tous les serveurs infectés présentent plusieurs vulnérabilités « faciles à exploiter », la moyenne étant de 20 problèmes de sécurité non corrigés et d’au moins un problème de gravité critique.
Les chercheurs ont également découvert un système en Alabama, répertorié par la plate-forme de renseignement sur Internet et le moteur de recherche Censys comme présentant des vulnérabilités de sécurité 161.
En compromettant les systèmes VPS, SystemBC permet un trafic stable et à haut volume pour ses clients, ce qui n’est pas possible avec les réseaux proxy résidentiels basés sur des périphériques SOHO.
En exécutant le logiciel malveillant SystemBC dans un environnement simulé, les chercheurs ont observé “qu’une adresse IP particulière génère un excès de 16 gigaoctets de données proxy » en seulement 24 heures.
“Cette quantité de données est d’un ordre de grandeur supérieur à ce qui est couramment observé dans les réseaux proxy typiques”, ont déclaré les chercheurs de Black Lotus Labs dans un rapport partagé avec Breachtrace.
Sur la base de la télémétrie IP mondiale de l’entreprise, une adresse, 104.250.164 [.]214, semble être au cœur de l’activité de recrutement des victimes et héberge également les 180 échantillons de logiciels malveillants SystemBC.
Selon l’analyse des chercheurs, un serveur nouvellement infecté télécharge un script shell, qui contient des commentaires en russe et demande au bot d’exécuter tous les échantillons SystemBC en même temps.
Le réseau proxy est actif depuis longtemps et a résisté même aux opérations d’application de la loi, telles que Endgame, qui ciblait les droppers de logiciels malveillants pour plusieurs botnets, y compris SystemBC.
Black Lotus Labs fournit une analyse technique détaillée du malware proxy SystemBC, ainsi que des indicateurs de compromission, pour aider les organisations à identifier les tentatives de compromission ou à perturber l’opération.