Socks5Systemz Botnet

רשת בוטנט פרוקסי הידועה בשם 'Socks5Systemz' חדרה בשקט למחשבים ברחבי העולם דרך מטעני התוכנה ' PrivateLoader ' ו' Amadey '. נכון לעכשיו, זה הצליח להתפשר על 10,000 מכשירים. תוכנה מאיימת זו תופסת שליטה על מחשבים נגועים, והופכת אותם לצינורות לא מודעים לסוגים שונים של תעבורת אינטרנט חסרת מצפון, בלתי חוקית או אנונימית. הבוטנט מציע שירות זה למנויים, שיכולים לגשת אליו בתשלום שנעים בין $1 ל$140 ליום, בתשלום במטבע קריפטוגרפי.

מומחי אבטחת סייבר גילו שרשת ה-proxy Socks5Systemz פועלת לפחות משנת 2016, אך היא הצליחה להתחמק מתשומת לב משמעותית, פועלת בצל.

ה-Socks5Systemz Botnet מבסס התמדה על מערכות נגועות

רשת הבוט של Socks5Systemz מופצת באמצעות ה-PrivateLoader והתוכנה הזדונית של Amadey, המופצת בדרך כלל באמצעים שונים כגון פישינג, ערכות ניצול, פרסום שגוי וקובצי הפעלה טרויאניים שהורדו מרשתות עמית לעמית.

החוקרים זיהו דגימות רשת בוט שכותרתו 'previewer.exe' שנועדו לחדור לזיכרון המארח ולבסס התמדה באמצעות שירות Windows בשם 'ContentDWSvc'. מטען הבוט של ה-Proxy לובש צורה של DLL של 300 KB של 32 סיביות. הוא משתמש במערכת אלגוריתם ליצירת תחום (DGA) כדי להתחבר לשרת ה-Command-and-Control (C2) שלו ולשדר מידע פרופיל על המחשב הנגוע.

בתגובה, שרת C2 יכול להנפיק אחת מהפקודות הבאות לביצוע:

• 'בטל': לא ננקטת פעולה.
• 'התחבר': צור חיבור לשרת חיבור אחורי.
• 'נתק': נתק את החיבור לשרת החיבור האחורי.
• 'updips': עדכן את רשימת כתובות ה-IP המורשות לשליחת תעבורה.
• 'upduris': פקודה זו עדיין לא מיושמת.

הפקודה 'התחבר' משמעותית במיוחד, מכיוון שהיא מכוונת את הבוט ליצור חיבור לשרת חיבור אחורי דרך יציאה 1074/TCP.

לאחר חיבור לתשתית הנשלטת על ידי גורמי איומים, המכשיר שנפרץ הופך לשרת פרוקסי שניתן לשווק לגורמי איומים אחרים. בעת קישור לשרת החיבור האחורי, הוא משתמש בפרמטרי שדה ספציפיים כדי לוודא את כתובת ה-IP, סיסמת ה-proxy ורשימת יציאות מוגבלות. פרמטרים אלו מבטיחים שרק בוטים ברשימת המותרים עם אישורי הכניסה המתאימים יכולים לקיים אינטראקציה עם שרתי הבקרה, ולמעשה לסכל ניסיונות לא מורשים.

ה-Socks5Systemz Botnet נמכר בכמה רמות מחיר

רק באוקטובר 2023, אנליסטים תיעדו סך של 10,000 ניסיונות תקשורת ייחודיים דרך יציאה 1074/TCP עם שרתי החיבור האחורי שזוהו. ניסיונות אלו תואמים למספר שווה של קורבנות. התפוצה של הקורבנות הללו היא נרחבת ומקצת אקראית, ומתפרשת על פני כל הגלובוס. עם זאת, למדינות כמו הודו, ארצות הברית, ברזיל, קולומביה, דרום אפריקה, ארגנטינה וניגריה יש את שיעורי ההדבקה הגבוהים ביותר.

גישה לשירותי ה-Proxy של Socks5Systemz זמינה באמצעות שתי שכבות מנוי, הידועות בשם 'סטנדרטי' ו-'VIP'. לקוחות מבצעים תשלומים דרך שער התשלומים האנונימי 'Cryptomus'.

המנויים נדרשים לציין את כתובת ה-IP ממנה מגיעה תעבורת ה-proxy על מנת להיכלל ברשימת ההיתרים של הבוט. מנויים סטנדרטיים מוגבלים לשרשור בודד ולסוג פרוקסי אחד, בעוד שמשתמשי VIP נהנים מהגמישות של שימוש ב-100 עד 5000 שרשורים ויכולים לבחור בין סוגי פרוקסי SOCKS4, SOCKS5 או HTTP.

רשתות פרוקסי בוטניות למגורים מייצגות עסק רווחי עם השפעה מהותית על אבטחת האינטרנט וצריכה בלתי מורשית של רוחב פס. שירותים אלה משמשים בדרך כלל למטרות כמו הפעלת בוטים של קניות ועקיפת הגבלות גיאוגרפיות, מה שהופך אותם לפופולריים במיוחד.