نظام SystemBC يشغل REM Proxy مع 1,500 ضحية VPS يوميًا عبر 80 خادم C2
19 سبتمبر 2025رافي لاكشمنان، شبكة بوتنت / أمن الشبكات
شبكة بروكسي تُعرف باسم REM Proxy مدعومة ببرمجيات خبيثة تُعرف باسم SystemBC، حيث تقدم حوالي 80% من شبكة البوتنت لمستخدميها، وفقًا لاكتشافات جديدة من فريق Black Lotus Labs في Lumen Technologies.
“REM Proxy هي شبكة كبيرة، كما أنها تسوق مجموعة من 20,000 جهاز توجيه Mikrotik ومجموعة متنوعة من البروكسيات المفتوحة المتاحة مجانًا على الإنترنت،” كما ذكرت الشركة في تقريرها الذي تم مشاركته مع The Hacker News. “كانت هذه الخدمة مفضلة للعديد من الجهات الفاعلة مثل تلك المرتبطة بـ TransferLoader، التي لها صلات بمجموعة برامج الفدية Morpheus.”
SystemBC هو برنامج خبيث قائم على C يقوم بتحويل أجهزة الكمبيوتر المصابة إلى بروكسيات SOCKS5، مما يسمح للمضيفين المصابين بالتواصل مع خادم القيادة والتحكم (C2) وتنزيل حمولات إضافية. تم توثيقه لأول مرة من قبل Proofpoint في عام 2019، وهو قادر على استهداف أنظمة Windows وLinux.
الاستهداف والانتشار
في تقرير سابق في يناير، كشفت ANY.RUN أن النسخة الخاصة بـ Linux من غرسة بروكسي SystemBC مصممة على ما يبدو لخدمات الشركات الداخلية، وأنها تُستخدم بشكل أساسي لاستهداف الشبكات المؤسسية، وخوادم السحابة، وأجهزة IoT.
كما هو الحال عادة مع أي حل بروكسي، يتواصل مستخدمو الشبكة مع خوادم SystemBC C2 على منافذ عالية، والتي تقوم بعد ذلك بتوجيه المستخدم إلى أحد الضحايا قبل الوصول إلى وجهته.
وفقًا لـ Lumen، تتكون شبكة بوتنت SystemBC من أكثر من 80 خادم C2 ومتوسط يومي يبلغ 1,500 ضحية، من بينها ما يقرب من 80% من أنظمة خوادم VPS المقرصنة من عدة مزودين تجاريين كبار. ومن المثير للاهتمام، أن 300 من هؤلاء الضحايا جزء من بوتنت آخر يُعرف باسم GoBruteforcer (المعروف أيضًا باسم GoBrut).
عواقب الاختراقات
من بين هؤلاء، يُعتبر ما يقرب من 40% من الاختراقات ذات “متوسط عمر” طويل للغاية، حيث تستمر لأكثر من 31 يومًا. لتفاقم الأمور، وُجد أن الغالبية العظمى من الخوادم الضحية معرضة لعدة ثغرات أمنية معروفة. كل ضحية تحتوي على 20 ثغرة CVE غير مصححة ومتوسط واحد على الأقل من الثغرات الحرجة CVE، مع وجود أحد خوادم VPS في مدينة أتلانتا الأمريكية معرضًا لأكثر من 160 ثغرة CVE غير مصححة.
“تتحول الضحايا إلى بروكسيات تمكّن من تدفق كميات كبيرة من الحركة الخبيثة لاستخدامها من قبل مجموعة متنوعة من الجماعات الإجرامية،” كما ذكرت الشركة. “من خلال التلاعب بأنظمة VPS بدلاً من الأجهزة في مساحة IP السكنية، كما هو معتاد في الشبكات البروكسي المعتمدة على البرمجيات الخبيثة، يمكن لـ SystemBC تقديم بروكسيات بكميات هائلة لفترات زمنية أطول.”
بجانب REM Proxy، تشمل بعض العملاء الآخرين لـ SystemBC على الأقل خدمتين بروكسي مختلفتين مقرهما روسيا، وخدمة بروكسي فيتنامية تُعرف باسم VN5Socks (المعروفة أيضًا باسم Shopsocks5)، وخدمة لتجريف الويب الروسية.
آلية عمل البرمجيات الخبيثة
أساسي لعمل البرمجيات الخبيثة هو عنوان IP 104.250.164[.]214، الذي يستضيف ليس فقط العناصر ولكن يبدو أيضًا أنه مصدر الهجمات لتجنيد الضحايا المحتملين. بمجرد أن يتم اصطياد ضحايا جدد، يتم إسقاط سكربت شل على الجهاز لتسليم البرمجيات الخبيثة لاحقًا.
تعمل شبكة البوتنت دون اعتبار كبير للسرية، حيث أن الهدف الرئيسي هو التوسع في الحجم لتجنيد أكبر عدد ممكن من الأجهزة في الشبكة. واحدة من أكبر حالات الاستخدام لهذه الشبكة غير القانونية هي من قبل الجهات الفاعلة وراء SystemBC نفسها، التي تستخدمها لاقتحام بيانات اعتماد مواقع WordPress.
الهدف النهائي هو على الأرجح بيع بيانات الاعتماد التي تم جمعها إلى جهات إجرامية أخرى في المنتديات السرية، التي تستخدمها بعد ذلك لتضمين رموز خبيثة في المواقع المعنية لحملات لاحقة.
“لقد أظهرت SystemBC نشاطًا مستمرًا ومرونة تشغيلية على مدى عدة سنوات، مما جعلها تبرز كعنصر دائم ضمن مشهد التهديدات السيبرانية،” كما ذكرت Lumen. “استخدمها في الأصل المهاجمون لتمكين حملات الفدية، وقد تطورت المنصة لتقديم تجميع وبيع بوتنتات مخصصة.”
“نموذجهم يوفر مزايا كبيرة: فهو يمكّن من تنفيذ استكشاف واسع النطاق، ونشر البريد العشوائي، والأنشطة ذات الصلة، مما يسمح للمهاجم بحجز موارد بروكسي أكثر انتقائية للهجمات المستهدفة المستندة إلى جمع المعلومات السابقة.”
