SystemBCボットネットの急成長と商業インフラへの影響に対する防御策の重要性

SystemBCボットネットは2019年に初めて検出されて以来、急速に進化し、毎日平均1,500の仮想専用サーバー（VPS）を感染させております。このボットネットは小規模な家庭用機器から大規模な商業用VPSノードに転換し、脅威行為者に対して大量の帯域幅と継続的な悪性トラフィックを提供しています。これにより、継続的な分散サービス拒否（DDoS）攻撃やブルートフォース攻撃が可能になり、一般的なプロキシネットワークの制限を回避することができます。

SystemBCはSOCKS5プロキシを通じて感染したホストが指令・制御（C2）サーバーと通信し、追加のペイロードをダウンロード可能にします。このボットネットはWindowsとLinuxシステムの両方を対象としており、最近ではLinuxの亜種も発見されています。Black Lotus Labsの分析によると、このボットネットは80以上のC2サーバーで構成されており、80%以上のVPSが商業用プロバイダーから来ていることが示されています。

SystemBCの感染は平均31日以上続き、感染したサーバーは平均して20の既知の脆弱性を抱えています。中には160以上のCVEを持っているサーバーもあり、攻撃者が初期アクセスを確保し、悪意あるスクリプトを配布するために利用されています。

SystemBCボットネットの主要なユーザーはREM Proxyで、このプロキシはSystemBCネットワークの約80%を賃貸して使用しています。REM Proxyは約20,000台のMikroTikルーターと様々なオープンプロキシを使ってマーケティングし、偵察、資格情報の収集、標的攻撃のための階層化されたパッケージを提供しています。このサービスはMorpheusやAvosLockerといったランサムウェアグループがフィッシングキャンペーンやデータ流出パイプラインに活用しています。

Lumen TechnologiesはSystemBCとREM Proxyインフラに対するトラフィックをブロックし、防御のための侵害指標（IoC）を公開しました。ネットワーク防御者はVPS IP範囲での異常なログイン試行を監視し、Webアプリケーションファイアウォールのルールを通じて識別されたIoCをブロックし、クラウドホスティングサーバーのセキュリティ状態を定期的にチェックする必要があります。また、消費者や小規模オフィスのユーザーも定期的にSOHOルーターを更新し、デフォルトの資格情報を無効にし、管理アクセスを制限するなどの措置を取るべきです。

SystemBCボットネットは商業用インフラを利用してますます強力になっており、これらの脅威に対応するためには、帯域幅に基づく検出と脆弱性管理が不可欠です。