SystemBC malware turns infected VPS systems into proxy highway
Mis à jour :
Le Réseau SystemBC : Une Infrastructure de Proxy Malveillante
Ce rapport détaille le fonctionnement du malware SystemBC, qui transforme des serveurs privés virtuels (VPS) compromis en une infrastructure de proxy à grande échelle. Ces serveurs, répartis mondialement, constituent une plateforme pour le trafic malveillant, dissimulant les activités des attaquants et rendant la détection plus ardue.
SystemBC est actif depuis au moins 2019 et est utilisé par divers acteurs malveillants, y compris des groupes de ransomware pour distribuer leurs charges utiles. Son réseau, estimé à environ 1 500 bots quotidiennement, se compose majoritairement de VPS issus de grands fournisseurs commerciaux. Ces systèmes sont sélectionnés pour leur manque de mises à jour de sécurité, présentant en moyenne une vingtaine de vulnérabilités exploitables, dont au moins une de criticité élevée.
Le réseau SystemBC n’est pas axé sur la discrétion ; les adresses IP des bots ne sont pas masquées ou protégées. Il soutient plusieurs services de proxy criminels, tels que REM Proxy, et est utilisé par des services de web scraping et des réseaux de proxy basés au Vietnam. Les opérateurs de SystemBC exploitent également le réseau pour des attaques par force brute sur les identifiants WordPress, dont les informations d’identification volées sont ensuite vendues.
La compromission de VPS permet une stabilité et un volume de trafic bien supérieurs à ceux des réseaux de proxy basés sur des appareils domestiques. Un seul VPS compromis a été observé générer une quantité de données de proxy considérablement plus élevée que ce qui est typiquement vu dans d’autres réseaux.
Points Clés
- Objectif : Transformer des VPS compromis en une infrastructure de proxy pour le trafic malveillant.
- Fonctionnement : Dissimulation du trafic et des communications de commande et contrôle (C2).
- Clientèle : Utilisé par des groupes de ransomware, des services de web scraping, et des réseaux de proxy criminels.
- Mode opératoire : Ciblage de VPS avec des vulnérabilités non corrigées pour une longue durée d’infection.
- Volume : Permet un trafic de proxy à haut volume et stable.
Vulnérabilités
L’article ne mentionne pas de CVE spécifiques, mais souligne que les systèmes compromis présentent systématiquement :
- Des vulnérabilités “faciles à exploiter”.
- En moyenne, 20 problèmes de sécurité non corrigés.
- Au moins une vulnérabilité de criticité élevée.
- Un cas extrême avec 161 vulnérabilités de sécurité identifiées.
Recommandations
L’article n’énumère pas explicitement de recommandations, mais les informations fournies impliquent les mesures suivantes pour les organisations :
- Patch Management : Maintenir les systèmes à jour en appliquant rapidement les correctifs de sécurité pour les vulnérabilités connues.
- Surveillance du Réseau : Mettre en place une surveillance pour détecter les activités suspectes ou anormales provenant des systèmes.
- Sécurité des VPS : Renforcer la sécurité des VPS, notamment par des configurations robustes et la gestion des accès.
- Détection des Compromis : Utiliser des outils et techniques de détection des compromis basés sur les indicateurs de compromission (IoC) fournis par des sources fiables comme Black Lotus Labs.