マルチライセンス割引
Threat Database Botnets Socks5Systemz ボットネット

Socks5Systemz ボットネット

BotnetsMezoまで
翻訳内容:
日本語

「Socks5Systemz」として知られるプロキシ ボットネットが、「 PrivateLoader 」および「 Amadey 」マルウェア ローダーを通じて世界中のコンピューターに密かに侵入しています。現在、10,000 台のデバイスの侵害に成功しています。この脅威的なソフトウェアは、感染したコンピュータの制御を奪い、コンピュータをさまざまな種類の悪質、違法、または匿名のインターネット トラフィックの無意識の経路に変えます。ボットネットはこのサービスを加入者に提供しており、加入者は 1 日あたり 1 ドルから 140 ドルまでの範囲の料金を暗号通貨で支払うことでアクセスできます。

サイバーセキュリティの専門家は、Socks5Systemz プロキシ ボットネットが少なくとも 2016 年から活動しているにもかかわらず、重大な注目を逃れて影で活動していることを発見しました。

Socks5Systemz ボットネットは感染したシステム上で永続性を確立します

Socks5Systemz ボットネットは、PrivateLoader および Amadey マルウェアを通じて拡散され、通常、フィッシング、エクスプロイト キット、マルバタイジング、ピアツーピア ネットワークからダウンロードされたトロイの木馬化された実行可能ファイルなどのさまざまな手段を介して伝播されます。

研究者らは、「previewer.exe」というラベルが付けられたボットネット サンプルを特定しました。これは、ホストのメモリに侵入し、「ContentDWSvc」という名前の Windows サービスを通じて永続性を確立するように設計されています。プロキシ ボットのペイロードは、300 KB の 32 ビット DLL の形式を取ります。ドメイン生成アルゴリズム (DGA) システムを採用してコマンド アンド コントロール (C2) サーバーに接続し、感染したマシンに関するプロファイリング情報を送信します。

これに応じて、C2 サーバーは次のいずれかのコマンドを発行して実行できます。

  • 'idle': アクションは実行されません。
  • 'connect': バックコネクトサーバーへの接続を確立します。
  • 'disconnect': バックコネクト サーバーへの接続を切断します。
  • 'updips': トラフィック送信用に許可された IP アドレスのリストを更新します。
  • 'upduris': このコマンドはまだ実装されていません。

「connect」コマンドは、ポート 1074/TCP 経由でバックコネクト サーバーへの接続を作成するようにボットに指示するため、特に重要です。

脅威アクターが制御するインフラストラクチャに接続されると、侵害されたデバイスは、他の脅威アクターに販売できるプロキシ サーバーに変換されます。バックコネクト サーバーにリンクする場合、特定のフィールド パラメーターを利用して、IP アドレス、プロキシ パスワード、および制限されたポートのリストを確認します。これらのパラメーターにより、適切なログイン資格情報を持つ許可リスト上のボットのみが制御サーバーと対話できるようになり、不正な試行が効果的に阻止されます。

Socks5Systemz ボットネットはいくつかの価格帯で販売されています

ちょうど 2023 年 10 月に、アナリストは、特定されたバックコネクト サーバーとのポート 1074/TCP を介した合計 10,000 回の一意の通信試行を文書化しました。これらの試みは、同数の犠牲者に相当します。これらの犠牲者の分布は広範囲にわたり、ややランダムであり、世界中に広がっています。しかし、インド、米国、ブラジル、コロンビア、南アフリカ、アルゼンチン、ナイジェリアなどの国々では、感染率が最も高く記録されています。

Socks5Systemz プロキシ サービスへのアクセスは、「Standard」と「VIP」と呼ばれる 2 つのサブスクリプション層を通じて利用できます。顧客は匿名決済ゲートウェイ「Cryptomus」を通じて支払いを行う。

サブスクライバーは、ボットの許可リストに含めるために、プロキシされたトラフィックの発信元の IP アドレスを指定する必要があります。標準サブスクライバは 1 つのスレッドと 1 つのプロキシ タイプに制限されますが、VIP ユーザーは 100 ~ 5000 のスレッドを柔軟に使用でき、SOCKS4、SOCKS5、または HTTP プロキシ タイプから選択できます。

住宅用プロキシ ボットネットは、インターネット セキュリティと帯域幅の不正消費に多大な影響を与える、儲かるビジネスです。これらのサービスは、ショッピング ボットの実行や地域制限の回避などの目的でよく利用されており、非常に人気があります。

トレンド

Searches-world.com

Rogue Websites, Adware, Browser Hijackers, Potentially Unwanted Programs
情報セキュリティの専門家は、不正な Web サイトを調査中に、searchers-world.com として知られる不正な検索エンジンを宣伝するように設計されたブラウザ ハイジャッカーを配布するインストーラーに遭遇しました。ブラウザ ハイジャッカーは、ブラウザの設定を変更し、リダイレクトを通じてユーザーを特定の Web サイトに誘導することで一般に知られています。ただし、この特定のケースでは...

Heyderbit

Rogue Websites
Heyderbit.com は、疑いを持たない個人を罠に誘い込むために欺瞞的な戦術を採用する詐欺的な暗号通貨 Web サイトです。この戦術は、さまざまなソーシャル メディア チャネルを通じて無料の暗号通貨プレゼントを宣伝し、高い投資収益を約束することによって行われます。ただし、Heyderbit は被害者から資金と個人データの両方を盗むという違法な活動に従事する、規制されていないオフショア ...

Techadm.site

Rogue Websites
Techadm.siteは、人気のあるブラウザベースの戦術を実行することを唯一の目的として作成されたさらに別の疑わしいページです。まったく同じ動作のページがしばらくの間インターネットに殺到しており、その傾向はまったく減速していないようです。これらのサイトはすべて、誤解を招くアラートまたは警告メッセージに依存して、訪問者を「許可」ボタンをクリックするように誘導します。 罠にかかった無防備なユー...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
36,965
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
33,167
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
31,893
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...
読み込んでいます...