SystemBC 맬웨어, VPS 서버가 범죄자들을 위한 고대역폭 프록시로 변신

연구자들은 SystemBC 보트넷이 VPS 서버를 REM 프록시 및 전 세계 랜섬웨어 공격을 포함한 범죄 작전을 위한 프록시 서버로 변환한다는 사실을 밝혔습니다.

사이버 보안 회사 루멘 테크놀로지스가 “SystemBC” 봇넷에 대한 새로운 세부 사항을 발견했습니다. 이 거대한 네트워크는 80개 이상의 명령 및 제어 서버(C2s)로 구성되어 있으며, 매일 약 1,500개의 시스템이 침해당했다고 밝혀졌습니다. 연구자들은 이 피해자들 중 거의 80%가 주요 제공업체의 가상 사설 서버(VPS)라고 말합니다.

“일반적으로 악성 프록시 네트워크에서 흔히 볼 수 있는 주거용 IP 공간의 장치들 대신에 VPS 시스템을 조작함으로써, SystemBC는 대량의 볼륨을 보다 긴 기간 동안 제공할 수 있는 프록시를 만들 수 있다.”라고 연구자들이 말했습니다.

연구자들은 이같은 감염된 VPS 시스템들이 프록시 서버로 작동하며, 범죄 조직들이 그들의 작전을 수행하기 위해 사용하는 대량의 악성 트래픽을 생성한다고 설명하였습니다.

이 봇넷은 REM 프록시를 지원하며, 이는 20,000개의 Mikrotik 라우터와 다른 오픈 프록시를 마케팅하는 대규모 네트워크입니다.

Lumen은 REM 프록시가 프록시 서비스로 작동하며, Morpheus와 TransferLoader와 같은 랜섬웨어 그룹을 지원한다고 설명합니다. 이 서비스는 빠르고 은밀한 옵션을 포함한 다양한 프록시 서비스를 제공하며, 비밀번호 크래킹을 위한 저렴한 IP 주소도 제공합니다.

“SystemBC는 수년에 걸쳐 지속적인 활동과 운영적인 회복력을 보여주었습니다.”라고 Lumen은 말했습니다. 이는 2019년에 처음으로 기록된 악성 코드가 여전히 범죄 집단들의 주요 도구로 남아있다는 것을 지적했습니다. 각각의 감염된 서버는 평균적으로 20개의 패치되지 않은 취약점을 보이며, 일부는 160개 이상을 보여주기도 합니다.

이 악성 코드는 공격자가 감염된 컴퓨터를 통해 트래픽을 리디렉션하는 프록시 도구로 작동합니다. 운영자들은 은밀함보다는 양에 중점을 두는데, 한 번의 테스트에서 단일 IP가 24시간 동안 16기가바이트 이상의 데이터를 생성했습니다.

루멘은 전 세계 네트워크를 통한 SystemBC와 REM 프록시 인프라로부터의 모든 트래픽을 차단했습니다. 연구자들은 또한 다른 사람들이 자신들을 보호할 수 있도록 손상 표시(indicators of compromise, IoCs)를 공개했습니다.

“우리는 새로운 인프라, 목표 활동, 확장된 TTPs를 지속적으로 모니터링하며; 보안 연구 커뮤니티와 협력하여 결과를 공유할 것입니다.”라고 보고서는 결론을 내렸습니다.