Арендовали VPS? Поздравляем, вы спонсируете российскую киберпреступность

leer en español

SystemBC Black Lotus Labs REM Proxy VPS WordPress ботнет
Арендовали VPS? Поздравляем, вы спонсируете российскую киберпреступность
SystemBC Black Lotus Labs REM Proxy VPS WordPress ботнет

Ботнет SystemBC превратил уязвимые VPS в глобальную сеть для кражи паролей.

image

Операторы ботнета SystemBC выстроили глобальную сеть, которая опирается на взломанные коммерческие виртуальные серверы и ежедневно поддерживает около 1500 активных узлов. Эти машины превращаются в инфраструктуру для перенаправления вредоносного трафика и сокрытия командных серверов. Специалисты Black Lotus Labs отмечают, что такая система держится на масштабе, а не на скрытности: адреса зараженных систем не маскируются и не меняются, что необычно для криминальных прокси-сетей.

Сам SystemBC известен с 2019 года и используется как для доставки вредоносных программ, так и для аренды ресурсов другими преступными сервисами. Например, сервис REM Proxy базируется примерно на 80% инфраструктуры SystemBC, предоставляя клиентам разные тарифы в зависимости от качества прокси. Среди прочих крупных пользователей выделяются российский сервис парсинга сайтов и вьетнамская сеть VN5Socks (она же Shopsocks5). Однако сами операторы больше всего используют сеть для перебора паролей к сайтам на WordPress, а затем перепродают доступ посредникам, внедряющим вредоносный код.

Более 80% задействованных машин — это виртуальные серверы крупных хостинг-провайдеров. Их особенностью является крайне высокий уровень уязвимостей: средний показатель — около двадцати дыр в защите, включая хотя бы одну критическую. В отчете Black Lotus Labs упоминается конкретный сервер из Алабамы, в котором система Censys зафиксировала 161 незакрытую брешь. Из-за такого состояния безопасности почти 40% узлов остаются зараженными больше месяца, что обеспечивает сети стабильность и большой объем пропускной способности. Для сравнения: скомпрометированный узел за сутки способен передавать свыше 16 гигабайт прокси-трафика — в разы больше, чем в бытовых прокси-сетях на основе домашних маршрутизаторов.

В основе управления работают более 80 командных серверов, которые соединяют клиентов с зараженными прокси. При этом выявлен центральный адрес — 104.250.164[.]214, на котором хранятся все 180 известных образцов SystemBC и через который идет вербовка новых жертв. После заражения машина скачивает shell-скрипт с русскоязычными комментариями, который запускает одновременно все варианты вредоносного ПО. Это гарантирует максимальное использование ресурса и устойчивость к попыткам блокировки. Даже масштабные операции силовых структур, такие как Endgame, не смогли вывести сеть из строя.

По наблюдениям Black Lotus Labs, долгоживущая инфраструктура SystemBC стала фундаментом для множества криминальных сервисов и до сих пор используется как базовый канал передачи нелегального трафика. В своем исследовании компания публикует технический разбор работы прокси-ботнета и индикаторы компрометации, которые помогут выявлять заражение и препятствовать эксплуатации серверов.