Ботнет SystemBC продолжает эволюционировать: обнаружены тысячи новых инфицированных систем по всему миру

SystemBC, также известный как "Coroxy" или "DroxiDat", представляет собой многоплатформенное прокси-вредоносное ПО, впервые задокументированное в 2019 году. Его основная функция - превращать скомпрометированные системы в прокси-серверы типа SOCKS5, создавая туннель для трафика злоумышленников. Кроме того, SystemBC действует как бэкдор, обеспечивая внешний доступ к внутренним сетям. Некоторые варианты, особенно для Windows, способны доставлять дополнительное вредоносное ПО, часто в связке с программами-вымогателями. Подобная устойчивая и анонимизирующая архитектура значительно расширяет потенциальный масштаб компрометации.

Активность SystemBC привлекла внимание международных правоохранительных органов: в мае 2024 года эта угроза была среди целей операции Europol под кодовым названием Endgame. Однако, как показывают новые данные, это не остановило развитие ботнета. Эксперты Silent Push начали целенаправленный мониторинг SystemBC в 2025 году, разработав специальный цифровой отпечаток для его отслеживания. Применение этой методики позволило выявить глобально распределённую сеть заражений.

Географический анализ показал, что наибольшее количество инфицированных IP-адресов сосредоточено в США - более 4300. Далее следуют Германия (829), Франция (448), Сингапур (419) и Индия (294). Особую озабоченность вызывает обнаружение скомпрометированных систем в чувствительной инфраструктуре. В частности, были выявлены IP-адреса, связанные с хостингом официальных правительственных веб-сайтов во Вьетнаме и Буркина-Фасо. Это подчеркивает, что угроза проникает в критически важные сети.

Инфраструктура командования и управления ботнета активно использует так называемый "пуленепробиваемый" хостинг, толерантный к злоупотреблениям, включая услуги BTHoster и AS213790 (BTCloud). Анализ кластера, размещённого на AS213790, показал высокую устойчивость заражений: в среднем системы остаются скомпрометированными 38 дней, а некоторые - более 100 дней. Это объясняется тем, что ботнет преимущественно нацелен на хостинг-провайдеров, чьи IP-адреса меняются реже, чем в резидентных сетях.

Одним из ключевых открытий исследования стало обнаружение ранее недокументированного варианта SystemBC, написанного на языке Perl и предназначенного для заражения Linux-систем. Этот скрипт не детектировался ни одним из 62 антивирусных движков на VirusTotal на момент анализа. Анализ дропперов, распространяющих этот вариант, выявил встроенные строки на русском языке, что, наряду с активностью разработчика под псевдонимом "psevdo" на русскоязычных форумах, косвенно указывает на происхождение угрозы.

Данные также свидетельствуют, что злоумышленники используют прокси, созданные SystemBC, для проведения атак на веб-сайты, построенные на WordPress. Многие из выявленных заражённых IP-адресов фигурируют в комментариях VirusTotal в связи с эксплуатацией уязвимостей в этой популярной системе управления контентом.

Выявление тысяч активных инфекций спустя годы после первоначального обнаружения и операций правоохранительных органов демонстрирует живучесть угрозы SystemBC. Его способность служить плацдармом для последующих атак, включая развертывание программ-вымогателей, делает раннее обнаружение этой активности критически важным для организаций по всему миру. Непрерывная эволюция вредоносного ПО, включая выход новых вариантов вроде Perl-версии, требует постоянного обновления сигнатур и поведенческих моделей защиты. Эксперты рекомендуют сосредоточить усилия на мониторинге необычного SOCKS5-трафика, исходящего из внутренней сети, и регулярно проводить аудит систем на предмет признаков несанкционированного доступа.

IPv4

• 36.255.98.152
• 36.255.98.159
• 36.255.98.160
• 36.255.98.165
• 36.255.98.179
• 62.60.131.180
• 62.60.131.184
• 62.60.131.187
• 62.60.131.191
• 62.60.131.204

SHA256

• 0f5c81eaf35755a52e670c89b9546e7047828d83f346e3c29be1f6958e14a384
• c729bf6ea292116b3477da4843aaeec73370e2bd46e7a27674671e9a65fb473a
• da95384032f84228ef62f982f3c0f9e574dc6b06b606db33889ea6a5f93d6ae2