Ένα proxy botnet με το όνομα “Socks5Systemz” μολύνει υπολογιστές μέσω των ‘PrivateLoader‘ και ‘Amadey‘ malware loaders. Αυτή τη στιγμή, έχει μολύνει πάνω από 10.000 συσκευές.
Αφού μολύνει τους υπολογιστές, το κακόβουλο λογισμικό τους μετατρέπει σε traffic-forwarding proxies για κακόβουλο, παράνομο ή ανώνυμο traffic. Πουλά αυτήν την υπηρεσία σε συνδρομητές που πληρώνουν από 1 έως 140 $ την ημέρα σε crypto, για να έχουν πρόσβαση.
Το Socks5Systemz περιγράφεται λεπτομερώς από την BitSight, η οποία παρατήρησε ότι το proxy botnet υπάρχει τουλάχιστον από το 2016, αλλά μέχρι πρόσφατα δεν είχε ανακαλυφθεί.
Socks5Systemz proxy botnet
Το bot Socks5Systemz διανέμεται μέσω των PrivateLoader και Amadey malware, τα οποία με τη σειρά τους διανέμονται μέσω phishing, exploit kits, malvertizing, trojanized εκτελέσιμων αρχείων που λαμβάνονται από δίκτυα P2P κ.λπ.
Τα δείγματα που ανέλυσε η BitSight ονομάζονται “previewer.exe” και η αποστολή τους είναι να εισάγουν το proxy bot στη μνήμη του κεντρικού υπολογιστή-στόχου και να εδραιώσουν persistence μέσω μιας υπηρεσίας των Windows, που ονομάζεται “ContentDWSvc“.
Δείτε επίσης: Οι χάκερ έχουν κρυπτογραφήσει τα data στο 75% των επιθέσεων Ransomware στον Ιατροφαρμακευτικό Τομέα
Το Socks5Systemz proxy bot payload είναι ένα 300 KB 32-bit DLL. Χρησιμοποιεί ένα σύστημα domain generation algorithm (DGA) για να συνδεθεί με τον command and control (C2) server του.
Σε απόκριση, ο C2 μπορεί να στείλει μία από τις ακόλουθες εντολές για εκτέλεση:
- idle: Δεν γίνεται εκτέλεση καμίας ενέργειας.
- connect: Σύνδεση σε backconnect server.
- disconnect: Αποσύνδεση από τον backconnect server.
- updips: Ενημέρωση της λίστας με τις διευθύνσεις IP που είναι εξουσιοδοτημένες για αποστολή traffic.
- upduris: Δεν έχει εφαρμοστεί ακόμα.
Η εντολή connect είναι πολύ σημαντική, καθώς δίνει οδηγίες για δημιουργία μιας σύνδεσης backconnect server μέσω της θύρας 1074/TCP.
Αφού συνδεθεί στην υποδομή των φορέων απειλής, η μολυσμένη συσκευή μπορεί πλέον να χρησιμοποιηθεί ως proxy server και να πωληθεί σε άλλους παράγοντες απειλής.
Η BitSight εντόπισε μια εκτεταμένη υποδομή ελέγχου 53 proxy bot, backconnect, DNS και address acquisition servers που βρίσκονται κυρίως στη Γαλλία και σε άλλα μέρη της Ευρώπης (Ολλανδία, Σουηδία, Βουλγαρία).
Δείτε επίσης: NoEscape ransomware: Στοχεύει οργανισμούς υγειονομικής περίθαλψης
Από τις αρχές του περασμένου μήνα, οι αναλυτές κατέγραψαν 10.000 ξεχωριστές απόπειρες επικοινωνίας μέσω της θύρας 1074/TCP, με τους αναγνωρισμένους backconnect servers (αυτός ο αριθμός ισοδυναμεί με τον αριθμό των θυμάτων).
Οι στόχοι βρίσκονται σε ολόκληρο τον κόσμο, αλλά οι περισσότερες μολύνσεις εντοπίστηκαν σε Ινδία, Ηνωμένες Πολιτείες, Βραζιλία, Κολομβία, Νότια Αφρική, Αργεντινή και Νιγηρία.
Υπάρχουν δύο επίπεδα συνδρομής για αυτούς που ενδιαφέρονται να αποκτήσουν πρόσβαση στις υπηρεσίες Socks5Systemz proxying: “Standard” και “VIP“. Οι πελάτες πληρώνουν μέσω της ανώνυμης (no KYC) πύλης πληρωμής “Cryptomus”.
Οι συνδρομητές πρέπει να δηλώσουν τη διεύθυνση IP από την οποία θα προέρχεται το proxied traffic, για να προστεθεί στο allowlist του bot. Οι συνδρομητές του επιπέδου Standard περιορίζονται σε ένα μόνο thread και τύπο proxy, ενώ οι χρήστες VIP μπορούν να χρησιμοποιήσουν 100-5000 threads και να ορίσουν τον τύπο proxy σε SOCKS4, SOCKS5 ή HTTP.
Προστασία
Οι βέλτιστες πρακτικές για την πρόληψη των μολύνσεων από proxy botnets και την ενίσχυση της ασφάλειας περιλαμβάνουν την εφαρμογή ενημερωμένου λογισμικού και την εγκατάσταση των τελευταίων ενημερώσεων ασφαλείας. Οι προγραμματιστές λογισμικού διορθώνουν συχνά τις αδυναμίες ασφαλείας και παρέχουν ενημερώσεις για να αντιμετωπίσουν νέες απειλές. Επίσης, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο λογισμικό antivirus για να εντοπίζετε και να αφαιρείτε τυχόν απειλές.
Δείτε επίσης: Οι επιθέσεις BEC στον τομέα της υγειονομικής περίθαλψης αυξήθηκαν κατά 279%
Επιπλέον, η εκπαίδευση των χρηστών είναι ζωτικής σημασίας για την πρόληψη των μολύνσεων από proxy botnets. Οι χρήστες πρέπει να είναι ενημερωμένοι για τις πιθανές απειλές και να αποφεύγουν την ανοιχτή πρόσβαση σε αναξιόπιστες ιστοσελίδες και συνημμένα αρχεία από άγνωστες πηγές. Επίσης, πρέπει να αποφεύγουν τα κλικ σε ύποπτους συνδέσμους και να είναι προσεκτικοί με τα email και τα μηνύματα που λαμβάνουν.
Η παρακολούθηση της δραστηριότητας του δικτύου είναι, επίσης, πολύ σημαντική για την ανίχνευση και αποκλεισμό των proxy botnets. Οι διαχειριστές δικτύου πρέπει να παρακολουθούν την κίνηση των δεδομένων, να ανιχνεύουν ασυνήθιστες δραστηριότητες και να αποκλείουν την πρόσβαση από ύποπτες διευθύνσεις IP. Επίσης, η τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων είναι σημαντική για την αποκατάσταση του συστήματος σε περίπτωση μολύνσεων.
Τέλος, η χρήση ενός firewall και ενός intrusion detection system (IDS) μπορεί να βοηθήσει στον περιορισμό των μολύνσεων. Ένα firewall μπορεί να φιλτράρει την εισερχόμενη και εξερχόμενη κίνηση του δικτύου, ενώ ένα IDS μπορεί να ανιχνεύσει ασυνήθιστες δραστηριότητες και να ειδοποιήσει τους διαχειριστές για πιθανές απειλές.
Πηγή: www.bleepingcomputer.com