Das seit mindestens 2019 aktive Proxy-Botnet SystemBC kompromittiert in großem Maßstab verwundbare virtuelle Server (VPS) und nutzt sie als leistungsstarke Zwischenstationen für die Verschleierung krimineller Aktivitäten. Nach Erkenntnissen von Lumen Technologies sind täglich rund 1.500 Bots aktiv, die stabile Anonymisierungskanäle für Malware-Kampagnen bereitstellen.
Architektur und Taktiken: hoher Durchsatz statt Tarnung
SystemBC setzt auf hohe Bandbreite und Verfügbarkeit, nicht auf ausgefeilte Tarnmechanismen. Auffällig ist, dass IP-Adressen der Bots weder stark obfuskiert noch häufig rotiert werden. Die Steuerung erfolgt über mehr als 80 C2-Server, die Kundenverkehr auf kompromittierte Proxy-Knoten terminieren und angrenzende Proxy-Dienste speisen.
Die Wahl von VPS als Infrastruktur liefert dem Botnet klare Vorteile: professionelle Provider-Backbones, konsistente Uptime und legitime IP-Reputation. Messungen belegen Fälle, in denen ein einzelner Host über 16 GB Proxy-Traffic in 24 Stunden erzeugte – deutlich über dem typischen Niveau klassischer Proxy-Botnets.
Verteilung, Persistenz und Missbrauch von VPS
Infizierte Systeme sind global verteilt und zeigen fast ausnahmslos mindestens eine kritische Schwachstelle. Etwa 80% der SystemBC-Infrastruktur bestehen aus VPS großer kommerzieller Anbieter. Das zahlt auf Persistenz ein: Nahezu 40% der Hosts bleiben länger als einen Monat kompromittiert, was die monetarisierbare Laufzeit der Nodes erhöht.
Downstream-Ökosystem: Proxy-Dienste und Wiederverwertung
SystemBC dient als Basis für weitere Netzwerke. Der Dienst REM Proxy stützt sich zu rund 80% auf SystemBC-Bots und moduliert Qualität und Preis entsprechend. Konsumenten sind u. a. ein größerer russischsprachiger Web-Scraping-Dienst sowie die vietnamesische VN5Socks/Shopsocks5-Infrastruktur. Dieses Geflecht verschleiert Herkunft und Zweck des Traffics zusätzlich.
Angriffskette: WordPress-Bruteforce und Zugangsbörsen
Beobachtet werden breit angelegte Bruteforce-Angriffe auf WordPress-Konten. Gewonnene Zugangsdaten werden mutmaßlich an Access-Broker verkauft, die kompromittierte Websites für Malware-Distribution, Phishing oder SEO-Spam instrumentalisieren. Durch den Rückgriff auf VPS-IP-Adressen wirken Angriffe legitimer und umgehen einfache IP-basierte Filter.
Indikatoren und Infrastrukturhinweise (IoCs)
Als zentraler Dreh- und Angelpunkt fällt die IP 104.250.164[.]214 auf: Sie wird sowohl zur Suche neuer Ziele als auch zur Verteilung von SystemBC-Loadern eingesetzt. Auf diesem Host wurden alle 180 zugehörigen Malware-Samples der aktuellen Kampagne beobachtet. Dieser IoC sollte in Monitoring- und Blocklisten berücksichtigt werden.
Empfehlungen: Härtung von VPS und Schutz von WordPress
Vulnerability Management: Betriebssysteme und Software zeitnah patchen, Basis-Hardening umsetzen, ungenutzte Dienste/Ports schließen. Kritische Schwachstellen priorisiert remediieren.
Zugriffskontrollen: SSH/RDP strikt per Allowlist begrenzen, MFA aktivieren und bevorzugt Schlüssel-basierte Authentifizierung statt Passwörtern nutzen. Geo- und Verhaltensrichtlinien ergänzen.
WordPress-Schutz: WAF einsetzen, Login-Rate-Limits konfigurieren, MFA für Admins, komplexe Passwörter und regelmäßige Updates von Core und Plugins. Logs aktiv auf Bruteforce- und Anomalie-Muster prüfen.
Traffic- und C2-Detection: NDR/EDR sowie NetFlow/PCAP-Analysen nutzen, um untypischen ausgehenden Verkehr, Volumensprünge und Proxy-Signaturen zu erkennen; bekannte C2-Domains und IoCs blockieren. Ein auffälliger Tagesdurchsatz (z. B. im zweistelligen GB-Bereich) ist ein belastbarer Frühindikator.
Incident Response: Verdächtige Hosts sofort isolieren, Zugangsdaten und Schlüssel neu ausstellen, Persistenzmechanismen prüfen, forensisch säubern und erst dann wieder in Betrieb nehmen.
Die Befunde basieren auf Telemetrie und Analysen von Lumen Technologies. Taktiken und Techniken ordnen sich u. a. in MITRE ATT&CK ein, etwa T1110 (Brute Force) und T1090 (Proxy). In der Praxis empfiehlt es sich, zusätzlich etablierte Leitlinien von CISA und OWASP für Härtung, Monitoring und Reaktionsprozesse zu berücksichtigen.
SystemBC verdeutlicht, wie lukrativ und nachhaltig die Ausbeutung verwundbarer VPS für Proxy-Botnets ist. Wer Risiken minimieren will, sollte Angriffsfläche und Egress-Traffic kontinuierlich überprüfen, Patches und MFA konsequent durchsetzen sowie IoCs aktiv blockieren. Beginnen Sie mit einer Bestandsaufnahme offener Verwaltungszugänge, erhöhen Sie die Härtungsstufe Ihrer Server und etablieren Sie ein belastbares Egress-Monitoring – je früher, desto geringer die Chance, unbemerkt Teil einer fremden Proxy-Infrastruktur zu werden.
