Botnet Socks5Systemz obsługuje nielegalne proxy za pomocą 80 000 urządzeń

Opisywane złośliwe oprogramowanie proxy umożliwia innym typom działalności przestępczej dodawanie warstw anonimowości do złośliwych działań w sieci publicznej. Dzięki temu ataki aktorów trzecich mogą być wykonywane przy wykorzystywaniu połączeń maszyn ofiar lub w ogóle niepowiązanych osób. Tak stwierdził zespół ds. badań nad bezpieczeństwem firmy Bitsight w raporcie z zeszłego tygodnia.

Socks5Systemz, reklamowany w cyberprzestępczym podziemiu już w marcu 2013 r., został jakiś czas temu udokumentowany przez BitSight jako wdrażany w ramach cyberataków mających na celu dystrybucję PrivateLoader, SmokeLoader i Amadey.

Aktualnie głównym celem złośliwego oprogramowania jest przekształcanie zainfekowanych systemów w węzły wyjściowe proxy, które są następnie reklamowane innym podmiotom, zazwyczaj cyberprzestępcom, chcącym ukryć źródło swoich ataków. Nielegalna usługa proxy istnieje od 2016 roku!

Krajami z największą liczbą zainfekowanych hostów są Indie, Indonezja, Ukraina, Algieria, Wietnam, Rosja, Turcja, Brazylia, Meksyk, Pakistan, Tajlandia, Filipiny, Kolumbia, Egipt, Stany Zjednoczone, Argentyna, Bangladesz, Maroko i Nigeria. Do stycznia 2024 r. rozmiar botnetu miał wzrosnąć do średniej dziennej około 250 000 maszyn, chociaż obecne szacunki wskazują na od 85 000 do 100 000. W chwili, gdy piszemy ten tekst, PROXY.AM twierdzi na swojej oficjalnej stronie, że ma 83 443 węzłów proxy dostępnych z 52 różnych krajów. Poniżej mapa występowania podległych botów oraz zrzut z oficjalnej strony proxy.am:

PROXY.AM (proxy[.]am i proxyam[.]one) reklamuje się jako serwis oferujący „elitarne, prywatne i anonimowe serwery proxy” w cenie od 126 USD/miesiąc (pakiet Unlimited) do 700 USD/miesiąc (pakiet VIP).

Ujawnienie całej sprawy następuje po raporcie Trend Micro, który szczegółowo opisał trwające próby atakujących na nieprawidłowo skonfigurowane serwery Docker Remote API za pomocą złośliwego oprogramowania botnetu Gafgyt. Gafgyt ma udokumentowane doświadczenie w atakowaniu podatnych urządzeń IoT, jednak wykorzystanie przez złośliwe oprogramowanie słabych haseł SSH i instancji Docker wskazuje na poszerzenie jego zakresu.

„Zauważyliśmy hakerów atakujących publicznie ujawnione, nieprawidłowo skonfigurowane serwery Docker Remote API, w celu wdrożenia złośliwego oprogramowania poprzez utworzenie kontenera Docker na podstawie legalnego obrazu Docker »alpine«” – poinformował badacz ds. bezpieczeństwa Sunil Bharti. „Oprócz wdrożenia złośliwego oprogramowania atakujący użyli botnetu do zainfekowania ofiary”.

Nieprawidłowe konfiguracje chmury okazały się atrakcyjną powierzchnią ataku dla cyberprzestępców, których celem jest wdrożenie koparek kryptowalut, kradzież danych, czy pozyskanie większej ilości botów do swojej sieci.

Według nowej analizy empirycznej, przeprowadzonej przez grupę badaczy z Uniwersytetu w Lejdzie i TU Delft, odkryto aż 215 przypadków ujawnienia poufnych danych uwierzytelniających, które potencjalnie mogłyby przyznać atakującym nieautoryzowany dostęp do usług takich jak bazy danych, infrastruktura chmury i interfejsy API stron trzecich. Większość przypadków miała miejsce w Stanach Zjednoczonych, Indiach, Australii, Wielkiej Brytanii, Brazylii i Korei Południowej, obejmując kilka sektorów, takich jak IT, handel detaliczny, finanse, edukacja, media i opieka zdrowotna.

Płatne oprogramowanie i usługi proxy nie są nowością, ale stają się coraz istotniejsze ze względu na zwiększoną ofertę ogłaszaną na forach w darknecie i cichy wpływ, jaki wywierają na nasze sieci. Proxy umożliwiają inne rodzaje działalności przestępczej, dodając niekontrolowane warstwy anonimowości atakującym. Dzięki temu, mogą wykonywać wszelkiego rodzaju złośliwe działania, korzystając z połączonych w łańcuch botów.

Socks5Systemz pozostawało poza radarem przez ostatnie 10 lat, będąc wdrażanym jako moduł proxy SOCKS5 dla innego złośliwego oprogramowania. Teraz oficjalnie można powiedzieć, że odkryto usługę proxy, która wykorzystuje największą znaną nam obecnie sieć botów Socks5Systemz.