Sysrv-K Botnet

Изследователите от Microsoft разкриха нов вариант на ботнета Sysrv. Проследявана като Sysrv-K, тази нова заплаха е оборудвана с разширен набор от заплашителни възможности. Той претърсва интернет за уеб сървъри, които имат различни проблеми със сигурността. Заплахата може да експлоатира преминаването на пътя, отдалеченото разкриване на файлове и изтеглянето на файлове, за да компрометира целевите системи. Киберпрестъпниците зад Sysrv-K също са включили нови уязвимости в репертоара на ботнета, като CVE-2022-22947, дистанционно изпълнение на код, засягащо софтуера Spring Cloud Gateway.

След като бъде разгърнат, Sysrv-K пристъпва към внедряване на полезен товар за крипто-майнер на Monero. Крипто-майнерите са вредни заплахи, създадени специално за отвличане на хардуерните ресурси на пробитото устройство и използването им за копаене за конкретна криптовалута. В допълнение, Sysrv-K ботнет може да извлича идентификационни данни за база данни от конфигурационни файлове на WordPress или техните резервни копия. След това заплахата използва откраднатите идентификационни данни, за да получи контрол над уеб сървъра. Комуникационните възможности на заплахата също са подобрени с включването на възможността за използване на Telegram като комуникационен канал.

В същото време Sysrv-K е запазил възможността да сканира за SSH ключове, IP адреси или имена на хостове на пробитите машини. Тази информация е необходима, за да се опита заплахата да се разпространи още повече чрез SSH връзки.