Год назад компания Bitsight TRACE сообщила о вредоносной программе Socks5Systemz, которая является прокси-сервером и о которой до этого времени было мало известно. После годового расследования, компания Bitsight раскрыла новые детали и выводы на основе своих исследований.
Socks5Systemz Botnet
Согласно исследованиям, Socks5Systemz активно использовалась с 2013 года и продавалась как самостоятельный продукт или интегрировалась в другие вредоносные программы. Некоторые из них включали Privateloader, Smokeloader и Amadey. Было также установлено, что ботнет Socks5Systemz на пике своей активности состоял из 250 000 скомпрометированных систем, которые были географически разбросаны по всему миру.
Оказалось, что прокси-сервис PROXY.AM, действующий с 2016 года, использовал ботнет Socks5Systemz для предоставления пользователям узлов выхода через прокси и выполнения преступных действий. Это позволяло пользователям преследовать различные преступные цели.
Исследователи также выяснили происхождение Socks5Systemz и связали его с BaTHNK, который продавал систему обратного подключения SOCKS5 в 2013 году. Также были найдены скриншоты бэкенд-панели программы из того же периода. Похоже, что BaTHNK адаптировал Socks5Systemz для использования в других вредоносных программах, таких как Andromeda, Smokeloader и Trickbot.
Однако несмотря на то, что Socks5Systemz существует уже больше десяти лет, широкое распространение она получила только недавно. Один из актеров, известный как Ar3s, выразил положительное мнение о вредоносной программе в комментарии, что могло стимулировать развитие и распространение программы. В течение последнего года наблюдались масштабные кампании с использованием Socks5Systemz в сочетании с другими вредоносными программами, такими как Privateloader, Amadey и Smokeloader.
Таким образом, исследование компании Bitsight раскрыло новые детали и выводы о вредоносной программе Socks5Systemz. Оказалось, что она активно использовалась уже много лет, была связана с прокси-сервисом PROXY.AM и адаптировалась для использования в других вредоносных программах. Компания Bitsight позволила более полно понять и улучшить защиту от данной угрозы.
Indicators of Compromise
IPv4
- 141.98.234.31
- 152.89.198.214
- 176.10.111.126
- 185.141.63.209
- 185.141.63.216
- 185.208.158.202
- 185.208.158.248
- 185.237.207.107
- 194.62.105.143
- 195.154.173.35
- 195.154.174.12
- 195.154.174.225
- 195.154.176.209
- 195.154.185.134
- 45.155.250.90
- 46.8.225.74
- 62.210.201.223
- 62.210.204.131
- 62.210.204.81
- 79.132.128.13
- 81.31.197.38
- 88.80.148.252
- 88.80.150.13
- 89.105.201.183
- 91.211.247.248
SHA256
- 0fc2f189aa3ebc1ff836079e49dac9758ab5e807d7ab4b42ff37c2376bcc2705
- 36cffd7d54385e0473cb7f7bf2d33910027428837725c4d3649ff1af2d88cb2b
- 5260154782dd66c6a7b0e14c077c4b44ed1f483c6708495d0344edf8a14e2b27
- 54feb0e02729304c1c054e34c3bcb4e76be31b31ec2276187ccc4479378ce130
- 75e722495c157a05b557580863f90b856d6ec229c7cb4974a008c823377369f5
- a2a41ff58541f577ea1580932cc89642e987239a2fa1ccdb33a3029a520ecd0b
- aa93289a23603efc27f70a7eb38f8e81fa7c30f4a5dff71f70c6f2ee583df619
- b1e5b0e42e039b9711c435d691f1372ec663b2cb5a5d6a733d859d75a9f2d662
- bf34984756336bc78428f3f856be287ef364afa3330cac5facf019c39be73657
- c742642edeae783ffdc9efd52f514a5eef830ec115f8e723ee7cfd82ca7c0ba6
- dd075ec25d314f2d97d89065239ccb1d6c680d3f08ea94bf59f522545a1546c9
- e185e43f039f7a97672db4a44597abd6d2bf49c08d7bc689318a098ec826bb00
- f4456c54b840b5650d131ee27ffc9f23b7b3d8344cd88bd2dd2dbad05741e401
- f6bbff3463d01da463091dc3347f5f42b32378353d2f7ddfab6285ecf0450c14
- fa3fe68c4a784c01e170098296b3212696b611e0239b69a40f4438532ca33e88