O variantă nou documentată a malware-ului SystemBC a compromis peste 10.000 de servere la nivel mondial, inclusiv sisteme ce găzduiesc site-uri guvernamentale, au descoperit cercetătorii în securitate cibernetică.
Silent Push, o firmă de intelligence pentru amenințări, a dezvăluit luni că analiștii săi au identificat infecțiile folosind un instrument de urmărire construit special, descoperind o variantă bazată pe Perl necunoscută anterior, proiectată specific pentru a viza sistemele Linux. La momentul analizei, noua variantă a trecut complet nedetectată de toate cele 62 de motoare antivirus de pe VirusTotal.
Răspândirea globală afectează infrastructura guvernamentală
Infecțiile se întind pe tot globul, cele mai mari concentrări de adrese IP compromise fiind găsite în Statele Unite, urmate de Germania, Franța, Singapore și India.
Printre cele mai alarmante descoperiri s-au numărat infecții care afectează infrastructura guvernamentală sensibilă. Cercetătorii au asociat adresa IP 103.28.36[.]105 cu un site web al unui guvern provincial vietnamez și adresa IP 196.13.207[.]92 cu domenii asociate Guvernului din Burkina Faso din Africa de Vest.
Silent Push a remarcat că multe adrese IP infectate au fost raportate în comentariile VirusTotal pentru activități de exploatare WordPress, sugerând că actorii amenințători folosesc proxy-uri asociate cu SystemBC pentru a viza site-uri WordPress vulnerabile.
Malware-ul persistă în ciuda acțiunilor forțelor de ordine
SystemBC, documentat pentru prima dată de Proofpoint în 2019, funcționează atât ca troian de acces la distanță, cât și ca proxy de rețea care transformă mașinile infectate în servere relay SOCKS5. Acest lucru le permite atacatorilor să direcționeze traficul malițios prin sistemele victimelor, mascându-și propria infrastructură în timp ce mențin accesul pentru implementarea unor încărcături utile suplimentare, inclusiv ransomware.
Malware-ul a fost asociat cu campanii ransomware de mare notorietate care implică Ryuk, Conti și Egregor. Deși s-a aflat printre familiile de malware vizate în cadrul Operațiunii Endgame a Europol din mai 2024, care a dus la patru arestări și la închiderea a peste 100 de servere în 10 țări, SystemBC a continuat să evolueze.
„Această atenție reflectă ani de raportări publice care leagă activitatea SystemBC de breșe de securitate care au culminat cu implementarea de ransomware—subliniind de ce detecția timpurie a acestei activități este importantă”, a scris Silent Push în raportul său.
Hosting-ul Bulletproof Facilitează Operațiunile
Infrastructura de comandă și control a malware-ului se bazează pe furnizori de hosting bulletproof toleranți la abuzuri, inclusiv BTHoster și AS213790, cunoscut și sub numele de BTCloud, care permite operatorilor să mențină o infrastructură criminală persistentă în ciuda eforturilor de detectare.
Cercetătorii în domeniul securității de la Lumen Technologies au descoperit anterior că aproape 80 la sută dintre sistemele infectate cu SystemBC sunt servere virtuale private compromise de la furnizori majori de cloud comercial, oferind o capacitate de lățime de bandă pe care botnet-urile rezidențiale tradiționale nu o pot egala.
Silent Push a publicat indicatori de compromitere, inclusiv adrese IP malițioase și hash-uri SHA256, pentru a-i ajuta pe apărători să identifice și să blocheze activitatea SystemBC în rețelele lor.
Surse:
https://www.silentpush.com/blog/systembc/
https://thehackernews.com/2025/09/systembc-powers-rem-proxy-with-1500.html
https://www.infosecurity-magazine.com/news/global-systembc-botnet-10000/