Глобальная киберугроза: группировка Proxy Trickster монетизирует взломанные серверы через скрытый майнинг и продажу трафика

Команда Solar 4RAYS раскрыла детали масштабной кампании хакерской группировки Proxy Trickster, которая с начала 2024 года эксплуатирует IT-инфраструктуру по всему миру. Атаки нацелены на незаконный майнинг криптовалют и proxyjacking - перепродажу сетевого трафика жертв через коммерческие сервисы. Группа демонстрирует необычную изощренность: подмена системных утилит, многоуровневая автоматизация атак и использование инструментов вроде gs-netcat для скрытного контроля. Зафиксировано несколько сотен компрометированных систем в 58 странах, включая США, Германию, Россию и Китай, причем активность продолжается в реальном времени.

Описание

Техники проникновения и скрытности

Изначально доступ получают через известные уязвимости в публичных сервисах, таких как Selenium Grid. После этого злоумышленники используют SSH с предустановленными паролями для перемещения между системами, тщательно удаляя следы из журналов. Ключевая особенность Proxy Trickster - подмена базовых утилит мониторинга (ps, pstree, pkill) кастомными скриптами, которые маскируют вредоносные процессы под легитимные системные службы. Например, процессы майнинга и проксирования скрываются под именами вроде [kworker/u8:1-events_unbound], что затрудняет обнаружение даже опытными администраторами. Для обеспечения устойчивости группа внедряет многоуровневую цепочку скриптов: pl отвечает за подмену утилит и установку прокси-инструментов, km.inc управляет обновлениями и запуском нагрузок, а модифицированный скрипт Y (на базе gsocket) добавляет веб-хуки для сбора данных жертв.

Архитектура монетизации

Основной доход группа извлекает через proxyjacking, перенаправляя трафик жертв через платформы Packetshare.io, Pawns.app, Traffmonetizer и другие. Для этого используются специализированные утилиты (nworker, psworker, eworker), запускаемые в контейнерах Docker с автоматическим обновлением через Watchtower. Интересно, что для ARM-систем применяется эмуляция x86 через QEMU, позволяя запускать неподдерживаемые инструменты вроде Repocket. Параллельно развернут майнинг Monero через XMRig, спрятанный в нестандартных каталогах (/root/.config/share/htp/.0x/). Кошелек злоумышленников (84z4f4pGRtW2CFns7kXyRo9pwmK7GBCv6C2zKhM9qU3wiradPUs4W477sCXg5mjGiWRJu8JNZG97EN29nF9aCUUbSbTFwRS) за год принес лишь $340, что подчеркивает приоритет proxyjacking: доход с Packetshare.io и Pawns.app превысил $3000.

Инновации в контроле и автоматизации

Утилита gs-netcat служит основным каналом удаленного доступа, маскируясь под системные процессы (defunct, kernel-modules). С февраля 2025 года внедрена модификация deploy.sh с веб-хуком (hxxp://193.168.143[.]199/nGs.php), автоматически отправляющим секретный ключ GS_SECRET атакующим. Для Windows группа адаптировала неподдерживаемую версию gs-netcat, добавив .NET-лаунчеры (helper.exe, starter.exe), которые скрывают окна через PowerShell-скрипты. Автоматизация усилена cron-задачами: ежечасный скрипт rmd.sh очищает Docker-артефакты, а km.inc ежедневно обновляет нагрузки.

Глобальный масштаб и рекомендации

Анализ сетевой инфраструктуры выявил opendir-каталог на C2-сервере (67.165.216[.]118), где хранятся скрипты для подмены утилит, Windows-инструменты и архивы proxyjacking-клиентов. География атак не имеет явных предпочтений - группировка атакует любые доступные системы.