Socks5Systemz Botnet

Välityspalvelinbottiverkko, joka tunnetaan nimellä "Socks5Systemz", on hiljaa tunkeutunut tietokoneisiin maailmanlaajuisesti PrivateLoader- ja Amadey -haittaohjelmien latausohjelmien kautta. Tällä hetkellä se on onnistuneesti vaarantanut 10 000 laitetta. Tämä uhkaava ohjelmisto kaappaa tartunnan saaneet tietokoneet hallintaansa ja muuttaa ne tahattomiksi kanaviksi erityyppiselle häikäilemättömälle, laittomalle tai nimettömälle Internet-liikenteelle. Bottiverkko tarjoaa tämän palvelun tilaajille, jotka voivat käyttää sitä 1–140 dollarin päivämaksulla, joka maksetaan kryptovaluuttana.

Kyberturvallisuusasiantuntijat ovat havainneet, että Socks5Systemz-välitysbottiverkko on ollut toiminnassa ainakin vuodesta 2016 lähtien, mutta se on onnistunut välttämään merkittävän huomion toimien varjoissa.

Socks5Systemz-bottiverkko varmistaa pysyvyyden tartunnan saaneissa järjestelmissä

Socks5Systemz-botnet levitetään PrivateLoader- ja Amadey-haittaohjelmien kautta, ja niitä levitetään yleisesti eri tavoilla, kuten tietojenkalastelulla, hyväksikäyttöpakkauksilla, haittaohjelmilla ja vertaisverkoista ladatuilla troijalaisilla suoritettavilla tiedostoilla.

Tutkijat tunnistivat botnet-näytteitä, jotka on merkitty nimellä "previewer.exe", jotka on suunniteltu tunkeutumaan isännän muistiin ja varmistamaan pysyvyys "ContentDWSvc"-nimisen Windows-palvelun kautta. Välityspalvelinbotin hyötykuorma on 300 kilotavun 32-bittisen DLL:n muodossa. Se käyttää DGA-järjestelmää muodostaakseen yhteyden Command-and-Control (C2) -palvelimeensa ja lähettääkseen profilointitietoja tartunnan saaneesta koneesta.

Vastauksena C2-palvelin voi antaa jonkin seuraavista komennoista suoritettavaksi:

• • 'tyhjäkäynti': Mitään toimenpiteitä ei tehdä.

• • 'connect': Muodosta yhteys backconnect-palvelimeen.

• • 'katkaise yhteys': Katkaise yhteys backconnect-palvelimeen.

• • 'updips': Päivitä valtuutettujen IP-osoitteiden luettelo liikenteen lähettämistä varten.

• • 'upduris': Tätä komentoa ei ole vielä toteutettu.

Yhdistämiskomento on erityisen tärkeä, koska se ohjaa botin luomaan yhteyden backconnect-palvelimeen portin 1074/TCP kautta.

Kun vaarantunut laite on yhdistetty uhkatoimijoiden hallitsemaan infrastruktuuriin, se muunnetaan välityspalvelimeksi, jota voidaan markkinoida muille uhkatoimijoille. Kun linkitetään backconnect-palvelimeen, se käyttää tiettyjä kenttäparametreja IP-osoitteen, välityspalvelimen salasanan ja rajoitettujen porttien luettelon selvittämiseen. Nämä parametrit varmistavat, että vain sallittujen luettelossa olevat robotit, joilla on asianmukaiset kirjautumistiedot, voivat olla vuorovaikutuksessa ohjauspalvelimien kanssa, mikä estää tehokkaasti luvattomat yritykset.

Socks5Systemz-bottia myydään useilla hintatasoilla

Juuri lokakuussa 2023 analyytikot ovat dokumentoineet yhteensä 10 000 yksilöllistä viestintäyritystä portin 1074/TCP kautta tunnistettujen takaisinkytkentäpalvelimien kanssa. Nämä yritykset vastaavat yhtä suurta määrää uhreja. Näiden uhrien jakautuminen on laajalle levinnyttä ja jokseenkin satunnaista, ja se kattaa koko maapallon. Kuitenkin sellaisissa maissa kuin Intiassa, Yhdysvalloissa, Brasiliassa, Kolumbiassa, Etelä-Afrikassa, Argentiinassa ja Nigeriassa on korkeimmat kirjatut tartuntaluvut.

Pääsy Socks5Systemz-välityspalvelinpalveluihin on saatavilla kahden tilaustason kautta, jotka tunnetaan nimellä "Standard" ja "VIP". Asiakkaat suorittavat maksuja anonyymin Cryptomus-maksuyhdyskäytävän kautta.

Tilaajien on määritettävä IP-osoite, josta välityspalvelinliikenne on peräisin, jotta heidät voidaan sisällyttää botin sallittujen luetteloon. Vakiotilaajat rajoittuvat yhteen säiettä ja yhteen välityspalvelintyyppiin, kun taas VIP-käyttäjät voivat käyttää joustavuutta 100–5000 säiettä ja voivat valita SOCKS4-, SOCKS5- tai HTTP-välityspalvelintyypeistä.

Asuinvälityspalvelinbottiverkot edustavat tuottoisaa liiketoimintaa, jolla on huomattava vaikutus Internetin turvallisuuteen ja kaistanleveyden luvattomaan kulutukseen. Näitä palveluita käytetään yleisesti esimerkiksi ostobottien ajamiseen ja maantieteellisten rajoitusten kiertämiseen, mikä tekee niistä poikkeuksellisen suosittuja.