TokyoBlackHatNews

海外のセキュリティニュースをお届けします

thehackernews.com

SystemBC、80のC2サーバーを通じて1日1,500台のVPS被害者によるREM Proxyを稼働

Byt0ddycat

9月 20, 2025 #.NET malware, #AI in Cybersecurity, #AI-powered botnets, #Command and control (C2), #Credential Theft, #Linux Malware, #REM Proxy, #SOCKS5 proxy, #SystemBC, #VPS compromise

2025年9月19日Ravie Lakshmananボットネット / ネットワークセキュリティ

Image

Lumen TechnologiesのBlack Lotus Labsチームによる新たな調査によると、REM Proxyとして知られるプロキシネットワークはSystemBCと呼ばれるマルウェアによって稼働しており、ボットネットの約80%をユーザーに提供しています。

「REM Proxyは大規模なネットワークであり、20,000台のMikrotikルーターのプールや、オンラインで自由に利用可能なさまざまなオープンプロキシも販売しています」と同社はThe Hacker Newsと共有したレポートで述べています。「このサービスは、TransferLoaderの背後にいる者たちなど、Morpheusランサムウェアグループと関係のある複数の攻撃者に好まれています。」

SystemBCはC言語ベースのマルウェアで、感染したコンピュータをSOCKS5プロキシに変換し、感染ホストがコマンド&コントロール(C2)サーバーと通信したり、追加のペイロードをダウンロードしたりできるようにします。2019年にProofpointによって初めて記録され、WindowsおよびLinuxシステムの両方を標的にすることが可能です。

今年1月のレポートで、ANY.RUNはSystemBCプロキシインプラントのLinux版が企業内サービス向けに設計されている可能性があり、主に企業ネットワーク、クラウドサーバー、IoTデバイスを標的としていることを明らかにしました

他のプロキシソリューションと同様に、このネットワークのユーザーは高番ポートでSystemBCのC2に接続し、その後ユーザーは被害者の1台を経由して目的地に到達します。

Lumenによると、SystemBCボットネットは80以上のC2サーバーと1日平均1,500台の被害者で構成されており、そのうち約80%は複数の大手商用プロバイダーからの仮想プライベートサーバー(VPS)システムが侵害されています。興味深いことに、これらの被害者のうち300台はGoBruteforcer(別名GoBrut)と呼ばれる別のボットネットの一部です。

Image

これらのうち、約40%の侵害は「非常に長期間」感染が続いており、31日以上持続しています。さらに悪いことに、被害を受けたサーバーの大多数は複数の既知のセキュリティ脆弱性にさらされていることが判明しています。各被害者は平均して20件の未修正CVEと少なくとも1件の重大なCVEを抱えており、米国アトランタ市にある特定のVPSサーバーの1台は160件以上の未修正CVEに脆弱です。

「被害者はプロキシとして利用され、大量の悪意あるトラフィックを多数の犯罪脅威グループが利用できるようになります」と同社は指摘しています。「SystemBCは、従来のマルウェアベースのプロキシネットワークが住宅用IP空間のデバイスを操作するのとは異なり、VPSシステムを操作することで、より大量かつ長期間利用可能なプロキシを提供できます。」

REM Proxy以外にも、SystemBCの他の顧客には、少なくとも2つのロシア拠点のプロキシサービス、VN5Socks(別名Shopsocks5)というベトナムのプロキシサービス、ロシアのウェブスクレイピングサービスが含まれています。

Image

このマルウェアの機能にとって重要なのはIPアドレス104.250.164[.]214であり、ここがアーティファクトのホスティングだけでなく、潜在的な被害者をリクルートする攻撃の発信元にもなっているようです。新たな被害者が取り込まれると、シェルスクリプトがマシンにドロップされ、その後マルウェアが配布されます。

このボットネットはステルス性をほとんど意識せずに運用されており、主な目的は規模を拡大し、できるだけ多くのデバイスをボットネットに取り込むことです。この不正ネットワークの最大の利用例の一つは、SystemBCの背後にいる脅威アクター自身によるもので、WordPressサイトの認証情報をブルートフォースするために利用されています。

最終的な目的は、収集した認証情報をアンダーグラウンドフォーラムで他の犯罪者に販売し、彼らがそれを使って該当サイトに悪意あるコードを注入し、さらなる攻撃キャンペーンを行うことだと考えられます。

「SystemBCは複数年にわたり持続的な活動と運用の強靭性を示しており、サイバー脅威の状況において持続的なベクトルとして確立されています」とLumenは述べています。「当初は脅威アクターがランサムウェアキャンペーンを可能にするために使用していましたが、このプラットフォームは進化し、カスタムボットネットの構築と販売を提供するようになりました。」

「彼らのモデルは大きな利点を提供します。広範な偵察、スパム配信、関連活動の実行を可能にし、攻撃者が事前の情報収集に基づいた標的型攻撃のために、より選択的なプロキシリソースを確保できるようにします。」

翻訳元: https://thehackernews.com/2025/09/systembc-powers-rem-proxy-with-1500.html

By t0ddycat

Related Post

thehackernews.com

UNC1549、LinkedInの求人詐欺とMINIBIKEマルウェアで11の通信企業の34台のデバイスをハッキング

9月 20, 2025 t0ddycat
thehackernews.com

Fortra、CVSS 10.0のGoAnywhere MFT脆弱性に対する重大なパッチをリリース

9月 20, 2025 t0ddycat
thehackernews.com

世界74カ国・316ブランドを標的にした17,500のフィッシングドメイン、PhaaSの世界的急増

9月 19, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

darkreading.com

『ShadowLeak』ChatGPT攻撃によりハッカーがメールを見えない形で盗み出すことが可能に

2025年9月20日 t0ddycat
darkreading.com

キャプチャ・ザ・フラッグ大会がサイバーセキュリティのキャリアにつながる

2025年9月20日 t0ddycat
bleepingcomputer.com

Microsoft、Windows 11 PCでGaming Copilotの展開を開始

2025年9月20日 t0ddycat
bleepingcomputer.com

FBI、サイバー犯罪者による偽FBI犯罪報告ポータルの使用に警告

2025年9月20日 t0ddycat