Sysrv-K Botnet

A Sysrv botnet új változatát tárták fel a Microsoft kutatói. A Sysrv-K néven nyomon követett új fenyegetés fenyegető képességek kibővített készletével van felszerelve. Felkutatja az internetet különféle biztonsági problémákkal küzdő webszerverek után. A fenyegetés kihasználhatja az útvonal bejárását, a távoli fájlok közzétételét és a fájlletöltést, hogy kompromittálja a célzott rendszereket. A Sysrv-K mögött álló kiberbűnözők új sebezhetőségeket is beépítettek a botnet repertoárjába, például a CVE-2022-22947 kódot, amely a Spring Cloud Gateway szoftvert érintő távoli kódfuttatás.

A telepítést követően a Sysrv-K folytatja a Monero kriptobányász rakomány telepítését. A kripto-bányászok olyan káros fenyegetések, amelyeket kifejezetten arra terveztek, hogy eltérítsék a feltört eszköz hardver erőforrásait, és felhasználják azokat egy adott kriptoérme bányászására. Ezenkívül a Sysrv-K botnet képes lekérni az adatbázis hitelesítő adatait a WordPress konfigurációs fájljaiból vagy azok biztonsági másolataiból. Ezt követően a fenyegetés kihasználja az ellopott hitelesítő adatokat, hogy átvegye az irányítást a webszerver felett. A fenyegetés kommunikációs képességei is javultak a Telegram kommunikációs csatornaként való használatának lehetőségével.

Ugyanakkor a Sysrv-K megtartotta az SSH-kulcsok, IP-címek vagy gazdagépnevek keresésének lehetőségét a feltört gépeken. Erre az információra van szükség ahhoz, hogy a fenyegetés még tovább tud terjedni SSH-kapcsolatokon keresztül.