S'inscrire

Cybersécurité - 09/12/2024

Le botnet Socks5Systemz alimente un service proxy illégal avec plus de 85 000 appareils piratés

Hacker utilisant un outil de cybersécurité

Selon de nouvelles découvertes de Bitsight, un botnet malveillant appelé Socks5Systemz alimente un service proxy appelé PROXY.AM.

« Les logiciels malveillants et les services proxy permettent à d’autres types d’activités criminelles d’ajouter des couches d’anonymat incontrôlées aux acteurs de la menace, afin qu’ils puissent effectuer toutes sortes d’activités malveillantes en utilisant des chaînes de systèmes de victimes », a déclaré l’équipe de recherche en sécurité de la société dans une analyse publiée la semaine dernière.

Cette révélation intervient quelques semaines seulement après que l’équipe de Black Lotus Labs de Lumen Technologies a révélé que des systèmes compromis par un autre malware connu sous le nom de Ngioweb sont utilisés comme serveurs proxy résidentiels pour NSOCKS.

Socks5Systemz, initialement annoncé dans le milieu de la cybercriminalité dès mars 2013, avait déjà été documenté par BitSight comme étant déployé dans le cadre de cyberattaques ciblant la distribution de PrivateLoader, SmokeLoader et Amadey.

L’objectif principal du malware est de transformer les systèmes compromis en nœuds de sortie proxy, qui sont ensuite annoncés à d’autres acteurs, généralement des cybercriminels qui cherchent à masquer la source de leurs attaques. Le service proxy illégal existe depuis 2016.

Les pays comptant le plus grand nombre d’hôtes infectés sont l’Inde, l’Indonésie, l’Ukraine, l’Algérie, le Vietnam, la Russie, la Turquie, le Brésil, le Mexique, le Pakistan, la Thaïlande, les Philippines, la Colombie, l’Égypte, les États-Unis, l’Argentine, le Bangladesh, le Maroc et le Nigéria.

D’ici janvier 2024, la taille du botnet aurait atteint une moyenne quotidienne d’environ 250 000 machines, bien que les estimations actuelles la situent entre 85 000 et 100 000. Au moment de la rédaction de cet article, PROXY.AM affirme disposer de 80 888 nœuds proxy disponibles dans 31 pays différents.

« En décembre 2023, l’acteur malveillant a perdu le contrôle de Socks5Systemz V1 et a dû reconstruire le botnet à partir de zéro avec une infrastructure [de commande et de contrôle] complètement différente – que nous appelons le botnet Socks5Systemz V2 », a déclaré Bitsight, expliquant les raisons de cette diminution.

« Étant donné que Socks5Systemz est abandonné par des chargeurs (tels que Privateloader, SmokeLoader ou Amadey) qui persistent sur le système, de nouvelles campagnes de distribution ont été utilisées pour remplacer les anciennes infections par de nouvelles charges utiles. »

Botnet Socks5Systemz />

 

PROXY.AM (proxy[.]am et proxyam[.]one) se présente comme offrant des « serveurs proxy d’élite, privés et anonymes » pour un prix compris entre 126 $/mois (pack illimité) et 700 $/mois (pack VIP).

Cette divulgation fait suite à un rapport de Trend Micro qui détaille les tentatives en cours des acteurs de la menace pour cibler les serveurs Docker Remote API mal configurés avec le malware botnet Gafgyt pour aider à mener des attaques par déni de service distribué (DDoS) contre des cibles d’intérêt.

Bien que Gafgyt ait pour habitude de cibler les appareils IoT vulnérables, l’exploitation par le malware de mots de passe SSH faibles et d’instances Docker indique un élargissement de sa portée.

« Nous avons remarqué que des attaquants ciblaient des serveurs d’API distants Docker mal configurés et exposés publiquement pour déployer le malware en créant un conteneur Docker basé sur une image Docker « alpine » légitime », a déclaré le chercheur en sécurité Sunil Bharti . « Parallèlement au déploiement du malware Gafgyt, les attaquants ont utilisé le malware botnet Gafgyt pour infecter la victime. »

Les mauvaises configurations du cloud se sont avérées être une surface d’attaque attrayante pour les acteurs malveillants cherchant à déployer des mineurs de crypto-monnaie , à voler des données et à les coopter dans des botnets pour des attaques DDoS.

Selon une nouvelle analyse empirique réalisée par un groupe de chercheurs de l’Université de Leyde et de la TU Delft, pas moins de 215 cas ont été découverts, exposant des informations d’identification sensibles qui pourraient potentiellement accorder aux attaquants un accès non autorisé à des services tels que des bases de données, des infrastructures cloud et des API tierces.

La majorité des cas se situent aux États-Unis, en Inde, en Australie, en Grande-Bretagne, au Brésil et en Corée du Sud, et touchent plusieurs secteurs tels que les technologies de l’information (TI), la vente au détail, la finance, l’éducation, les médias et la santé.

« Ces résultats soulignent le besoin urgent d’une meilleure administration du système et d’une surveillance vigilante pour empêcher les fuites de données », a déclaré l’équipe Modat . « L’impact de la fuite de ces secrets peut être immense, allant du contrôle total de l’infrastructure de sécurité des organisations à l’usurpation d’identité et à l’infiltration dans l’infrastructure cloud protégée. »

Sujets récents