SystemBC botnet
A Silentpush a SystemBC malware program tevékenységét és globális jelenlétét mutatja be, amely továbbra is egy aktív és széles körben használt proxy-malware kampány központi eleme. A SystemBC elsőként 2019-ben jelent meg, és azóta főként olyan fertőzött számítógépeket alakít át, amelyekről a támadók SOCKS5 proxy szolgáltatást futtatnak, vagyis a kompromittált gépek hálózati forgalmát egy rejtett torzón keresztül irányítják vissza a C2 szerverekhez. Ez a megoldás lehetővé teszi, hogy a bűnözők elrejtsék saját infrastruktúrájukat és kommunikációjukat, valamint külső hozzáférést tartsanak fenn belső hálózatokban kompromittált eszközökön keresztül.
A kutatásban 2025-ben kezdett el mélyebben foglalkozni a Silentpush csapata a SystemBC-vel, amihez egyedi fingerprintet hoztak létre az észleléséhez és a fertőzések skálájának feltérképezéséhez. Ezzel több mint 10 000 fertőzött IP-címet azonosítottak világszerte, ahol a legnagyobb arányban az USA, Németország, Franciaország, Szingapúr és India hálózati eszközei érintettek voltak. Figyelemre méltó, hogy a jelentés szerint kormányzati és más érzékeny infrastruktúrák IP-címei is fertőződtek, ami azt mutatja, hogy a malware nem csupán kiszolgált eszközökön terjed.
A SystemBC több platformon is működhet, és a Silentpush elemzése szerint a jelenlegi kampányok változatos variánsokat tartalmaznak, beleértve egy korábban nem dokumentált Perl-alapú verziót, amelyet Linux-rendszerekhez készítettek. Ez arra utal, hogy a malware fejlesztése nem állt le, és a fenyegetés továbbra is evolválódik.
Technikailag a SystemBC malware egy olyan backconnect architektúrát használ, amelyben a fertőzött gépek folyamatosan kapcsolatban állnak a C2 szerverrel, és ezen keresztül irányítják a proxyszolgáltatást. A támadók így képesek más rosszindulatú műveletek forgalmát is átterelni, és ezáltal további kártékony tevékenységekhez, például más malware-komponensek letöltéséhez vagy ransomware-kampányok támogatásához, felhasználni az érintett rendszereket.
