Специалисты Lumen Technology провели расследование и предупреждают: ботнет SystemBC ищет уязвимые VPS-серверы, чтобы превратить их в прокси-каналы для злоумышленников.
Примерно с 2019 года около 1500 ботов в составе SystemBC ежедневно формируют инфраструктуру для вредоносной активности. Например, проводят с его помощью брутфорс учётных данных WordPress и продают их брокерам, чтобы они могли внедрять вредоносный код на сайты. Кроме того, ботнет служит основой для других вредоносных прокси-сервисов, например, REM Proxy.
Как происходит атака:
- Операторы ботнета сканируют интернет в поисках VPS с критическими уязвимостями.
- Уязвимые серверы заражают вредоносным ПО SystemBC.
- Заражённый сервер становится прокси-узлом в ботнете и помогает маршрутизировать вредоносный трафик.
Сейчас ботнент SystemBC насчитывает более 80 управляющих серверов. Он известен высокой пропускной способностью — до 16 ГБ прокси-данных в сутки с одного IP.
Эксперты Lumen Technology считают, что основу ботнета SystemBC (почти 80%) составляют VPS-серверы крупных коммерческих провайдеров, имеющие хотя бы одну критическую уязвимость. Благодаря этому злоумышленникам удаётся дольше удерживать контроль над жертвами: почти 40% систем остаются заражёнными дольше месяца.
Советуем организациям и пользователям отслеживать аномалии исходящего трафика.