Socks5Systemz Botnet infekterade tusentals enheter
Forskare från BitSight har avslöjat ett proxy-botnät känt som Socks5Systemz, som levererades via PrivateLoader- och Amadey-lastarna. Namnet Socks5Systemz kommer från den konsekventa inloggningspanelen som finns på alla C2-servrar. Detta proxy-botnät har varit aktivt sedan åtminstone 2016 men har i stort sett gått obemärkt förbi.
Skadliga aktörer tillhandahåller trafik-vidarebefordran proxy för otillåtna ändamål till kunder, debiterar priser som sträcker sig från $1 till $140 per dag i kryptovaluta.
Undersökning av nätverkstelemetridata indikerar att detta botnät har infekterat cirka 10 000 system, utan att några infekterade system hittats i Ryssland.
Alla prover som granskas av experter distribueras av PrivateLoader och Amadey och exekverar en fil med namnet "previewer.exe", som etablerar persistens och injicerar proxyboten i minnet. Laddaren bibehåller uthållighet genom att skapa en Windows-tjänst med namnet och visningsnamnet inställt på "ContentDWSvc."
För att undvika upptäckt och stärka botnätets motstånd mot borttagning, använder proxyboten en domängenereringsalgoritm (DGA).
Socks5Systemz levereras med kommunikationskommandon
Det mest kritiska kommandot är kommandot "connect", som instruerar boten att upprätta en session med en backconnect-server på port 1074/TCP. Denna registrering med backconnect-infrastrukturen gör att boten kan bli en del av den tillgängliga poolen av proxyservrar som används för att överföra trafik på uppdrag av klienter.
Efter att ha analyserat "connect"-kommandofälten initierar skadlig programvara en session med backconnect-servern via port 1074/TCP, med hjälp av ett anpassat binärt protokoll. När sessionen väl är etablerad kan boten fungera som en proxy.
När en session etableras med en backconnect-server på port 1074/TCP, tilldelas boten en unik TCP-port (kallad serverport) på serversidan, öppen för att ta emot trafik från klienter. Klienter måste känna till backconnect-serverns IP-adress, TCP-porten som tilldelats det infekterade systemet och antingen ha sin offentliga IP-vitlista eller ha rätt inloggningsuppgifter för att använda proxyn. Utan denna information kommer servern inte att acceptera trafiken.
Forskarna har identifierat minst 53 servrar som används av detta botnät, alla belägna i Europa och spridda över Frankrike, Bulgarien, Nederländerna och Sverige.
De 10 mest drabbade länderna inkluderar Indien, Brasilien, Colombia, Sydafrika, Bangladesh, Argentina, Angola, USA, Surinam och Nigeria.
Hotaktörerna som ansvarar för Socks5Systemz botnät erbjuder två prenumerationsplaner: 'Standard' och 'VIP'. Kunder kan använda Cryptomus Crypto Payment Gateway på cryptomus.com.
