Оператори SystemBC системно експлуатують уразливі віртуальні сервери (VPS), перетворюючи їх на високошвидкісні проксі-вузли. За оцінкою Lumen Technologies, у мережі щодня активно близько 1500 ботів, які забезпечують зловмисникам стійкі канали анонімізації трафіку та приховують інфраструктуру управління.
Масштаб та архітектура: проксі-мережа з акцентом на пропускну здатність
SystemBC діє щонайменше з 2019 року та використовується різними кримінальними групами, зокрема для доставки шкідливих завантажувачів і маршрутизації трафіку. Ключова особливість — фокус на великих обсягах мережевих даних за мінімального акценту на прихованість: IP-адреси ботів не обфускуються і не ротуються, а керування здійснюється через понад 80 C2-серверів, що з’єднують клієнтів із зараженими проксі-вузлами та підживлюють суміжні проксі-сервіси.
Географія заражень і довготривалість компрометацій
Скомпрометовані хости розподілені по всьому світу. Переважна більшість має щонайменше одну критичну вразливість, часто поєднану з помилковими налаштуваннями та відсутніми патчами. Приблизно 80% інфраструктури SystemBC — це VPS великих комерційних провайдерів, що забезпечує тривалу «живучість» вузлів: близько 40% систем залишаються зараженими понад місяць.
Опора на VPS, а не на побутові SOHO-пристрої, дає мережі стабільні канали та високу пропускну здатність. Дослідники фіксували випадки, коли один IP генерував понад 16 ГБ проксі-трафіку за 24 години — на порядок вище типових значень для проксі-ботнетів.
Проксі-екосистема: REM Proxy, скрепінг і VN5Socks/Shopsocks5
SystemBC слугує базовою інфраструктурою для інших сервісів. Зокрема, REM Proxy приблизно на 80% спирається на ботів SystemBC, варіюючи якість і ціну проксі для клієнтів. Серед споживачів потужностей згадуються великий русломовний сервіс веб-скрепінгу та в’єтнамська мережа VN5Socks/Shopsocks5, що підвищує монетизацію й ускладнює атрибуцію трафіку.
Тактики зловмисників: брутфорс WordPress і торгівля доступами
Спостерігається масштабний брутфорс облікових записів WordPress. Здобуті облікові дані ймовірно продаються брокерам доступів, які далі впроваджують шкідливий код на сайти — для розповсюдження малверу, фішингу або SEO-спаму. Проксі-вузли SystemBC маскують джерело атак, підвищуючи їхню «легітимність» завдяки IP-адресному простору комерційних провайдерів.
Індикатори та інфраструктура кампанії
За глобальною IP-телеметрією, адреса 104.250.164[.]214 відіграє помітну роль у пошуку нових жертв і хостингу завантажувачів SystemBC; на ній зафіксовано розміщення всіх 180 зразків шкідливого ПЗ, пов’язаних із поточною кампанією. Цей індикатор доцільно врахувати при налаштуванні моніторингу та блокувань на периметрі.
Як захистити VPS і WordPress від SystemBC-подібних загроз
Керування вразливостями: своєчасно оновлюйте ОС і ПЗ, застосовуйте базовий hardening, усувайте критичні CVE та закривайте невикористовувані порти. Орієнтуйтеся на рекомендації CIS Benchmarks і керівні принципи NIST.
Доступ і сегментація: обмежуйте SSH/RDP за allowlist, увімкніть MFA, віддавайте перевагу ключам замість паролів, додайте гео- та поведінкові політики доступу, розділяйте служби між VLAN/SG.
Оборона WordPress: застосовуйте WAF, обмеження частоти логінів, MFA для адміністраторів, складні паролі, регулярні апдейти ядра та плагінів; моніторте журнали на ознаки брутфорсу та аномальних авторизацій.
Виявлення проксі-трафіку: використовуйте NDR/EDR та аналітику NetFlow/PCAP для пошуку нетипового вихідного трафіку (піки обсягів, нестандартні порти, проксі-шаблони); впроваджуйте блоклисти відомих C2 і IoC.
Інцидент-реакція: при ознаках компрометації ізолюйте хост, перевипустіть секрети, перевірте персистентність, проведіть форензіку та повне очищення перед відновленням у продакшн.
SystemBC демонструє, що масова експлуатація уразливих VPS — життєздатна й прибуткова модель для проксі-ботнетів: високий аптайм, значна пропускна здатність і тривале утримання вузлів роблять такі мережі привабливими для кримінальних екосистем. Регулярний аудит поверхні атаки, дисципліна оновлень, багатофакторний захист критичних сервісів і телеметрія рівня мережі — мінімально необхідні кроки, аби не стати частиною чужої проксі-інфраструктури.
