- SystemBCボットネットがVPSサーバーを乗っ取り、アクティブなプロキシノードの80%を占める
- 感染したVPSマシンはフィッシング、ブルートフォース、ランサムウェア攻撃のためのトラフィックを中継
- ボットは毎日大量のトラフィックを生成し、ブラックリスト化されても数週間活動を続けることが多い
サイバー犯罪者は、仮想プライベートサーバー(VPS)を乗っ取り、大規模なマルウェアプロキシネットワークを構築していると専門家が警告しています。
サイバーセキュリティ研究者であるLumen TechnologiesのBlack Lotus Labsは、2019年初頭から活動しているSyxtemBCボットネットの動向を最近詳しく解説しました。このボットネットは静かに80以上のコマンド&コントロールサーバーを集め、1日平均1,500台のアクティブなボットを維持しています。
このボットネットが際立っているのは、感染したシステムの約80%が仮想プライベートサーバー(VPS)であるという事実です。
サイバー犯罪インフラ
通常、ボットネットは家庭用デバイス(パソコン、ルーター、スマートホーム機器、DVR、カメラなど)に依存しますが、SystemBCは異なるアプローチを取り、数十、時には数百もの未修正の脆弱性を持つサーバーを悪用します。
「SystemBCの運用者が使用した初期アクセス経路は特定できませんでしたが、我々の調査によると、被害者1台あたり平均20件の未修正CVEと、少なくとも1件の重大なCVEが存在していました。中には160件以上の未修正脆弱性があるアドレスもありました」と研究者は説明しています。
これら感染したVPSマシンはプロキシリレーとして再利用され、攻撃者はフィッシング、ブルートフォース攻撃、ランサムウェア攻撃などのために大量の悪意あるトラフィックを経路変更できるようになります。
さらに悪いことに、これらの侵害されたサーバーの多くは数週間にわたり活動を続け、40%は1か月以上感染したままです。
Lumenはさらに、家庭用端末ではなくVPSインフラを標的とすることには多くの利点があると説明しています。VPSはより高い帯域幅、長い感染期間、エンドユーザーへの影響が最小限という特徴があります。これにより、REM ProxyやVN5Socksのような犯罪用プロキシサービスが、これらのボットを他の脅威グループ、例えばランサムウェア運用者(AvosLockerやMorpheusなど)に販売できるのです。
SystemBCをさらに際立たせているのは、運用者が隠蔽をまったく気にしていない点です。ボットは日常的にギガバイト単位のトラフィックを生成し、すぐに検知されブラックリスト化されますが、それでも広範なプロキシネットワークの一部として活動を続けます。
LumenはSystemBC関連インフラへの全トラフィックをグローバルバックボーン上で遮断し、防御側を支援するための侵害指標(IoC)も公開しています。詳細はこちらのリンクで確認できます。
