SystemBC охотится за уязвимыми VPS и строит из них прокси-сеть: разбор исследования Lumen Technologies

CyberSecureFox 🦊

Операторы ботнета SystemBC системно компрометируют уязвимые виртуальные серверы (VPS) и превращают их в высокопроизводительные прокси-узлы. По оценке Lumen Technologies, ежедневно в сети активно около 1500 ботов, обеспечивающих злоумышленникам стабильные каналы для анонимизации вредоносной активности и скрытия управляющих серверов.

Масштаб и архитектура SystemBC: прокси-ботнет без оглядки на скрытность

SystemBC действует как минимум с 2019 года и неоднократно использовался различными группами, включая вымогательские, для доставки полезных нагрузок и маршрутизации трафика. Ключевая особенность — ориентация на большие объёмы сетевого трафика при минимальном акценте на стелс: IP-адреса ботов не обфусцируются и не ротируются, а управление ведётся через более чем 80 C2-серверов, которые связывают клиентов с заражёнными прокси-узлами и подпитывают смежные прокси-сервисы.

География компрометаций и устойчивость заражений

Скомпрометированные хосты распределены по всему миру. Практически каждый из них имеет как минимум одну критическую уязвимость, а часть страдает от множества проблем конфигурации и недостающих патчей. Около 80% инфраструктуры SystemBC составляют VPS крупных коммерческих провайдеров — фактор, обеспечивающий длительную «живучесть» узлов: почти 40% систем остаются заражёнными свыше месяца.

Опора на VPS, а не на резидентные прокси из SOHO-сегмента, даёт ботнету устойчивые каналы и высокую пропускную способность. Исследователи фиксировали случаи, когда один IP генерировал свыше 16 ГБ прокси-трафика за 24 часа — это, по их словам, на порядок выше типичных значений для прокси-ботнетов.

Экосистема прокси-сервисов вокруг SystemBC

SystemBC служит базовой инфраструктурой для других сетей. Так, сервис REM Proxy примерно на 80% опирается на ботов SystemBC, варьируя качество и стоимость прокси для клиентов. Среди потребителей мощности SystemBC также фигурируют крупный русскоязычный сервис веб-скрапинга и вьетнамская сеть VN5Socks/Shopsocks5. Такая «прокси-экономика» повышает монетизацию операторами ботнета и усложняет атрибуцию трафика.

Тактика злоумышленников: брутфорс WordPress и последующая перепродажа доступов

Наблюдаемая поведенческая модель включает масштабный брутфорс учётных записей WordPress. Полученные учётные данные, вероятно, продаются брокерам доступов, которые затем внедряют вредоносный код на сайты — для распространения малвари, фишинга или SEO-спама. Прокси-узлы SystemBC при этом маскируют источник атак, повышая их «легитимность» за счёт IP-адресов коммерческих провайдеров.

Индикаторы активности: централизованный поиск жертв и хостинг малвари

Согласно глобальной IP-телеметрии, адрес 104.250.164[.]214 играет заметную роль в поиске новых жертв и распространении загрузчиков SystemBC; на нём было замечено хостингование всех 180 образцов малвари, связанных с текущей кампанией. Этот индикатор стоит учитывать при настройке мониторинга и блокировок на периметре.

Рекомендации для владельцев VPS и веб-ресурсов

Управление уязвимостями: оперативно устанавливайте патчи ОС и ПО, применяйте базовую хардениг-конфигурацию, устраняйте известные критические уязвимости и закрывайте неиспользуемые порты.

Сегментация и доступ: ограничьте SSH/RDP по спискам разрешённых адресов (allowlist), включите MFA, используйте ключи вместо паролей, внедрите гео- и поведенческие политики доступа.

Защита WordPress: применяйте WAF, ограничения частоты попыток входа, MFA для админов, сложные пароли и регулярные обновления ядра/плагинов; мониторьте логи на предмет брутфорса и аномалий авторизации.

Детектирование трафика прокси: используйте NDR/EDR и NetFlow/PCAP-аналитику для выявления нетипичного исходящего трафика (в т.ч. рост объёмов, нестандартные порты, прокси-шаблоны); внедрите блок-листы известных C2/индикаторов.

Инцидент-реакция: при признаках компрометации изолируйте хост, перевыпустите секреты, проверьте на наличие персистентности, проведите форензику и очистку перед возвратом в эксплуатацию.

SystemBC демонстрирует, что массовая эксплуатация уязвимых VPS стала выгодной и устойчивой моделью для прокси-ботнетов: высокий аптайм, большая пропускная способность и длительное время удержания узлов делают такие сети привлекательными для криминальных экосистем. Регулярный аудит поверхности атаки, дисциплина обновлений и многофакторная защита критичных сервисов — минимально необходимый набор, чтобы снизить риск оказаться частью чужой прокси-инфраструктуры.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.