Botnet jahat menelepon Socks5Systemz mendukung layanan proxy yang disebut PROXY.AM, menurut temuan baru dari Bitsight.
“Malware dan layanan proxy memungkinkan jenis aktivitas kriminal lainnya menambahkan lapisan anonimitas yang tidak terkendali kepada pelaku ancaman, sehingga mereka dapat melakukan segala jenis aktivitas jahat menggunakan rantai sistem korban,” kata tim peneliti keamanan perusahaan dalam analisis yang dipublikasikan pekan lalu.
Pengungkapan ini terjadi hanya beberapa minggu setelah tim Black Lotus Labs di Lumen Technologies mengungkapkan bahwa sistem yang disusupi oleh malware lain yang dikenal sebagai Ngioweb disalahgunakan sebagai server proxy perumahan untuk NSOCKS.
Socks5Systemz, awalnya diiklankan di bawah tanah kejahatan dunia maya sejak Maret 2013, sebelumnya didokumentasikan oleh BitSight sebagai digunakan sebagai bagian dari serangan dunia maya yang menargetkan pendistribusian PrivateLoader, SmokeLoader, dan Amadey.
Tujuan utama dari malware ini adalah untuk mengubah sistem yang telah disusupi menjadi titik keluar proxy, yang kemudian diiklankan kepada pelaku lain, biasanya penjahat dunia maya yang ingin mengaburkan sumber serangan mereka. Layanan proxy ilegal ini sudah ada sejak tahun 2016.
Negara-negara teratas dengan jumlah inang yang terinfeksi terbanyak adalah India, india, Ukraina, Aljazair, Vietnam, Rusia, Turki, Brasil, Meksiko, Pakistan, Thailand, Filipina, Kolombia, Mesir, Amerika Serikat, Argentina, Bangladesh, Maroko, dan Nigeria.
Pada bulan Januari 2024, ukuran botnet dikatakan telah menjamur hingga rata-rata harian sekitar 250.000 mesin, meskipun perkiraan saat ini memperkirakan jumlah botnet berkisar antara 85.000 hingga 100.000. Pada saat penulisan, PROXY.AM mengklaim memiliki 80.888 node proxy yang tersedia dari 31 negara berbeda.
“Pada bulan Desember 2023, pelaku ancaman kehilangan kendali atas Socks5Systemz V1 dan harus membangun kembali botnet dari awal dengan cara yang benar-benar berbeda. [command-and-control] infrastruktur — yang kami sebut botnet Socks5Systemz V2,” kata Bitsight, menjelaskan alasan penurunan tersebut.
“Karena Socks5Systemz dihapus oleh loader (seperti Privateloader, SmokeLoader, atau Amadey) yang bertahan di sistem, kampanye distribusi baru digunakan untuk menggantikan infeksi lama dengan payload baru.”
PROXY.AM (proksi[.]saya dan proxyam[.]satu) memasarkan dirinya dengan menawarkan “server proxy elit, pribadi, dan anonim” dengan harga antara $126/bulan (Paket Tidak Terbatas) dan $700/bulan (Paket VIP).
Pengungkapan ini menyusul laporan dari Trend Micro yang merinci upaya pelaku ancaman untuk menargetkan server Docker Remote API yang salah dikonfigurasi dengan malware botnet Gafgyt untuk membantu melakukan serangan penolakan layanan terdistribusi (DDoS) terhadap target yang diinginkan.
Meskipun Gafgyt memiliki rekam jejak dalam menargetkan perangkat IoT yang rentan, eksploitasi malware terhadap kata sandi SSH dan instance Docker yang lemah menunjukkan perluasan cakupannya.
“Kami melihat penyerang menargetkan server API jarak jauh Docker yang salah dikonfigurasi dan terekspos secara publik untuk menyebarkan malware dengan membuat wadah Docker berdasarkan gambar Docker 'alpine' yang sah,” kata peneliti keamanan Sunil Bharti. “Seiring dengan penyebaran malware Gafgyt, penyerang menggunakan malware botnet Gafgyt untuk menginfeksi korban.”
Kesalahan konfigurasi cloud telah terbukti menjadi platform serangan yang menarik bagi pelaku ancaman yang ingin menyebarkan penambang mata uang kripto, mencuri data, dan mengkooptasi mereka ke dalam botnet untuk serangan DDoS.
Berdasarkan analisis empiris baru yang dilakukan oleh sekelompok peneliti dari Universitas Leiden dan TU Delft, ditemukan sebanyak 215 kasus yang mengekspos kredensial sensitif yang berpotensi memberikan penyerang akses tidak sah ke layanan seperti database, infrastruktur cloud, dan API pihak ketiga.
Mayoritas kasus terjadi di Amerika Serikat, India, Australia, Inggris Raya, Brasil, dan Korea Selatan, yang mencakup beberapa sektor seperti teknologi informasi (TI), ritel, keuangan, pendidikan, media, dan layanan kesehatan.
“Temuan ini menggarisbawahi kebutuhan mendesak akan administrasi sistem yang lebih baik dan pengawasan yang cermat untuk mencegah kebocoran data,” kata Tim Modat. “Dampak dari membocorkan rahasia ini bisa sangat besar, mulai dari kendali penuh atas infrastruktur keamanan organisasi hingga peniruan identitas dan infiltrasi ke dalam infrastruktur cloud yang dilindungi.”
