-
09/04/2020
-
114
-
1.118 bài viết
SystemBC có đang biến VPS thành “cao tốc” cho lưu lượng độc hại?
Một mạng botnet tên SystemBC đang biến hàng nghìn máy chủ ảo (VPS) bị xâm nhập thành các “proxy” tốc độ cao, cho phép tội phạm mạng chuyển hướng lưu lượng độc hại và che giấu hoạt động điều khiển. Báo cáo của nhóm nghiên cứu an ninh mạng Black Lotus Labs (thuộc Lumen Technology) cho thấy quy mô, tính ổn định và thời gian tồn tại cao của mạng lưới này khiến nó trở thành công cụ ưa thích cho nhiều tổ chức tấn công, trong đó có các băng nhóm tống tiền.
SystemBC không phải là phần mềm mới nhưng cách nó hoạt động và lựa chọn mục tiêu khiến mối nguy lớn hơn nhiều so với các mạng proxy dân dụng. Thay vì dùng các thiết bị gia đình, kẻ xấu tấn công những VPS thương mại, đây là các máy chủ có băng thông tốt và ít khi thay đổi. Kết quả là một “cao tốc” ổn định cho hành vi xấu như thu thập dữ liệu, quét thông tin, bẻ khóa mật khẩu và che giấu các lệnh điều khiển.
SystemBC là một phần mềm độc hại được thiết kế để biến máy chủ bị nhiễm thành proxy trung gian cho phép tội phạm chuyển hướng lưu lượng và che giấu hoạt động trao đổi với máy chủ điều khiển (C2). Xuất hiện từ ít nhất năm 2019, SystemBC đã được nhiều nhóm tấn công, kể cả một số băng nhóm tống tiền, sử dụng để phát tán mã độc và thực hiện chiến dịch có quy mô lớn.
Khoảng 80% trong số khoảng 1.500 bot hoạt động hàng ngày của SystemBC nằm trên các VPS thương mại của những nhà cung cấp lớn. Những VPS này thường có nhiều lỗ hổng chưa được vá, báo cáo ghi nhận trung bình khoảng 20 vấn đề bảo mật trên mỗi máy và ít nhất một lỗi ở mức nghiêm trọng nên việc duy trì nhiễm lâu dài là khả thi, gần 40% máy bị nhiễm vẫn tồn tại hơn một tháng.
Mạng lưới có hơn 80 máy chủ C2 và cung cấp dịch vụ cho nhiều dịch vụ proxy tội phạm, trong đó một dịch vụ tên REM Proxy sử dụng tới khoảng 80% bot của SystemBC. Các khách hàng khác bao gồm dịch vụ thu thập dữ liệu quy mô lớn và một mạng proxy có nguồn gốc Việt Nam tên VN5Socks hoặc Shopsocks5, SystemBC cũng được dùng phổ biến để tấn công thử mật khẩu vào WordPress và bán thông tin đăng nhập cho bên thứ ba.
Dịch vụ proxy của tội phạm mạng tận dụng mạng lưới SystemBC
Ảnh: Black Lotus Labs
Dấu hiệu hoạt động cho thấy đây là mạng proxy đã tối ưu cho lưu lượng lớn: thử nghiệm chỉ ra một địa chỉ IP bị nhiễm có thể tạo ra hơn 16 gigabyte dữ liệu proxy trong 24 giờ, một mức cao hơn nhiều so với mạng proxy dựa trên thiết bị gia đình.
Phân tích còn xác định một địa chỉ IP liên quan tới hoạt động tuyển nạn nhân và lưu trữ nhiều mẫu mã độc. SystemBC đã tồn tại nhiều năm và chịu được các chiến dịch truy quét, cho thấy tính bền bỉ của cấu trúc mạng ngay cả khi một số thành phần bị xử lý.
Một VPS thuộc mạng SystemBC chứa đến 161 lỗ hổng chưa được vá
Ảnh: Black Lotus Labs
Đối với quản trị viên VPS và đội an ninh, hãy vá tất cả lỗ hổng, theo dõi các triệu chứng bất thường như lưu lượng cao, tiến trình lạ, kết nối tới C2 và áp dụng biện pháp cô lập khi phát hiện nghi nhiễm.
Việc theo dõi các thông báo tình báo và áp dụng quy trình vá lỗi nghiêm ngặt là vũ khí mạnh nhất để ngăn chặn SystemBC tiếp tục biến VPS thành “cao tốc” cho tội phạm mạng.
SystemBC không phải là phần mềm mới nhưng cách nó hoạt động và lựa chọn mục tiêu khiến mối nguy lớn hơn nhiều so với các mạng proxy dân dụng. Thay vì dùng các thiết bị gia đình, kẻ xấu tấn công những VPS thương mại, đây là các máy chủ có băng thông tốt và ít khi thay đổi. Kết quả là một “cao tốc” ổn định cho hành vi xấu như thu thập dữ liệu, quét thông tin, bẻ khóa mật khẩu và che giấu các lệnh điều khiển.
SystemBC là một phần mềm độc hại được thiết kế để biến máy chủ bị nhiễm thành proxy trung gian cho phép tội phạm chuyển hướng lưu lượng và che giấu hoạt động trao đổi với máy chủ điều khiển (C2). Xuất hiện từ ít nhất năm 2019, SystemBC đã được nhiều nhóm tấn công, kể cả một số băng nhóm tống tiền, sử dụng để phát tán mã độc và thực hiện chiến dịch có quy mô lớn.
Khoảng 80% trong số khoảng 1.500 bot hoạt động hàng ngày của SystemBC nằm trên các VPS thương mại của những nhà cung cấp lớn. Những VPS này thường có nhiều lỗ hổng chưa được vá, báo cáo ghi nhận trung bình khoảng 20 vấn đề bảo mật trên mỗi máy và ít nhất một lỗi ở mức nghiêm trọng nên việc duy trì nhiễm lâu dài là khả thi, gần 40% máy bị nhiễm vẫn tồn tại hơn một tháng.
Mạng lưới có hơn 80 máy chủ C2 và cung cấp dịch vụ cho nhiều dịch vụ proxy tội phạm, trong đó một dịch vụ tên REM Proxy sử dụng tới khoảng 80% bot của SystemBC. Các khách hàng khác bao gồm dịch vụ thu thập dữ liệu quy mô lớn và một mạng proxy có nguồn gốc Việt Nam tên VN5Socks hoặc Shopsocks5, SystemBC cũng được dùng phổ biến để tấn công thử mật khẩu vào WordPress và bán thông tin đăng nhập cho bên thứ ba.
Dịch vụ proxy của tội phạm mạng tận dụng mạng lưới SystemBC
Ảnh: Black Lotus Labs
Dấu hiệu hoạt động cho thấy đây là mạng proxy đã tối ưu cho lưu lượng lớn: thử nghiệm chỉ ra một địa chỉ IP bị nhiễm có thể tạo ra hơn 16 gigabyte dữ liệu proxy trong 24 giờ, một mức cao hơn nhiều so với mạng proxy dựa trên thiết bị gia đình.
Phân tích còn xác định một địa chỉ IP liên quan tới hoạt động tuyển nạn nhân và lưu trữ nhiều mẫu mã độc. SystemBC đã tồn tại nhiều năm và chịu được các chiến dịch truy quét, cho thấy tính bền bỉ của cấu trúc mạng ngay cả khi một số thành phần bị xử lý.
Một VPS thuộc mạng SystemBC chứa đến 161 lỗ hổng chưa được vá
Ảnh: Black Lotus Labs
Đối với quản trị viên VPS và đội an ninh, hãy vá tất cả lỗ hổng, theo dõi các triệu chứng bất thường như lưu lượng cao, tiến trình lạ, kết nối tới C2 và áp dụng biện pháp cô lập khi phát hiện nghi nhiễm.
Việc theo dõi các thông báo tình báo và áp dụng quy trình vá lỗi nghiêm ngặt là vũ khí mạnh nhất để ngăn chặn SystemBC tiếp tục biến VPS thành “cao tốc” cho tội phạm mạng.
Theo Bleeping Computer