أظهرت تحليلات فريق Black Lotus Labs في Lumen Technologies أن شبكة بروكسي خبيثة تُعرف باسم REM Proxy تعمل بوساطة البرمجية الخبيثة SystemBC، وتوفر نحو 80% من موارد البوتنت لعملائها، مع متوسط يومي يقارب 1,500 جهاز ضحية متصل بأكثر من 80 خادماً للتحكم (C2).
طبيعة SystemBC ووظيفة الشبكة
SystemBC برمجية خبيثة مكتوبة بلغة C تحوّل الأجهزة المصابة إلى بروكسيات SOCKS5 تسمح بمرور الحركة الخبيثة إلى خوادم التحكم وتنزيل حمولات إضافية. تُستخدم هذه البروكسيات لحشد حركة ضخمـة، وتُوظّف أحيانًا في حملات تفجير كلمات المرور وهجمات فدية وحملات تجسسية أخرى. وتوفر REM Proxy أيضًا تجمعًا يصل حتى 20,000 راوتر Mikrotik ومجموعة من البروكسيات المفتوحة المأخوذة من الإنترنت المجاني.
حجم الانتشار والمنظور الإحصائي
تبلغ شبكة SystemBC أكثر من 80 خادم C2، وبمعدل يومي نحو 1,500 ضحية، قرابة 80% منها أنظمة VPS مخترقة من مزودين تجاريين كبار. كما تبين أن 300 من الضحايا مرتبطون ببوتنت آخر يعرف باسم GoBruteforcer (GoBrut). وتُظهر البيانات أن حوالي 40% من حالات الاختراق تتميز بعمر إصابة طويل يمتد لأكثر من 31 يوماً، ما يمنح المهاجمين فترة تشغيلية واسعة لاستغلال الخوادم.
ثغرات وانتهاكات أمنية لدى الضحايا
أظهر فحص الضحايا أنّ معظم خوادم الـVPS كانت معرضة لثغرات معروفة، بمتوسط 20 ثغرة غير مُصَحّحة لكل ضحية، وعلى الأقل ثغرة حرجة واحدة في المتوسط. وسُجلت حالة لخادم في أتلانتا بالولايات المتحدة يحتوي على أكثر من 160 ثغرة غير مُصَحَّحة، ما يسهل تأصيل البرمجية الخبيثة واستمرارها لفترات طويلة.
آليات التجنيد والاستخدامات الإجرامية
تستغل البنية العدوانية عنوان IP مركزيًا (104.250.164[.]214) لاستضافة أدوات التجنيد ولشن حملات استغلال تجلب ضحايا جدد عبر سكربت شل يثبّت بعدها البرمجية. وتعمل الضحايا كبروكسيات ذات سعة عالية تُباع أو تُؤجر لمجرمين آخرين، بما في ذلك خدمات بروكسي روسية، وخدمة فيتنامية معروفة باسم VN5Socks (Shopsocks5)، إضافة إلى استخدامات كشَرِكَةِ حِصَادِ بيانات الويب (web scraping). كما يستعمل مشغلو الشبكة مواردها نفسها لتنفيذ هجمات قسر كلمات المرور على مواقع WordPress وبيع الاعتمادات المسروقة في الأسواق المراقية.
تقييم الخطر وتوصيات التخفيف
تُشير Lumen إلى استمرار نشاط SystemBC ومرونته التشغيلية عبر سنوات، ما يجعله متواصلاً كعامل تهديد persistently في المشهد السيبراني. نظراً لقدرة شبكات البروكسي المستندة إلى VPS على توفير حجم حركة ومرونة زمنية أكبر من الأجهزة السكنية، تنصح الشركات بمراقبة أنظمة VPS بدقة، تطبيق التصحيحات بانتظام، تقوية آليات الوصول، والتدقيق في سجلات الشبكة لاكتشاف نشاطات SOCKS5 غير المألوفة. كما يُستحسن مراجعة سياسات مزودي الخدمة والتعاون معهم لسدّ البوابات الاستغلالية.
