Sysrv-K-botnet

De onderzoekers van Microsoft hebben een nieuwe variant van het Sysrv-botnet onthuld. Deze nieuwe dreiging wordt gevolgd als Sysrv-K en is uitgerust met een uitgebreide reeks bedreigende mogelijkheden. Het speurt het internet af naar webservers met verschillende beveiligingsproblemen. De dreiging kan gebruikmaken van padtraversal, bestandsopenbaarmaking op afstand en bestandsdownload-buts om gerichte systemen in gevaar te brengen. De cybercriminelen achter Sysrv-K hebben ook nieuwe kwetsbaarheden in het repertoire van het botnet opgenomen, zoals CVE-2022-22947, een code-uitvoering op afstand die invloed heeft op de Spring Cloud Gateway-software.

Eenmaal geïmplementeerd, gaat Sysrv-K verder met het implementeren van een Monero crypto-miner-payload. Crypto-mijnwerkers zijn schadelijke bedreigingen die specifiek zijn ontworpen om de hardwarebronnen van het gehackte apparaat te kapen en deze te gebruiken om te minen voor een specifieke cryptomunt. Bovendien kan het Sysrv-K-botnet databasereferenties ophalen uit WordPress-configuratiebestanden of hun back-ups. Daarna maakt de dreiging gebruik van de gestolen inloggegevens om controle over de webserver te krijgen. De communicatiemogelijkheden van de dreiging zijn ook verbeterd met de opname van de mogelijkheid om Telegram als communicatiekanaal te gebruiken.

Tegelijkertijd heeft Sysrv-K de mogelijkheid behouden om te scannen naar SSH-sleutels, IP-adressen of hostnamen op de gehackte machines. Deze informatie is nodig om de dreiging via SSH-verbindingen nog verder te verspreiden.