Lumen Technologiesは9月18日(米国時間)、「SystemBC – Bringing the Noise - Lumen Blog SystemBC – Bringing the Noise」において、ボットネット「SystemBC」の背後にある新たなインフラストラクチャを発見したと報じた。
このインフラストラクチャは80台以上のコマンド&コントロール(C2: Command and Control)サーバと大手商用プロバイダーのVPSシステムを中心とした平均1,500台の侵害デバイスで構成されるという。
-
SystemBC – Bringing the Noise - Lumen Blog SystemBC – Bringing the Noise
ボットネットオペレーターが最大の利用者
このボットネットはLumen TechnologiesのBlack Lotus Labsチームにより発見された。研究チームによると、SystemBCの運営者と顧客は回避策やステルス性などに気を配る様子がなく、特定のIPアドレスから24時間で16GBを超えるトラフィックを発生させたケースもあったという。
一般的にボットネットのオペレーターは、ボットネットで構成されたプロキシサーバを構築すると、その帯域を販売することで収益を得ようとする。ところがSystemBCの場合、最大の利用者はオペレーター自身だったとされる。オペレーターはWordPressサイトをブルートフォース攻撃し、入手した認証情報を販売することで収益化していた可能性があるという。
VPSシステムを積極的に侵害
SystemBCはVPSシステムに存在する既知の脆弱性を悪用し、ボットネットマルウェアを展開するとされる。研究チームは侵害されたVPSシステムの調査の過程で、一部システムから160件もの脆弱性を発見している。
主な被害地域は米国および欧州連合(EU: European Union)の一部で、日本はほぼ影響を受けていないとされる。被害デバイスの約80%は5社の大手商用VPSプロバイダーに集中し、これら被害デバイスの約40%は1か月以上感染したままだったことが確認されている。
-
SystemBCの被害デバイス分布図 - 引用:Lumen Technologies
VPSシステムを積極的に侵害する理由としては、長期間の潜伏可能性が指摘されている。一般論として、ボットネットはIoTデバイスを侵害するケースが多く見られる。これらデバイスの侵害にはデメリットがあり、大量のトラフィックを発生させると全体の通信が不安定になり、デバイスの所有者に気づかれる、またはデバイスをリセットされる可能性がある。
一方、VPSシステムの場合は大量のトラフィックを想定した設計がなされ、気軽にリセットすることもできない。これは攻撃者の利用形態と合致しており、理想的な標的だったとみられている。
SystemBCがもたらす脅威と対策
SystemBCは「REM Proxy」と呼ばれるプロキシサービスに利用されていたことが確認されている。REM Proxyは多様なオープンプロキシを販売し、その一部はランサムウェアグループの活動と関連があるとされる。他にはロシアのWebスクレイピングサービス、ベトナムのVN5Socks(別名: Shopsocks5)と呼ばれるプロキシサービスからの利用も確認されている。
-
SystemBCと顧客との関係 引用:Lumen Technologies
Black Lotus Labsチームは、インターネット全体の保護とセキュリティ強化を目的に、ボットネットの監視および追跡調査を行っている。今回はその活動の一環として、Lumen Technologiesのバックボーン全体からSystemBCとREM Proxyに関連するすべてのトラフィックをブロックしたという。
このブロックにより活動の抑制につながることが期待されている。また、同社は調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/SystemBC_IOCs.txt at main · blacklotuslabs/IOCs · GitHub」にて公開しており、同様のセキュリティ対策に活用することが望まれている。
WordPressプラグイン・テーマの脆弱性最新情報 第20回 2025年12月25日~2026年1月7日に報告があったWordPress関連の脆弱性情報
