🛡 概要
SystemBCマルウェアは、商業用バーチャルプライベートサーバー(VPS)を狙い、毎日平均1,500のボットを維持し、悪意のあるトラフィックのハイウェイを提供しています。感染したサーバーは世界中に分散しており、少なくとも1つの未修正の重大な脆弱性を抱えています。SystemBCは2019年以降存在し、様々な脅威アクターによって使用されてきました。攻撃者は感染したホストを通じて悪意のあるトラフィックをルーティングし、コマンド・アンド・コントロール(C2)活動を隠すことができます。このような環境では、検出が困難になります。
🔍 技術詳細
Black Lotus Labsによると、SystemBCプロキシネットワークは、ボリューム重視であり、ステルス性にはあまり配慮されていません。ボットのIPアドレスは保護されておらず、オブフスケーションやローテーションも行われていません。SystemBCは80以上のC2サーバーを持ち、クライアントを感染したプロキシサーバーに接続します。特に、ある悪意のあるサービスはSystemBCのボットの約80%を利用しており、プロキシの質に応じたtieredサービスを提供しています。さらに、SystemBCの運営者は、WordPressの認証情報をブルートフォース攻撃するためにこのネットワークを利用しています。
⚠ 影響
SystemBCネットワークの約80%は、大規模な商業プロバイダーからの感染したVPSシステムで構成されています。これにより、平均的な感染寿命が長くなり、約40%のシステムが1か月以上も感染したままとなっています。感染したサーバーは、平均して20の未修正のセキュリティ問題を抱えており、少なくとも1つの重大な脆弱性があります。特に、アラバマ州のあるシステムは161のセキュリティ脆弱性を抱えていることが確認されています。このような状況は、VPSシステムを脅かし、高ボリュームで安定したトラフィックを提供することを可能にします。
🛠 対策
企業や組織は、SystemBCによる攻撃を防ぐために、脆弱なVPSを特定し、未修正のセキュリティ問題を解決する必要があります。また、定期的なセキュリティ監査や侵入テストを実施し、セキュリティパッチを適用することが重要です。さらに、異常なトラフィックや不審な活動を監視し、早期に対処するためのインシデントレスポンス計画を整備することが推奨されます。Black Lotus Labsは、SystemBCマルウェアの詳細な技術分析を提供しており、組織が妥協の試みを特定したり、運用を妨害したりするための指標を示しています。
