Sysrv-K Botnet

Una nuova variante della botnet Sysrv è stata rivelata dai ricercatori di Microsoft. Tracciata come Sysrv-K, questa nuova minaccia è dotata di un set ampliato di capacità minacciose. Perlustra Internet alla ricerca di server Web che presentano vari problemi di sicurezza. La minaccia può sfruttare l'attraversamento del percorso, la divulgazione remota di file e i download di file per compromettere i sistemi mirati. I criminali informatici dietro Sysrv-K hanno anche incorporato nuove vulnerabilità nel repertorio della botnet, come CVE-2022-22947, un'esecuzione di codice in modalità remota che interessa il software Spring Cloud Gateway.

Una volta distribuito, Sysrv-K procede a distribuire un payload di criptovalute Monero. I crypto-miner sono minacce dannose progettate specificamente per dirottare le risorse hardware del dispositivo violato e utilizzarle per estrarre una specifica criptomoneta. Inoltre, la botnet Sysrv-K può recuperare le credenziali del database dai file di configurazione di WordPress o dai loro backup. Successivamente, la minaccia sfrutta le credenziali rubate per ottenere il controllo sul server Web. Anche le capacità di comunicazione della minaccia sono state migliorate con l'inclusione della possibilità di utilizzare Telegram come canale di comunicazione.

Allo stesso tempo, Sysrv-K ha mantenuto la capacità di cercare chiavi SSH, indirizzi IP o nomi host sulle macchine violate. Queste informazioni sono necessarie affinché la minaccia tenti di diffondersi ulteriormente tramite connessioni SSH.