SystemBC: Botnet biến VPS thành “cao tốc” cho lưu lượng độc hại

• 22/09/2025

SystemBC đang trở thành mối đe dọa lớn cho an ninh mạng. Một mạng botnet có tên SystemBC đang lợi dụng hàng nghìn máy chủ ảo (VPS) bị xâm nhập để biến chúng thành các proxy tốc độ cao, phục vụ cho tội phạm mạng trong việc che giấu hoạt động điều khiển và chuyển hướng lưu lượng độc hại.

Theo báo cáo từ nhóm nghiên cứu an ninh mạng Black Lotus Labs (thuộc Lumen Technology), quy mô rộng lớn, tính ổn định và khả năng tồn tại lâu dài của SystemBC đã khiến nó trở thành công cụ được nhiều tổ chức tấn công và cả các băng nhóm ransomware ưa chuộng.

1. Vì sao SystemBC nguy hiểm hơn các mạng proxy khác?

Mặc dù SystemBC không phải là phần mềm độc hại mới, nhưng cách thức hoạt động và mục tiêu tấn công khiến nó trở thành mối nguy đáng lo ngại hơn hẳn so với các mạng proxy dân dụng.

• Thay vì khai thác các thiết bị gia đình, tội phạm mạng tập trung tấn công VPS thương mại – vốn có băng thông lớn, hiệu suất cao và ít thay đổi địa chỉ IP.
• Kết quả là, chúng tạo ra một “cao tốc mạng” ổn định, phục vụ cho nhiều hành vi xấu như thu thập dữ liệu, quét thông tin, brute force mật khẩu và che giấu lệnh điều khiển từ xa (C2).

2. Cách SystemBC hoạt động

SystemBC được thiết kế để biến máy chủ bị nhiễm thành proxy trung gian, giúp che giấu liên lạc với máy chủ điều khiển (C2).

• Xuất hiện từ năm 2019, nó đã được nhiều nhóm tấn công, bao gồm cả nhóm tống tiền bằng ransomware, sử dụng trong các chiến dịch phát tán mã độc quy mô lớn.
• Khoảng 80% trong số 1.500 bot hoạt động hàng ngày của SystemBC nằm trên các VPS thương mại thuộc các nhà cung cấp lớn.
• Báo cáo ghi nhận trung bình 20 lỗ hổng bảo mật chưa được vá trên mỗi máy, trong đó có ít nhất một lỗ hổng nghiêm trọng. Điều này khiến các VPS bị chiếm quyền kiểm soát có thể tồn tại lâu dài, với gần 40% máy nhiễm vẫn hoạt động hơn một tháng.

3. Quy mô và dịch vụ phạm tội

• Một dịch vụ tên REM Proxy đã khai thác tới 80% bot của SystemBC.
• Các dịch vụ khác bao gồm thu thập dữ liệu quy mô lớn và mạng proxy có nguồn gốc Việt Nam như VN5Socks hoặc Shopsocks5.
• SystemBC cũng được dùng để tấn công mật khẩu WordPress và bán thông tin đăng nhập cho bên thứ ba.

Thử nghiệm cho thấy một địa chỉ IP bị nhiễm có thể tạo ra 16 GB dữ liệu proxy trong vòng 24 giờ, cao hơn rất nhiều so với các mạng proxy dựa trên thiết bị gia đình.

Dịch vụ proxy của tội phạm mạng tận dụng mạng lưới SystemBC

4. Tính bền bỉ và khó tiêu diệt

Hệ thống phân tích đã xác định một số địa chỉ IP liên quan đến việc tuyển nạn nhân và lưu trữ mã độc. Mặc dù đã tồn tại nhiều năm và từng chịu các chiến dịch truy quét, nhưng SystemBC vẫn duy trì được cấu trúc hoạt động ổn định, chứng minh tính bền bỉ đáng lo ngại.

5. Cảnh báo cho quản trị viên VPS và đội an ninh mạng

Để giảm thiểu nguy cơ từ SystemBC, quản trị viên VPS và các đội an ninh cần thực hiện các biện pháp sau:

• Vá toàn bộ lỗ hổng bảo mật ngay khi có bản cập nhật.
• Theo dõi các dấu hiệu bất thường như lưu lượng cao bất thường, tiến trình lạ, kết nối tới máy chủ C2.
• Áp dụng biện pháp cô lập khi phát hiện VPS có dấu hiệu bị nhiễm.
• Theo dõi cảnh báo an ninh mạng và áp dụng quy trình quản lý bản vá nghiêm ngặt.

6. ​Kết luận

Một VPS thuộc mạng SystemBC chứa đến 161 lỗ hổng chưa được vá