Một mạng botnet proxy có tên 'Socks5Systemz' đã lây nhiễm vào khoảng 10.000 thiết bị trên toàn thế giới thông qua phần mềm độc hại 'PrivateLoader' và 'Amadey'.
Phần mềm độc hại lây nhiễm vào máy tính và biến chúng trở thành Forward proxy cho các lưu lượng độc hại, bất hợp pháp hoặc ẩn danh. Mạng botnet này sau đó được bán cho những người đăng ký với giá từ 1 đến 140 đô la mỗi ngày bằng tiền điện tử.
Báo cáo của BitSight trình bày chi tiết về Socks5Systemz, cho biết botnet proxy này đã xuất hiện ít nhất từ năm 2016 nhưng ít gây chú ý cho đến gần đây.
Socks5Systemz
Bot Socks5Systemz được phát tán thông qua phần mềm độc hại PrivateLoader và Amadey, thường lây lan qua các chiến dịch lừa đảo, công cụ khai thác, quảng cáo độc hại, tệp bị nhiễm trojan,…
Các mẫu (sample) mà BitSight phát hiện, được đặt tên là 'previewer.exe', được thiết kế để tải proxy bot vào bộ nhớ của máy chủ và thiết lập khả năng duy trì truy cập lâu dài cho nó thông qua dịch vụ 'ContentDWSvc' của Windows.
Payload bot proxy là một tệp DLL 32-bit 300 KB. Nó sử dụng hệ thống thuật toán tạo tên miền (DGA) để kết nối với máy chủ điều khiển tấn công (C2) và gửi thông tin hồ sơ của máy bị nhiễm.
Sau khi được kết nối với cơ sở hạ tầng của kẻ đe dọa, thiết bị bị nhiễm bị lạm dụng như một máy chủ proxy và được bán cho các tác nhân đe dọa khác.
Khi kết nối với máy chủ C2, nó sử dụng các trường thông tin xác định địa chỉ IP, mật khẩu proxy, danh sách các cổng (port) bị chặn,… Các tham số này đảm bảo rằng chỉ các bot trong danh sách cho phép và có thông tin xác thực cần thiết mới có thể tương tác với máy chủ C2.
BitSight đã phát hiện cơ sở hạ tầng gồm 53 máy chủ proxy bot, backconnect, DNS, các máy chủ này chủ yếu được đặt ở Pháp và Châu Âu (Hà Lan, Thụy Điển, Bulgaria).
Kể từ đầu tháng 10, các nhà phân tích đã ghi nhận 10.000 nỗ lực kết nối khác nhau qua cổng 1074/TCP với các máy chủ backconnect đã được xác định, cho thấy số lượng máy nạn nhân tương đương.
Các máy nạn nhân phân bố ngẫu nhiên trên toàn cầu, trong đó Ấn Độ, Mỹ, Brazil, Colombia, Nam Phi, Argentina và Nigeria là những nơi có số lượng nạn nhân nhiều nhất.
Các botnet proxy như vậy được sử dụng để kinh doanh bất hợp pháp, dẫn đến chiếm đoạt băng thông trái phép và gây tác động đáng kể đến an ninh mạng.
Vào tháng 8, các nhà phân tích AT&T đã tiết lộ một mạng proxy bao gồm hơn 400.000 nút, trong đó người dùng Windows và macOS không hề hay biết thiết bị của họ đang bị lạm dụng để chuyển tiếp lưu lượng mạng của những người khác.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Google đang cảnh báo về việc các tác nhân đe dọa chia sẻ mã khai thác công khai nhằm lạm dụng dịch vụ Calendar để lưu trữ cơ sở hạ tầng điều khiển tấn công
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đang cảnh báo về hoạt động khai thác liên quan đến lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây trong Apache ActiveMQ có thể dẫn đến việc thực thi mã từ xa
Tín nhiệm mạng | Có tới 34 Windows Driver dễ bị tấn công, có thể bị các tác nhân đe dọa khai thác để giành toàn quyền kiểm soát thiết bị và thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | F5 đang cảnh báo về việc gia tăng các hoạt động khai thác lỗ hổng bảo mật nghiêm trọng dẫn đến việc thực thi các lệnh tùy ý trong BIG-IP chưa đầy một tuần sau khi lỗ hổng được tiết lộ công khai.
Tín nhiệm mạng | Atlassian đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Máy chủ và Data Center Confluence có thể dẫn đến việc mất dữ liệu đáng kể nếu bị kẻ tấn công khai thác.
Tín nhiệm mạng | Một nhà nghiên cứu bảo mật đã công bố mã khai thác cho các thiết bị Wyze Cam v3, cho phép tạo một reverse shell và chiếm quyền điều khiển các thiết bị dễ bị tấn công.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
