Socks5Systemz Botnet
Tarpinio serverio robotų tinklas, žinomas kaip „Socks5Systemz“, tyliai įsiskverbė į kompiuterius visame pasaulyje per „ PrivateLoader “ ir „ Amadey “ kenkėjiškų programų kroviklius. Šiuo metu ji sėkmingai pažeista 10 000 įrenginių. Ši grėsminga programinė įranga perima užkrėstų kompiuterių kontrolę ir paverčia juos nesąmoningais kanalais, skirtais įvairių tipų nesąžiningam, neteisėtam ar anoniminiam interneto srautui. Šią paslaugą botnetas siūlo abonentams, kurie gali prieiti prie jos už mokestį nuo 1 USD iki 140 USD per dieną, sumokamą kriptovaliuta.
Kibernetinio saugumo ekspertai išsiaiškino, kad „Socks5Systemz“ tarpinio serverio botnetas veikia mažiausiai nuo 2016 m., tačiau jam pavyko išvengti didelio dėmesio, veikdamas šešėlyje.
„Socks5Systemz“ robotų tinklas užtikrina patvarumą užkrėstose sistemose
„Socks5Systemz“ botnetas platinamas per „PrivateLoader“ ir „Amadey“ kenkėjiškas programas, dažniausiai platinamas įvairiomis priemonėmis, tokiomis kaip sukčiavimas, išnaudojimo rinkiniai, kenkėjiška reklama ir trojanizuotos vykdomosios programos, atsisiunčiamos iš lygiaverčių tinklų.
Tyrėjai nustatė botneto pavyzdžius, pažymėtus kaip „previewer.exe“, skirtus įsiskverbti į pagrindinio kompiuterio atmintį ir užtikrinti patvarumą naudojant „Windows“ paslaugą, pavadintą „ContentDWSvc“. Tarpinio serverio roboto naudingoji apkrova yra 300 KB 32 bitų DLL. Jis naudoja domeno generavimo algoritmo (DGA) sistemą, kad prisijungtų prie savo komandų ir valdymo (C2) serverio ir perduotų profiliavimo informaciją apie užkrėstą įrenginį.
Atsakydamas, C2 serveris gali išduoti vieną iš šių komandų vykdymui:
- „Tuščioji eiga“: jokių veiksmų nesiimama.
- „Prisijungti“: užmegzkite ryšį su atgalinio ryšio serveriu.
- „atjungti“: nutraukti ryšį su atgalinio ryšio serveriu.
- „updips“: atnaujinkite įgaliotų IP adresų, skirtų srautui siųsti, sąrašą.
- 'upduris': ši komanda dar neįdiegta.
„Connect“ komanda yra ypač svarbi, nes ji nukreipia robotą sukurti ryšį su backconnect serveriu per prievadą 1074/TCP.
Prisijungus prie infrastruktūros, kurią kontroliuoja grėsmės veikėjai, pažeistas įrenginys paverčiamas tarpiniu serveriu, kuris gali būti parduodamas kitiems grėsmės veikėjams. Susiedamas su atgalinio ryšio serveriu, jis naudoja specifinius lauko parametrus, kad nustatytų IP adresą, tarpinio serverio slaptažodį ir apribotų prievadų sąrašą. Šie parametrai užtikrina, kad tik leistinų sąraše esantys robotai, turintys atitinkamus prisijungimo duomenis, gali sąveikauti su valdymo serveriais, veiksmingai užkertant kelią neteisėtiems bandymams.
Botnet „Socks5Systemz“ parduodamas keliomis kainomis
Vien 2023 m. spalio mėn. analitikai užfiksavo iš viso 10 000 unikalių ryšio bandymų per prievadą 1074/TCP su nustatytais atgalinio ryšio serveriais. Šie bandymai atitinka vienodą aukų skaičių. Šių aukų pasiskirstymas yra plačiai paplitęs ir šiek tiek atsitiktinis, apimantis visą pasaulį. Tačiau tokiose šalyse kaip Indija, JAV, Brazilija, Kolumbija, Pietų Afrika, Argentina ir Nigerija užregistruoti didžiausi užsikrėtimo rodikliai.
Prieiga prie „Socks5Systemz“ tarpinio serverio paslaugų pasiekiama naudojant dvi prenumeratos pakopas, žinomas kaip „Standartinis“ ir „VIP“. Klientai mokėjimus atlieka per anoniminį mokėjimo šliuzą „Cryptomus“.
Abonentai turi nurodyti IP adresą, iš kurio kyla tarpinio serverio srautas, kad jie būtų įtraukti į roboto leidžiamų įrenginių sąrašą. Standartiniai abonentai apsiriboja viena gija ir vienu įgaliotojo serverio tipu, o VIP vartotojai naudojasi 100–5000 gijų lankstumu ir gali rinktis iš SOCKS4, SOCKS5 arba HTTP tarpinio serverio tipų.
Gyvenamieji tarpiniai robotų tinklai yra pelningas verslas, turintis didelį poveikį interneto saugumui ir neteisėtam pralaidumo naudojimui. Šios paslaugos dažniausiai naudojamos tokiems tikslams kaip apsipirkimo robotai ir geografinių apribojimų apėjimas, todėl jos yra ypač populiarios.
