СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12 июня
#ИБ

ProxyCB: ботнет-прокси с C2-панелью и доставкой через маскировку

Анализ показал, что ProxyCB использует инфраструктуру прокси-серверов, проприетарный бинарный протокол и адаптивные методы доставки, оставаясь заметной киберугрозой вплоть до конца января 2025 года.

Ботнет ProxyCB представляет собой сложную киберугрозу, построенную вокруг многоуровневой архитектуры и предназначенную для эксплуатации зараженных хостов в качестве прокси-серверов. По сути, вредоносная инфраструктура превращает скомпрометированные устройства в звено для различных противоправных действий, включая SOCKS4, SOCKS5 и HTTP-tunneling.

В центре этой схемы находится клиентский бот, каналы управления и передачи данных, а также web-panel, работающая на основе серверного ядра PCBServer 7. При этом интерфейс панели выполняет в основном роль оболочки: ключевые механизмы управления скрыты в серверном ядре и используют proprietary binary protocol.

Как устроена инфраструктура ProxyCB

Одной из характерных особенностей ProxyCB является работа через стандартные TCP ports: 1001 используется для управления, а 1002 — для выполнения задач. Дополнительно panel authorization доступна через port 80 и port 443, что позволяет инфраструктуре выглядеть максимально привычно на фоне обычного сетевого трафика.

Работа bot характеризуется несколькими техническими признаками:

  • генерация уникальных identifiers для зараженных nodes;
  • mechanisms for persistence, предотвращающие reboot-related cleanup;
  • связь через C2 channels с использованием выделенных Threads (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) для control и operational logic;
  • фиксированная длина сообщений при обмене между proxy-nodes и server.

Такая жесткая структура указывает на системный подход к обработке команд и данных. Она позволяет эффективно выполнять операции, включая authorization of connection и execution of tasks.

Эволюция: не технология, а методы доставки

Исследование показывает, что ProxyCB эволюционировал со временем не столько на уровне базовой технологии, сколько в способах упаковки и доставки. Ранние образцы использовали домены серверов, включая gogogobaby12.com, тогда как более поздние итерации перешли на kilo-torrent.org.

Отдельного внимания заслуживает используемая схема распространения. Вредоносное ПО адаптировало методы доставки, маскируясь под легитимное software, в частности под uTorrent, и применяя Inno Setup для сокрытия процесса installation. Такая тактика повышает доверие пользователей и одновременно отвлекает внимание от вредоносного payload, внедряемого в system.

Связь с другими угрозами

ProxyCB нередко обнаруживался в сочетании с другими вредоносными семействами, включая Virut. В этом случае Virut применяет сложную injection technique, нацеленную на system processes, чтобы обеспечить дальнейшую доставку своего payload.

Кроме того, анализ ботнета выявил historical links с группой cyber-espionage TeamSpy. Это может указывать на общую инфраструктуру и, возможно, пересекающиеся operational goals.

Сочетание ProxyCB и TeamSpy предполагает долгосрочную стратегию, направленную на создание устойчивой сети распространения.

Именно такая связка делает ProxyCB удобным инструментом для использования в период активных cyber campaigns.

Активность до января 2025 года

Недавние инциденты указывают на то, что ProxyCB сохранял operational presence как минимум до конца January 2025. Это свидетельствует о высокой степени automation и отточенности поведения, имитирующего реальные действия пользователей, особенно в рамках российских online services.

Для киберзащиты это важный сигнал: ботнет не только сохраняет функциональность, но и продолжает адаптировать tactics и evasion methods в ответ на меры безопасности.

Почему ProxyCB остается опасным

Структура и функциональность ProxyCB подчеркивают его зрелость как сложной киберугрозы. Ботнет сочетает устойчивую архитектуру, маскировку под обычный трафик, развитые каналы управления и гибкие методы доставки.

  • использует зараженные хосты как proxy infrastructure;
  • поддерживает несколько режимов работы для data exfiltration и interception;
  • применяет устойчивые механизмы persistence;
  • адаптирует delivery chain под легитимные приложения;
  • сохраняет исторические и, вероятно, operational ties с другими threat actors.

В совокупности эти особенности делают ProxyCB инструментом, хорошо подходящим для использования в ходе длительных и целенаправленных киберкампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: