Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

85.000 Geräte für illegale Proxys : Socks5Systemz Mega-Botnet betreibt illegalen Proxy-Dienst

Bitsight hat neue Erkenntnisse über das Botnet Socks5Systemz veröffentlicht, das über 85.000 gehackte Geräte in den Proxy-Dienst PROXY.AM einbindet. Die Geräte dienen unfreiwillig der Bereitstellung von Proxy-Diensten, die häufig für illegale Aktivitäten oder zur Verschleierung von Angriffen genutzt werden.

Netzwerksicherheit
Lesezeit 2 Min.

Das Sicherheitsteam von Bitsight warnt, dass Proxy-Malware wie Socks5Systemz Bedrohungsakteuren Anonymität verschafft, um über kompromittierte Systeme verschiedene illegale Aktivitäten zu verschleiern. Diese Malware verwandelt infizierte Geräte in Proxy-Exit-Knoten, die über den illegalen Dienst PROXY.AM beworben werden.

Geschichte und Entwicklung des Botnets

Socks5Systemz ist seit 2013 im Cybercrime-Umfeld bekannt und wurde von Bitsight bereits in Verbindung mit der Verbreitung von PrivateLoader, SmokeLoader und Amadey dokumentiert. Der Dienst PROXY.AM existiert seit 2016 und bietet Proxys zu Preisen zwischen 126 und 700 Dollar pro Monat an.

Das Botnetz erreichte Anfang 2024 durchschnittlich 250.000 infizierte Geräte pro Tag, während aktuelle Schätzungen von 85.000 bis 100.000 aktiven Knoten ausgehen. Besonders betroffen sind Länder wie Indien, Indonesien, die Ukraine, Russland und die USA. PROXY.AM selbst gibt an, über 80.888 Proxy-Knoten in 31 Ländern zu verfügen.

Im Dezember 2023 verlor der Betreiber die Kontrolle über die erste Version von Socks5Systemz und musste das Botnetz mit einer neuen Infrastruktur (Socks5Systemz V2) wieder aufbauen. Dies führte zu neuen Verbreitungskampagnen, um alte Infektionen durch aktualisierte Malware zu ersetzen.

Weitere aktuelle Angriffe nach ähnlichem Strickmuster: Gafgyt und Ngioweb

Nur wenige Wochen zuvor hatte das Black Lotus Labs-Team von Lumen Technologies berichtet, dass die Malware Ngioweb Systeme infiziert. Diese gekaperten Systeme werden dann als private Proxyserver für den Anonymisierungsdienst NSOCKS genutzt.

Im gleichen Zeitraum berichtete Trend Micro von gezielten Angriffen auf falsch konfigurierte Docker-Remote-API-Server. Bedrohungsakteure schleusen dabei die Gafgyt-Malware ein, um DDoS-Angriffe (Distributed Denial of Service) auszuführen. Gafgyt, bisher vorwiegend für Angriffe auf IoT-Geräte bekannt, erweitert offensichtlich sein Zielgebiet. Die Malware nutzt schwache SSH-Passwörter und Docker-Instanzen zur Verbreitung.

Sicherheitsexperte Sunil Bharti erläutert, dass Angreifer falsch konfigurierte Docker-Remote-APIs ausnutzen. Sie erstellen Container auf Basis legitimer „Alpine“-Docker-Images, um die Gafgyt-Malware zu installieren. Diese Methode macht ungeschützte Cloud-Instanzen zu attraktiven Zielen. Angreifer nutzen sie, um Malware zu verbreiten, Kryptowährungs-Mining zu betreiben und Botnets für DDoS-Angriffe aufzubauen.

Empirische Analyse zeigt das Ausmaß der Bedrohung

Eine Untersuchung der Universität Leiden und der TU Delft fand 215 Cloud-Instanzen mit sensiblen Zugangsdaten, die unbefugten Zugriff auf Dienste wie Datenbanken, Cloud-Infrastrukturen und Drittanbieter-APIs ermöglichen könnten. Besonders betroffen sind Unternehmen in den USA, Indien, Australien, Großbritannien, Brasilien und Südkorea, quer durch Branchen wie IT, Finanzen, Bildung und Gesundheitswesen.

Modat, europäischer Entwickler und Betreiber einer spezialisierten Suchmaschine für Cybersicherheitsexperten, warnt vor den weitreichenden Folgen solcher Datenlecks. Diese reichen von der vollständigen Kontrolle über Sicherheitsinfrastrukturen bis hin zur Infiltration geschützter Cloud-Systeme. Die Forscher betonen die Notwendigkeit strengerer Systemverwaltung und Überwachung, um Schwachstellen zu schließen und Datenlecks zu verhindern.

Diesen Beitrag teilen: