Sysrv-K Botnet

Μια νέα παραλλαγή του botnet Sysrv αποκαλύφθηκε από τους ερευνητές της Microsoft. Παρακολούθηση ως Sysrv-K, αυτή η νέα απειλή είναι εξοπλισμένη με ένα διευρυμένο σύνολο απειλητικών δυνατοτήτων. Ψάχνει το Διαδίκτυο για διακομιστές Web που έχουν διάφορα ζητήματα ασφαλείας. Η απειλή μπορεί να εκμεταλλευτεί τη διάσχιση διαδρομής, την απομακρυσμένη αποκάλυψη αρχείων και τα σημεία λήψης αρχείων, για να θέσει σε κίνδυνο στοχευμένα συστήματα. Οι κυβερνοεγκληματίες πίσω από το Sysrv-K έχουν επίσης ενσωματώσει νέα τρωτά σημεία στο ρεπερτόριο του botnet, όπως το CVE-2022-22947, μια απομακρυσμένη εκτέλεση κώδικα που επηρεάζει το λογισμικό Spring Cloud Gateway.

Μόλις αναπτυχθεί, το Sysrv-K προχωρά στην ανάπτυξη ενός ωφέλιμου φορτίου crypto-miner Monero. Τα Crypto-miners είναι επιβλαβείς απειλές που έχουν σχεδιαστεί ειδικά για να παραβιάζουν τους πόρους υλικού της συσκευής που έχει παραβιαστεί και να τους χρησιμοποιούν για την εξόρυξη για ένα συγκεκριμένο κρυπτονόμισμα. Επιπλέον, το botnet Sysrv-K μπορεί να ανακτήσει διαπιστευτήρια βάσης δεδομένων από αρχεία διαμόρφωσης WordPress ή από τα αντίγραφα ασφαλείας τους. Στη συνέχεια, η απειλή αξιοποιεί τα κλεμμένα διαπιστευτήρια για να αποκτήσει τον έλεγχο του διακομιστή Ιστού. Οι δυνατότητες επικοινωνίας της απειλής έχουν επίσης βελτιωθεί με τη συμπερίληψη της δυνατότητας χρήσης του Telegram ως καναλιού επικοινωνίας.

Ταυτόχρονα, το Sysrv-K έχει διατηρήσει τη δυνατότητα σάρωσης για κλειδιά SSH, διευθύνσεις IP ή ονόματα κεντρικών υπολογιστών στα μηχανήματα που έχουν παραβιαστεί. Αυτές οι πληροφορίες είναι απαραίτητες για να επιχειρήσει η απειλή να εξαπλωθεί ακόμη περισσότερο μέσω συνδέσεων SSH.