Sysrv-K Botnet

En ny variant av Sysrv-botnettet har blitt avslørt av forskerne ved Microsoft. Sporet som Sysrv-K, er denne nye trusselen utstyrt med et utvidet sett med truende evner. Den leter etter nettservere som har ulike sikkerhetsproblemer. Trusselen kan utnytte banegjennomgang, ekstern filavsløring og filnedlastingsmen for å kompromittere målrettede systemer. Nettkriminelle bak Sysrv-K har også innlemmet nye sårbarheter i repertoaret til botnettet, slik som CVE-2022-22947, en ekstern kjøring av kode som påvirker Spring Cloud Gateway-programvaren.

Når den er distribuert, fortsetter Sysrv-K med å distribuere en Monero-krypto-miner-nyttelast. Krypto-gruvearbeidere er skadelige trusler designet spesielt for å kapre maskinvareressursene til den brutte enheten og bruke dem til å gruve etter en bestemt kryptomynt. I tillegg kan Sysrv-K-botnettet hente databaselegitimasjon fra WordPress-konfigurasjonsfiler eller sikkerhetskopier. Etterpå utnytter trusselen den stjålne legitimasjonen for å få kontroll over webserveren. Kommunikasjonsmulighetene til trusselen har også blitt forbedret med inkludering av muligheten til å bruke Telegram som en kommunikasjonskanal.

Samtidig har Sysrv-K beholdt muligheten til å skanne etter SSH-nøkler, IP-adresser eller vertsnavn på de brutte maskinene. Denne informasjonen er nødvendig for at trusselen skal forsøke å spre seg ytterligere via SSH-forbindelser.