Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Usan malware SystemBC para ocultar tráfico C2 y mantener acceso persistente


Se ha detectado el uso de SystemBC, una herramienta de ciberataque que convierte computadoras comprometidas en túneles para tráfico criminal. Este malware permite a los atacantes mantener un acceso persistente y oculto dentro de las redes empresariales, facilitando la ruta de tráfico malicioso y vinculándose con algunas de las operaciones de ransomware más destructivas de los últimos años.


Una herramienta de ciberataque que convierte silenciosamente los ordenadores de las víctimas en túneles para tráfico criminal ha estado ganando terreno en las redes empresariales. Investigadores de seguridad la han vinculado con algunas de las operaciones de ransomware más destructivas de los últimos años.

Conocido como SystemBC, este malware ayuda a los actores de amenazas a mantener un punto de apoyo oculto dentro de los sistemas objetivo mientras redirige tráfico dañino a través de hosts desprevenidos.

SystemBC, también rastreado bajo el alias Coroxy, es un malware de Windows que funciona como proxy SOCKS5, puerta trasera (backdoor) y herramienta de acceso remoto, todo en uno.

Se observó por primera vez alrededor de 2018 y 2019, cuando apareció como una carga útil entregada por los kits de exploits RIG y Fallout. Desde entonces, se ha convertido en un arma ampliamente disponible, vendida en foros clandestinos y adoptada por docenas de grupos criminales.

Analistas de Picus identificaron a SystemBC como una puerta trasera persistente y un proxy que convierte las máquinas infectadas en túneles de tráfico mientras ejecuta comandos, scripts y binarios desde un servidor controlado por el atacante.

Picus dijo en un informe que el malware ha sido vinculado a familias de ransomware como Ryuk, Egregor, Conti, BlackBasta, Play y Rhysida, consolidando su papel en algunas de las intrusiones más dañinas de los últimos años.

Lo que hace que SystemBC sea especialmente peligroso es la facilidad con la que se mezcla con el tráfico normal de la red. Debido a que redirige las comunicaciones de otros malwares a través de hosts infectados, los defensores a menudo no pueden distinguir estas conexiones de la actividad legítima.

Esta capacidad de sigilo lo ha convertido en la opción preferida de los operadores de ransomware que necesitan moverse discretamente antes de entregar una carga útil destructiva.

El malware se empareja frecuentemente con cargadores (loaders) como Buer, QBot y Emotet para obtener acceso inicial antes de que SystemBC se despliegue a niveles más profundos.

Una vez instalado, ofrece a los atacantes un canal fiable para enviar herramientas, ejecutar scripts y mantener el control persistente. Su pequeña huella y diseño modular lo hacen efectivo tanto en entornos de pequeñas empresas como en grandes corporaciones.

Utilizan el malware SystemBC

En esencia, SystemBC establece una conexión cifrada con un servidor de comando y control (C2), tunelizando el tráfico a través de las víctimas de manera que evade la detección estándar.

Las versiones iniciales utilizaban protocolos TCP puros y SOCKS5, pero las versiones más recientes han migrado hacia Tor, utilizando un cliente que se asemeja a la biblioteca de código abierto mini-tor. Este cambio dificulta la detección, ya que el tráfico de Tor se mezcla con la actividad normal en muchos sistemas.

El malware incrusta direcciones de puerta de enlace de autoridad de directorio de Tor directamente en su binario, incluyendo 193.23.244.244, 86.59.21.38, 199.58.81.140 y 204.13.164.118.

Al contactar con su servidor C2, SystemBC envía un paquete de 100 bytes donde los primeros 50 bytes contienen una clave RC4 en texto plano y los 50 restantes llevan los detalles del host y del usuario cifrados con RC4. Esto hace que sea considerablemente más difícil para los analistas interpretar qué está transmitiendo el malware.

Más allá de actuar como proxy, SystemBC opera como un motor de ejecución remota capaz de ejecutar archivos EXE, módulos DLL, shellcode, y scripts VBS, BAT, CMD y PowerShell enviados desde el C2.

También puede ejecutar cargas útiles directamente en la memoria sin escribir archivos en el disco, reduciendo la evidencia forense dejada en cualquier host comprometido.

Técnicas de persistencia y flujo de ataque

SystemBC rara vez llega como la primera herramienta en una intrusión. Normalmente se suelta después de que un cargador obtiene acceso, y luego se introduce más profundamente en la red una vez que los atacantes han recopilado credenciales y capacidad de movimiento lateral.

En un caso documentado, se colocó en un controlador de dominio durante un ataque de ransomware Ryuk, otorgando a los operadores el control remoto sobre el servidor más crítico.

Una vez ejecutado, el malware comprueba si ya se está ejecutando y, si no es así, se copia a sí mismo en una carpeta con nombre aleatorio bajo ProgramData. Se registra tanto como una tarea programada como una entrada en la clave Run del registro, creando dos capas de persistencia que sobreviven a los reinicios.

Los equipos de seguridad deben estar atentos a tareas programadas con nombres aleatorios, entradas inesperadas de registro en CurrentVersion Run y tráfico anómalo saliente de Tor o SOCKS5.

Se recomienda encarecidamente la detección basada en el comportamiento en lugar de solo el escaneo de firmas, ya que la ejecución en memoria y el nombre de archivo aleatorio de SystemBC pueden evadir las herramientas antivirus tradicionales.

Simular estas técnicas de ataque en tu propio entorno sigue siendo una de las formas más prácticas de encontrar brechas de seguridad antes de que lo hagan los atacantes.

Indicadores de Compromiso (IoCs):-

TipoIndicadorDescripción
Dirección IP193.23.244.244Puerta de enlace de autoridad de directorio de Tor incrustada en el binario de SystemBC
Dirección IP86.59.21.38Puerta de enlace de autoridad de directorio de Tor incrustada en el binario de SystemBC
Dirección IP199.58.81.140Puerta de enlace de autoridad de directorio de Tor incrustada en el binario de SystemBC
Dirección IP204.13.164.118Puerta de enlace de autoridad de directorio de Tor incrustada en el binario de SystemBC
Clave de RegistroHKCU\Software\Microsoft\Windows\CurrentVersion\RunClave de registro Run de persistencia de SystemBC (nombre del valor: socks5)
Ruta de Archivo%ProgramData%[aleatorio][aleatorio].exeRuta de persistencia de autocopia de SystemBC
Ruta de ArchivoC:\Windows\Tasks[aleatorio].jobArchivo de tarea programada creado por SystemBC para persistencia
Ruta de Archivo%TEMP%[aleatorio].exeUbicación temporal utilizada por SystemBC al desplegar cargas útiles
Dominio DNSns1.vic.au.dns.opennic[.]glueServidor DNS alternativo utilizado por SystemBC para resolución de dominios .bit
Dominio DNSns2.vic.au.dns.opennic[.]glueServidor DNS alternativo utilizado por SystemBC para resolución de dominios .bit

Nota: Las direcciones IP y los dominios han sido desactivados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.



Fuentes:
https://cybersecuritynews.com/hackers-use-systembc-malware-to-hide-c2-traffic/



0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.