Sysrv-hello Botnet
La botnet Sysrv-hello è una botnet scoperta di recente che cerca server aziendali Linux e Windows vulnerabili da aggiungere alle sue macchine slave di crypto-mining. Tra le vittime della minaccia ci sono Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype e Apache Struts. Come la maggior parte delle botnet di criptovaluta, Sysrv-hello distribuisce anche una versione del minatore XMRig che dirotta le risorse hardware del sistema infetto per generare monete Monero.
Nonostante sia una minaccia relativamente nuova, la botnet Sysrv-hello ha già visto diversi aggiornamenti e modifiche significativi. Inizialmente, la minaccia aveva una natura modulare con componenti di mining e propagazione (worm) separati. Gli ultimi esempi, tuttavia, contengono un unico binario in grado di eseguire entrambe le funzionalità.
Vettori di compromesso iniziale
Anche le vulnerabilità sfruttate da Sysrv-hello per diffondersi sono state aggiornate. Le varianti più recenti della minaccia si basano su sei particolari vulnerabilità per ottenere l'accesso iniziale ai sistemi mirati:
- Mongo Express RCE (CVE-2019-10758)
- XML-RPC (CVE-2017-11610)
- Saltstack RCE (CVE-2020-16846)
- Drupal Ajax RCE (CVE-2018-7600)
- ThinkPHP RCE (no CVE)
- XXL-JOB Unauth RCE (no CVE)
Dopo aver preso piede sul server, Sysrv-hello uccide tutti i cripto-minatori concorrenti se presenti, avvia il proprio minatore e procede a diffondersi sulla rete compromessa. Per spostarsi lateralmente, la botnet raccoglie le chiavi SSH private dai server infetti e le utilizza per lanciare attacchi di forza bruta.
I ricercatori di Infosec sono riusciti a identificare uno dei cripto-wallet utilizzati per contenere le monete Monero generate dalla botnet Sysrv-hello. Sebbene la somma memorizzata non sia così impressionante - poco più di 12 XMR (Monero), o circa $ 4000, va notato che le botnet di cripto-mining di solito utilizzano più portafogli di questo tipo, quindi i guadagni totali degli hacker potrebbero essere significativamente più alti.