Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Botnets Sysrv-hello Botnet

Sysrv-hello Botnet

Tegen Mezo in Botnets
Vertalen naar:
Nederlands

Het Sysrv-hello Botnet is een recent ontdekt botnet dat op zoek is naar kwetsbare Linux- en Windows-bedrijfsservers om toe te voegen aan zijn cryptomining-slaafmachines. Onder de slachtoffers van de dreiging zijn Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype en Apache Struts. Zoals de meeste botnets voor cryptomining, implementeert Sysrv-hello ook een versie van de XMRig- mijnwerker die de hardwarebronnen van het geïnfecteerde systeem kaapt om Monero-munten te genereren.

Ondanks dat het een relatief nieuwe bedreiging is, heeft het Sysrv-hello botnet al verschillende belangrijke updates en aanpassingen ondergaan. Aanvankelijk was de dreiging modulair van aard met afzonderlijke mijnbouw- en voortplantings (worm) componenten. De nieuwste samples bevatten echter een enkel binair bestand dat beide functionaliteiten kan uitvoeren.

Eerste compromisvectoren

De kwetsbaarheden die door Sysrv-hello worden misbruikt om zichzelf te verspreiden, zijn ook geüpgraded. De nieuwste varianten van de dreiging zijn afhankelijk van zes specifieke kwetsbaarheden om in eerste instantie toegang te krijgen tot de beoogde systemen:

  • Mongo Express RCE (CVE-2019-10758)
  • XML-RPC (CVE-2017-11610)
  • Saltstack RCE (CVE-2020-16846)
  • Drupal Ajax RCE (CVE-2018-7600)
  • ThinkPHP RCE (geen CVE)
  • XXL-JOB Unauth RCE (geen CVE)

Nadat hij voet aan de grond heeft gekregen op de server, doodt Sysrv-hello alle concurrerende cryptomijnwerkers als deze aanwezig zijn, initieert hij zijn eigen mijnwerker en gaat hij verder met het verspreiden over het gecompromitteerde netwerk. Om lateraal te bewegen, verzamelt het botnet privé SSH-sleutels van de geïnfecteerde servers en gebruikt deze om brute-force-aanvallen uit te voeren.

Infosec-onderzoekers slaagden erin een van de crypto-wallets te identificeren die worden gebruikt om de Monero-munten te bewaren die zijn gegenereerd door het Sysrv-hello-botnet. Hoewel het daar opgeslagen bedrag niet zo indrukwekkend is - iets meer dan 12 XMR (Monero), of ongeveer $ 4000, moet worden opgemerkt dat botnets voor cryptomining meestal meerdere van dergelijke portefeuilles gebruiken, zodat de totale winst van de hackers aanzienlijk hoger kan zijn.

Trending

Meest bekeken

Bezig met laden...