Socks5Systemz: Botnetz nutzt 85.000 gehackte Geräte für illegale Proxy-Dienste

MÜNCHEN (IT BOLTWISE) – Ein neues Kapitel in der Welt der Cyberkriminalität wird aufgeschlagen: Das bösartige Botnetz Socks5Systemz treibt einen illegalen Proxy-Dienst an, der über 85.000 gehackte Geräte nutzt.

Das Botnetz Socks5Systemz, das von Bitsight entdeckt wurde, ist ein Paradebeispiel für die zunehmende Komplexität und Raffinesse in der Cyberkriminalität. Dieses Botnetz unterstützt den Proxy-Dienst PROXY.AM, indem es kompromittierte Systeme als Proxy-Ausgangsknoten nutzt. Diese Knoten werden dann an andere Akteure vermarktet, die ihre Angriffe verschleiern möchten. Die Malware, die ursprünglich im Jahr 2013 in der Cyberkriminalitätsszene beworben wurde, wurde bereits in Verbindung mit Angriffen dokumentiert, die PrivateLoader, SmokeLoader und Amadey verbreiten.

Der Hauptzweck von Socks5Systemz besteht darin, kompromittierte Systeme in Proxy-Ausgangsknoten zu verwandeln. Diese werden dann an Cyberkriminelle vermietet, die ihre Aktivitäten anonymisieren möchten. Der illegale Proxy-Dienst existiert seit 2016 und hat sich in Ländern wie Indien, Indonesien, der Ukraine und vielen anderen verbreitet. Trotz eines Rückgangs der Botnetzgröße auf 85.000 bis 100.000 Maschinen, behauptet PROXY.AM, über 80.888 Proxy-Knoten in 31 Ländern zu verfügen.

Im Dezember 2023 verlor der Bedrohungsakteur die Kontrolle über Socks5Systemz V1 und musste das Botnetz mit einer neuen Infrastruktur, genannt Socks5Systemz V2, neu aufbauen. Dies führte zu einem Rückgang der Botnetzgröße. Da Socks5Systemz von Loaders wie Privateloader und SmokeLoader verbreitet wird, wurden neue Verteilungskampagnen gestartet, um alte Infektionen mit neuen Nutzlasten zu ersetzen.

PROXY.AM bietet seine Dienste als “elite, private und anonyme Proxy-Server” an, mit Preisen zwischen 126 US-Dollar pro Monat für das Unlimited Pack und 700 US-Dollar pro Monat für das VIP Pack. Diese Enthüllung folgt einem Bericht von Trend Micro, der die Versuche von Bedrohungsakteuren beschreibt, falsch konfigurierte Docker Remote API-Server mit Gafgyt-Botnetz-Malware anzugreifen, um DDoS-Angriffe durchzuführen.

Die Gafgyt-Malware, bekannt für Angriffe auf IoT-Geräte, zeigt eine Erweiterung ihres Zielspektrums durch die Ausnutzung schwacher SSH-Passwörter und Docker-Instanzen. Angreifer nutzen öffentlich zugängliche, falsch konfigurierte Docker-Remote-API-Server, um die Malware zu verbreiten, indem sie einen Docker-Container auf Basis eines legitimen ‘alpine’-Docker-Images erstellen.

Cloud-Fehlkonfigurationen haben sich als attraktive Angriffsfläche für Bedrohungsakteure erwiesen, die Kryptowährungs-Miner einsetzen, Daten stehlen oder Botnetze für DDoS-Angriffe nutzen. Eine empirische Analyse von Forschern der Universität Leiden und der TU Delft ergab, dass 215 Instanzen sensible Anmeldedaten preisgaben, die Angreifern unbefugten Zugriff auf Dienste wie Datenbanken und Cloud-Infrastrukturen gewähren könnten.

Diese Erkenntnisse unterstreichen die dringende Notwendigkeit einer besseren Systemadministration und einer wachsamen Überwachung, um Datenlecks zu verhindern. Die Auswirkungen solcher Lecks können enorm sein, von der vollständigen Kontrolle über die Sicherheitsinfrastruktur von Organisationen bis hin zur Identitätsübernahme und Infiltration in geschützte Cloud-Infrastrukturen.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen