Живое ископаемое: Solar 4RAYS вскрыл экосистему для автоматизированных киберопераций, существующую 15 лет
Изображение: grok
Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили крупный ботнет — ProxyCB, представляющий собой платформенную экосистему для автоматизированных киберопераций, которая развивается и эволюционирует с 2011 года. На сегодня ее инфраструктура охватывает порядка 14 тысяч российских IP-адресов и используется в том числе для распределенных атак и кражи данных. Индикаторы компрометации вредоноса эксперты Solar 4RAYS разместили в своем блоге.
Активность бота команда Solar 4RAYS выявила в 2025 году в рамках расследования инцидента у одного из крупных заказчиков. Вредоносное ПО (ВПО) демонстрировало признаки целенаправленной распределенной работы: сценарии запросов повторялись, источники ротировались, а запросы со временем становились всё более похожими на реальную активность пользователей.
При дальнейшем расследовании выяснилось, что инфраструктура ProxyCB представляет собой полноценную экосистему с клиентским ботом, выделенными каналами управления и передачи данных, веб-панелью и серверным ядром, что позволяет операторам управлять ботами из единого окна и получать целостную картину активности. Зрелость всей инфраструктуры свидетельствует о том, что ProxyCB применялся не под один частный сценарий, а как универсальная сеть управляемых прокси-узлов для распределенных киберопераций.
Удалось выяснить, что эта же инфраструктура использовалась и при обращениях к другим популярным ресурсам в РФ, включая почтовые платформы, маркетплейсы, социальные сети, телеком- и игровые площадки. Цели таких обращений могли быть разными: от простой мимикрии ботов под российских пользователей (для ухода от обнаружения) до реальных кибератак через зараженные устройства. При этом на уровне провайдеров связи фильтрация подобной активности по IP крайне затруднительна, т.к. один IP-адрес, как правило, выделяется для группы пользователей.
Собранные образцы ProxyCB позволили проследить его длительную эволюцию не столько на уровне самой полезной нагрузки, сколько в части упаковки и способов доставки. Установлено, что в разное время ресурсы платформы продавались в даркнете для таких задач, как перебор паролей, сбор и кража данных, а также автоматическая накрутка просмотров, массовые регистрации и рассылка спама. Так, один из первых вариантов вредоноса датирован 2011 годом и представлял собой многоступенчатый дроппер (программу для скрытной доставки и установки других вирусов), мимикрирующий под программу «Знакомство с Windows». В 2016 году ProxyCB-боты замечены в составе многоступенчатых цепочек заражения, направленных на кражу учетных данных. С 2018 года встречаются новые образцы ВПО, маскирующиеся под установщик uTorrent (при этом модуль с ботом загружался в фоновом режиме). В ноябре 2022 года злоумышленники завели новый домен torrenta[.]top, который все еще активен, и через него прошло уже несколько вариаций дропперов ProxyCB.
В ходе анализа экземпляров вредоноса эксперты Solar 4RAYS также выявили пересечения с инфраструктурой хакерской группировки TeamSpy, публично описанной еще в 2013 году. По оценкам исследователей, связанные с ней операция могла вестись с середины 2000-х годов. Группировка известна тем, что осуществляла скрытные атаки, используя легитимное ПО для удаленного управления TeamViewer.
«ProxyCB — настоящий динозавр на просторах интернета. Очевидно, что длительное развитие дропперов и многочисленные тесты способов их распространения позволили владельцам ботнета неплохо изучить особенности работы российского сегмента сети. Вероятно, это и позволило проекту вот уже 15 лет максимально избегать блокировок управляющих серверов (за эти годы они менялись лишь трижды) и увеличивать количество зараженных узлов. ИБ-службам компаний стоит крайне внимательно следить за массовыми запросами к своей инфраструктуре и применять защитные механизмы от ботов, так как они могут оказаться не столь безобидными, как принято считать. Все зависит от того, с какой целью эти ресурсы приобрел тот или иной злоумышленник», — отметил Алексей Хабаров, аналитик вредоносного ПО центра исследования киберугроз Solar 4RAYS ГК «Солар».
Эксперты Solar 4RAYS рекомендуют компаниям обратить особое внимание на характеристики трафика, в частности — на количество заголовков и размер cookie в HTTP-запросах. Низкие значения могут говорить о вредоносной активности: злоумышленники часто стараются минимизировать эти параметры, чтобы обойти системы фильтрации. Кроме того, настоятельно рекомендуется внедрять современные средства защиты от ботов, способные выявлять и блокировать автоматизированный трафик. Такие системы осуществляют скриптовые проверки, значительно нагружающие сервер злоумышленника, что на порядок сокращает количество прошедших сквозь фильтрацию ботов и в итоге делает невыгодной такую активность.
