Prethodno nedokumentovani proxy botnet pod nazivom Socks5Systemz se distribuiše preko PrivateLoader-a i Amadey malver loadera kako bi zarazio računare širom svijeta. Prema istraživačima, botnet postoji od 2016. godine, ali je sve do nedavno ostao ispod radara.
Od oktobra, Socks5Systemz je zarazio oko 10.000 sistema širom sveta, uključujući Indiju, Brazil, Kolumbiju, Južnu Afriku, Bangladeš, Angolu, SAD i Nigeriju.
Modus operandi
Napad koristi phishing, exploit komplete, malvertising i trojanizirane izvršne datoteke za distribuciju učitavača malvera.
- Kao dio najnovije infekcije, napadači su koristili backconnect servere za komunikaciju sa portom 1074/TCP.
- Jednom instalirani, učitavači malvera ispuštaju i izvršavaju datoteku pod nazivom previewer.exe, što na kraju uzrokuje izvršenje botneta.
- Botnet, 300 KB 32-bitni DLL, koristi DGA sistem za povezivanje sa svojim C2 serverom i primanje komandi za kompromitovanje mašina.
- Kada se jednom poveže sa infrastrukturom hakera, zaraženi uređaj se koristi kao proxy server i prodaje se drugim hakerima.
- Na Telegram kanalu je primijećen korisnik pod nazivom ‘boost’ koji prodaje pristup ugroženim nalozima i pristup proksijima pod dva nivoa pretplate .
Botnet mreža
- BitSight je mapirao najmanje 53 servera Socks5Systemz, koji se svi nalaze u Evropi i distribuišu širom Francuske, Bugarske, Holandije i Švedske.
- Ovi serveri su služili kao medij za nekoliko namjena, kao što su proxy bot, backconnect, prilagođeni DNS i proxy provjera na mreži.
Slični incidenti uočeni u prošlosti
Proxy botnetovi su unosan posao za sajber kriminalce, ostavljajući značajan uticaj na internet sigurnost i otmicu propusnog opsega.
- U avgustu, AT&T analitičari su otkrili opsežnu proxy mrežu od preko 10.000 IP adresa za Adload malver. Analizirani uzorak malvera korišten je za inficiranje macOS sistema.
- U drugom incidentu, FBI je upozorio na rastući trend sajber-kriminalaca koji koriste rezidencijalne proksi servere za vršenje velikih credential-stuffing napada. U sklopu napada, sajber kriminalci su iskoristili najčešće korištene lozinke za preuzimanje naloga žrtava i koristili ih za obavljanje zlonamjernih aktivnosti.
Zaključak
Kako bi ostale zaštićene od trenutne prijetnje, organizacijama se preporučuje da implementiraju alate za otkrivanje, kao što su IDS/IPS, sigurnosni gateway-i e-pošte i firewall, kako bi spriječili prijetnje na krajnjim tačkama. Osim toga, BitSight je podijelio IoC-ove za trenutnu prijetnju, koji se mogu koristiti za razumijevanje obrasca napada i korištene infrastrukture.
Izvor: Cyware Alerts – Hacker News
