Silent Pushが10,000以上の感染したIPアドレスがSystemBCボットネットマルウェアファミリーの一部であることを特定

主要な調査結果

• カスタム構築されたSystemBCトラッカーを使用して、Silent Pushの先制的サイバー防御アナリストは、このボットネットの一部として10,000以上のユニークな感染IPアドレスを特定しました。現在のSystemBCボットネット経由でデプロイされたフォローオン型マルウェアペイロードの直接的な可視性はありませんが、歴史的に多くの脅威アクターがSystemBCを使用してランサムウェアを侵害されたネットワークにデプロイしており、このことが修復の重要性を強調しています。 
• 当社の分析によると、SystemBC感染はグローバルに規模を拡大して分散しており、感染したIPアドレスの最も高い集中度は米国で観察され、その次はドイツ、フランス、シンガポール、インドです。
• 政府ウェブサイトをホストしている感染したIPアドレスがブルキナファソとベトナムに含まれるなど、重要なインフラ内のSystemBC感染を特定しました。
• SystemBCコマンドアンドコントロール（C2）インフラは、BTHoster（bthoster[.]com）およびAS213790（BTCloud）を含む乱用耐性のあるブレットプルーフホスティングを活用していることが観察されています。
• 当社の研究により、以前に文書化されていないPerlで書かれたSystemBCバリアントが発見され、継続的な開発活動とマルウェアファミリーの進化が示されています。

エグゼクティブサマリー

最初に2019年に公開で文書化されたSystemBC（「Coroxy」または「DroxiDat」とも呼ばれる）は、長時間実行されるマルチプラットフォームプロキシマルウェアで、侵害されたシステムをSOCKS5プロキシに変換し、場合によっては追加のマルウェアをデプロイします。

2つの主な機能を実行するSystemBCプロキシは、侵害されたシステムを通じてトラフィックをプロキシし、感染した内部ネットワークへの外部アクセスを維持するためのバックドアとして機能します。Windowsバージョンを含むいくつかのバリアントは、追加のマルウェア（多くの場合ランサムウェアペイロードとともに）をドロップして、悪意のあるトラフィックを攻撃者が制御するC2インフラに戻すトンネリングを行うことが観察されています。結果として、復元力のある匿名化設計が侵害の潜在的なブラストラディウスを拡大します。

2024年5月、SystemBCはEuropol’s Operation Endgame中に標的となったマルウェアファミリーの1つで、これは大規模な犯罪インフラを破壊するための協調的な取り組みです。この注目は、ランサムウェアデプロイメントで終わった侵害にSystemBC活動をリンクさせる数年の公開報告を反映しており、この活動の早期検出がなぜ重要であるかを強化しています。

Silent Pushは2025年にSystemBCの追跡を開始し、これはSystemBC固有の追跡フィンガープリントの開発につながり、アクティブな感染とサポートインフラストラクチャへの可視性を拡大しました。そのフィンガープリントを使用して、当社のチームは世界中で10,000以上のユニークな感染IPアドレスを特定しました。データセット全体にわたって、感染は広がっていました。検出された犠牲者の最も大きな集中度は米国に現れ、その次はドイツ、フランス、シンガポール、インドです。

このデータセットは、ブルキナファソとベトナムの公式ウェブサイトをホストしている侵害された高密度IPアドレスなど、機密政府環境での感染もキャプチャしました。同じ分析により、Perlで書かれた以前に文書化されていないSystemBCバリアントが明らかになり、このマルウェアが進化を続けていることが強調されています。

背景

SystemBCは、感染したシステムをSOCKS5プロキシに変え、あらゆる種類の悪意のあるトラフィックをそれらを通じて送信できるマルチプラットフォームプロキシマルウェアです。「Coroxy」または「DroxiDat」としても知られるSystemBCは、Proofpointによって2019年に最初に文書化されました。作成者によるいくつかのフォーラム投稿（ロシア語で書かれている）を確認することで、当社のチームは作成者がロシア人であるか、その国と関係があると信じています。

SystemBCは一般的に、侵害されたシステムを通じてトラフィックをプロキシするか、内部ネットワークへの永続的なアクセスを維持するために使用されます。観察されたWindowsバリアントを含むいくつかの場合、SystemBCは追加のマルウェアをデプロイするためにも使用されています。つまり、その存在は、より広い侵害または影響を受けたシステムのフォローオン感染を示唆する可能性があります。被害者のサーバが侵害されると、SystemBCはカスタムバイナリプロトコルとRC4暗号化を使用してSOCKS5トラフィックをカプセル化します。

仮想プライベートネットワーク（VPN）とは異なり、SOCKS/SOCKS5はプロキシ用の特定のインターネットプロトコルです。プロキシは、デバイスとインターネット間の仲介者またはリレーとして機能する多目的ネットワークプロトコルです。異なるアプリケーション用のインターネットトラフィック（TCP、UDPなど）をルーティングでき、IPアドレスをマスクしてオンラインブロックをバイパスし、地理的に制限されたコンテンツにアクセスし、特定のアプリケーションのプライバシーを強化できます。多くの脅威アクターは、プロキシを使用して実際のインフラをディフェンダーから隠します。

ほとんどの感染システムはインターネット上で直接到達不可能であるため、SystemBCは「バックコネクト」または回転アーキテクチャを採用しています。クライアントは露出したC2サーバーに接続し、次にトラフィックを感染したシステムを通じてリレーし、プロキシとして機能します。この設計により、脅威アクターは侵害されたホスト経由で外部トラフィックをルーティングし、内部ネットワークを外部アクセスに露出させ、侵害の潜在的な影響を大幅に増加させることができます。

初期インテリジェンス

調査は、SystemBCの役割を侵入エスカレーションの後にランサムウェアデプロイメントに繰り返し文書化しています。SystemBCは2024年5月にEuropol’s Operation Endgame中に標的となりましたが、開発者「psevdo」からの更新は、ロシア語フォーラムforum[.]exploit[.]inで引き続き表示されます。このアクティビティは、より深い分析を促進しました。非常にアクティブなSystemBC C2クラスタ、以前に文書化されていないPerlバリアント、およびグローバルな被害者の証跡が発見されました。

Psevdoの更新はロシア語で書かれており、選択された翻訳は以下に示されています。

Post-Endgameフォーラムアクティビティは、コードベースの継続的な進化を示しています。

継続的なフォーラムアクティビティは、Operation Endgameが実際にはSystemBC開発の終わりではなかったことを示唆しています。

同じ脅威、新しいプラットフォーム

このクラスタ内の既知のC2と通信しているのを見たファイルには、VirusTotal上の62のアンチウイルスエンジン全体でゼロの検出を持つ異常なPerlスクリプトが含まれていました。

さらなる分析により、Perlスクリプトは、Linuxシステムに感染するように特別に設計された、以前に文書化されていないSystemBCバリアントであることが明らかになりました。

Perlスクリプトをドロップしたファイルの検査により、2つの追加ELFバイナリが明らかになりました：SafeObjectおよびStringHash。

SafeObjectファイルはStringHashのUPXパックされたバリアントです。アンパック後、それは書き込み可能なディレクトリを再帰的に検索し、ELFとPerlの両方のバリアントを含む264個の埋め込まれたSystemBCペイロードをドロップして実行します。

動作とは別に、ドロッパーは異常にノイズが多く、ロシア語の文字列が詰まっており、これは脅威アクターの起源に関する非科学的であるが親しみのある手がかりです。

感染が最も激しく当たる場所

ここで観察されたSystemBC C2インフラの多くは、BTHosterにリンクされた環境やAS213790（BTCloud）を含む乱用耐性のあるプロバイダーにリンクされたホスティングに依存しているようです。AS213790でホストされているクラスタだけに絞り込むと、10,340以上のディスティンクトな被害者IPアドレスを特定しました。アクティビティは一貫していました。1日あたり平均およそ2,888の被害者IPを平均化しており、感染は典型的なものより長く続きました。平均して、システムは38日間感染したままで、中には100日以上続くものもありました。

当社の分析で観察された最も高い感染システムの集中度は米国で、4,300以上の影響を受けたIPがあります。ドイツ（829）、フランス（448）、シンガポール（419）、インド（294）が続きました。

被害者IPアドレスに関連付けられたASN

被害者IPに関連付けられたASNを見ると、このクラスタは圧倒的に住宅ネットワークではなくホスティングプロバイダーを標的にしており、これは感染が傾向にある理由を説明するのに役立ちます。住宅IPは通常ははるかにより頻繁に変更されます。

被害者IPアドレスに関連付けられたトップ10のASNのテーブル

PADNSデータを確認することにより、予想外の調査結果がもたらされました：複数の政府ドメインに関連付けられた感染。1つの例は、IPアドレス103.28.36[.]105で浮上し、これはかなりのクラウドホストでもあり、phutho.duchop[.]gov[.]vn（ベトナムの州政府ウェブサイト）もホストしていることが判明しました。

一方、IPアドレス196.13.207[.]92は、西アフリカのブルキナファソ政府に関連するドメインにリンクされていました。

多くの感染したIPアドレスは、WordPressの悪用アクティビティに従事することについてVirusTotalコメントで報告されています。これらの観察をまとめると、脅威アクターはSystemBC関連のプロキシを使用してWordPressウェブサイトをターゲットにしていることが示されています。

先制的サイバー防御についてさらに詳しく知りたいですか？

当社のエンタープライズ顧客は、SystemBCボットネットファミリー用に作成した排他的レポートにアクセスできます。敵対的フレームワークの追跡に関する当社の機能についてさらに詳しく知りたい、または当社のプラットフォームでそれらを検索する方法について知りたい場合は、Silent Pushサイバー防御技術のデモンストレーション用に当社のチームに連絡してください。

当社のプラットフォーム専門家に連絡して、Silent Push Enterprise Edition プラットフォームの概要を確認してください。特定のユースケース用にカスタマイズされたウォークスルーとともに、統合とAPI機能に関する洞察を提供できることを嬉しく思います。

緩和

SystemBC関連インフラは、侵入チェーンの初期段階での役割と複数の脅威アクター全体での使用のため、継続的なリスクを提供します。SystemBC活動は多くの場合ランサムウェアデプロイメントと他のフォローオン悪用の前駆体であるため、プロアクティブな監視が重要です。

• SystemBC C2ドメイン
• SystemBC C2 IP
• SystemBC感染IP

IOFA™フィードはSilent Pushエンタープライズサブスクリプションの一部として利用可能です。エンタープライズユーザーは、このデータをセキュリティスタックに取り込み、検出プロトコルに知らせるか、Silent Push ConsoleとFeed Analyticsスクリーンを使用して攻撃者インフラを利用できます。

• 36.255.98[.]159
• 62.60.131[.]191
• 36.255.98[.]179
• 62.60.131[.]184
• 36.255.98[.]152
• 36.255.98[.]160
• 62.60.131[.]187
• 62.60.131[.]204
• 62.60.131[.]180
• 36.255.98[.]165

悪意のあるSystemBC SHA256ハッシュ

SystemBC Perl

• c729bf6ea292116b3477da4843aaeec73370e2bd46e7a27674671e9a65fb473a

SystemBC Perl ドロッパー

• 0f5c81eaf35755a52e670c89b9546e7047828d83f346e3c29be1f6958e14a384
• da95384032f84228ef62f982f3c0f9e574dc6b06b606db33889ea6a5f93d6ae2

先制的サイバー防御の世界により深く潜る準備はできていますか？今日、無料のSilent Push Community Editionで当社のテクノロジーをテストドライブしてください。

SystemBCの追跡を継続

当社の脅威インテリジェンスおよび研究チームは、コードバリアント、被害者、および関連インフラストラクチャを監視するための方法の理解を拡大しながら、SystemBCマルウェアの追跡を継続します。SystemBCは主要なエンタープライズにとってアクティブな脅威であり続けると信じており、このマルウェアを活用している複数の脅威アクターの戦術、技術、および手順（TTP）が無期限に進化し続けることを期待しています。

このレポートの調査結果に関する情報があれば、当社はあなたの声をお聞きしたいと思います。