Sysrv-K Botnet

En ny variant af Sysrv-botnettet er blevet afsløret af forskerne hos Microsoft. Sporet som Sysrv-K er denne nye trussel udstyret med et udvidet sæt truende egenskaber. Det gennemsøger internettet for webservere, der har forskellige sikkerhedsproblemer. Truslen kan udnytte stigennemgang, fjernafsløring af filer og fildownload-men til at kompromittere målrettede systemer. De cyberkriminelle bag Sysrv-K har også indarbejdet nye sårbarheder i botnettets repertoire, såsom CVE-2022-22947, en fjernudførelse af kode, der påvirker Spring Cloud Gateway-softwaren.

Når den er installeret, fortsætter Sysrv-K med at implementere en Monero-krypto-miner-nyttelast. Krypto-minere er skadelige trusler designet specifikt til at kapre hardwareressourcerne på den krænkede enhed og bruge dem til at mine efter en specifik krypto-mønt. Derudover kan Sysrv-K-botnettet hente databaselegitimationsoplysninger fra WordPress-konfigurationsfiler eller deres sikkerhedskopier. Bagefter udnytter truslen de stjålne legitimationsoplysninger til at få kontrol over webserveren. Truslens kommunikationsmuligheder er også blevet forbedret med inkluderingen af muligheden for at bruge Telegram som en kommunikationskanal.

Samtidig har Sysrv-K bevaret muligheden for at scanne efter SSH-nøgler, IP-adresser eller værtsnavne på de brudte maskiner. Disse oplysninger er nødvendige for, at truslen kan forsøge at sprede sig yderligere via SSH-forbindelser.