Silent Push: глобальный ботнет SystemBC выявлен более чем в 10 000 заражённых систем по всему миру
Изображение: recraft
Компания Silent Push опубликовала результаты исследования, посвящённого масштабной и продолжительной активности вредоносного ПО SystemBC. В отчёте говорится о выявлении более чем 10 000 заражённых IP-адресов по всему миру, среди которых зафиксированы системы, связанные с критически важной государственной инфраструктурой.
Полученные данные усиливают опасения специалистов относительно того, что SystemBC продолжает применяться как инструмент начального проникновения в рамках сложных атак. Подобные операции нередко становятся подготовительным этапом перед последующим развёртыванием программ вымогателей и иных деструктивных компонентов.
Впервые это вредоносное ПО было публично описано в 2019 году. Оно также известно под названиями Coroxy и DroxiDat и относится к многоплатформенным угрозам. Основная функциональность SystemBC связана с развёртыванием прокси-серверов и превращением заражённых устройств в ретрансляторы SOCKS5. С их помощью злоумышленники перенаправляют вредоносный трафик через инфраструктуру жертв, скрывая собственные ресурсы и удерживая устойчивый доступ к внутренним сетям организаций.
В ходе отдельных инцидентов аналитики фиксировали и установку дополнительного вредоносного ПО после первоначального заражения SystemBC. Это расширяло масштабы компрометации и создавало предпосылки для дальнейшего развития атаки внутри инфраструктуры.
В Silent Push сообщили, что систематическое наблюдение за активностью SystemBC было начато в 2025 году. Поводом стали повторяющиеся случаи его присутствия незадолго до атак с использованием программ вымогателей. Такое совпадение позволило рассматривать SystemBC как устойчивый индикатор подготовки более разрушительных операций.
Для повышения прозрачности анализа специалисты компании разработали отдельный отслеживающий идентификатор, предназначенный специально для SystemBC. Он дал возможность выявлять заражения и связанную с ними вспомогательную инфраструктуру на уровне всей организации. Применение этого механизма позволило обнаружить свыше 10 000 уникальных IP-адресов, вовлечённых в активность, зафиксированную начиная с 2019 года.
География заражений оказалась широкой. Инфекции выявлены в различных регионах мира, при этом наибольшее их число пришлось на США. Далее по количеству зафиксированных случаев следуют Германия, Франция, Сингапур и Индия.
Значительная часть затронутых систем располагалась не в домашних сетях, а в центрах обработки данных. Это обстоятельство частично объясняет, почему заражение часто сохраняется на протяжении недель или даже месяцев, оставаясь незамеченным и продолжая использоваться в интересах операторов ботнета.
