Socks5Systemz ボットネットが数千台のデバイスに感染

BitSight の研究者は、PrivateLoader および Amadey ローダーを介して配信された Socks5Systemz として知られるプロキシ ボットネットを発表しました。 Socks5Systemz という名前は、すべての C2 サーバーにある一貫したログイン パネルに由来しています。このプロキシ ボットネットは少なくとも 2016 年から活動していましたが、ほとんど注目されていませんでした。

悪意のある攻撃者は、違法な目的でトラフィック転送プロキシを顧客に提供し、仮想通貨で 1 日あたり 1 ドルから 140 ドルの範囲の料金を請求しています。

ネットワーク テレメトリ データを調査したところ、このボットネットは約 10,000 台のシステムに感染しており、ロシアでは感染したシステムは見つかっていません。

専門家によって精査されたすべてのサンプルは、PrivateLoader と Amadey によって配布され、「previewer.exe」という名前のファイルを実行します。これにより、永続性が確立され、プロキシ ボットがメモリに挿入されます。ローダーは、名前と表示名を「ContentDWSvc」に設定して Windows サービスを作成することで永続性を維持します。

検出を回避し、ボットネットの削除に対する抵抗力を強化するために、プロキシ ボットはドメイン生成アルゴリズム (DGA) を利用します。

Socks5Systemz には通信コマンドがバンドルされています

最も重要なコマンドは「connect」コマンドで、ポート 1074/TCP でバックコネクト サーバーとのセッションを確立するようにボットに指示します。このバックコネクト インフラストラクチャへの登録により、ボットは、クライアントに代わってトラフィックを送信するために使用されるプロキシの利用可能なプールの一部になることができます。

「connect」コマンド フィールドを解析した後、マルウェアはカスタム バイナリ プロトコルを使用して、ポート 1074/TCP 経由でバックコネクト サーバーとのセッションを開始します。セッションが確立されると、ボットはプロキシとして機能できるようになります。

ポート 1074/TCP でバックコネクト サーバーとのセッションを確立すると、ボットにはサーバー側で一意の TCP ポート (サーバー ポートと呼ばれる) が割り当てられ、クライアントからのトラフィックを受信するために開かれます。クライアントは、バックコネクト サーバーの IP アドレス、感染したシステムに割り当てられた TCP ポートを知っており、パブリック IP がホワイトリストに登録されているか、プロキシを使用するための正しいログイン資格情報を所有している必要があります。この情報がないと、サーバーはトラフィックを受け入れません。

研究者らは、このボットネットが使用している少なくとも 53 台のサーバーを特定しました。これらはすべてヨーロッパにあり、フランス、ブルガリア、オランダ、スウェーデンに広がっています。

最も影響を受けている上位10カ国には、インド、ブラジル、コロンビア、南アフリカ、バングラデシュ、アルゼンチン、アンゴラ、米国、スリナム、ナイジェリアが含まれている。

Socks5Systemz ボットネットを担当する攻撃者は、「Standard」と「VIP」という 2 つのサブスクリプション プランを提供しています。お客様は、cryptomus.com で Cryptomus Crypto Payment Gateway を使用できます。