Sysrv-K Botnet

تم الكشف عن نوع جديد من الروبوتات Sysrv بواسطة الباحثين في Microsoft. تم تتبع هذا التهديد الجديد باعتباره Sysrv-K ، وهو مزود بمجموعة موسعة من قدرات التهديد. إنه يبحث في الإنترنت عن خوادم الويب التي بها مشكلات أمنية مختلفة. يمكن أن يستغل التهديد اجتياز المسار ، والكشف عن الملفات عن بُعد ، وتحميل الملفات ، لخرق الأنظمة المستهدفة. كما قام مجرمو الإنترنت الذين يقفون وراء Sysrv-K بدمج نقاط ضعف جديدة في ذخيرة الروبوتات ، مثل CVE-2022-22947 ، وهو تنفيذ رمز عن بُعد يؤثر على برنامج Spring Cloud Gateway.

بمجرد النشر ، يستمر Sysrv-K في نشر حمولة Monero crypto-miner. يعد عمال المناجم المشفرة تهديدات ضارة مصممة خصيصًا لاختطاف موارد الأجهزة الخاصة بالجهاز الذي تم اختراقه والاستفادة منها في التنقيب عن عملة مشفرة معينة. بالإضافة إلى ذلك ، يمكن لشبكة الروبوتات Sysrv-K استرداد بيانات اعتماد قاعدة البيانات من ملفات تكوين WordPress أو النسخ الاحتياطية الخاصة بهم. بعد ذلك ، يستفيد التهديد من بيانات الاعتماد المسروقة للسيطرة على خادم الويب. كما تم تحسين قدرات الاتصال الخاصة بالتهديد من خلال تضمين القدرة على استخدام Telegram كقناة اتصال.

في الوقت نفسه ، احتفظ Sysrv-K بالقدرة على البحث عن مفاتيح SSH أو عناوين IP أو أسماء المضيف على الأجهزة المخترقة. هذه المعلومات ضرورية للتهديد لمحاولة الانتشار أكثر عبر اتصالات SSH.