Sysrv-hello Botnet

Botnet Sysrv-hello to niedawno odkryty botnet, który szuka podatnych na ataki serwerów korporacyjnych z systemem Linux i Windows, aby dodać je do swoich maszyn podrzędnych do wydobywania kryptowalut. Wśród ofiar zagrożenia są Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype i Apache Struts. Podobnie jak większość botnetów do kopania kryptowalut, Sysrv-hello wdraża również wersję XMRig górnika, która przejmuje zasoby sprzętowe zainfekowanego systemu w celu generowania monet Monero.

Pomimo tego, że botnet Sysrv-hello jest stosunkowo nowym zagrożeniem, doczekał się już kilku istotnych aktualizacji i modyfikacji. Początkowo zagrożenie miało charakter modułowy z oddzielnymi komponentami wydobywczymi i propagacyjnymi (robak). Najnowsze próbki zawierają jednak jeden plik binarny, który może wykonywać obie funkcje.

Wstępne wektory kompromisu

Uaktualniono również luki wykorzystywane przez Sysrv-hello do rozprzestrzeniania się. Najnowsze warianty zagrożenia polegają na sześciu konkretnych lukach w celu uzyskania wstępnego dostępu do atakowanych systemów:

• Mongo Express RCE (CVE-2019-10758)
• XML-RPC (CVE-2017-11610)
• Saltstack RCE (CVE-2020-16846)
• Drupal Ajax RCE (CVE-2018-7600)
• ThinkPHP RCE (bez CVE)
• XXL-JOB Unauth RCE (bez CVE)

Po zdobyciu przyczółka na serwerze, Sysrv-hello zabija konkurencyjnych kopaczy kryptowalut, jeśli tacy są obecni, inicjuje własnego górnika i kontynuuje rozprzestrzenianie się w zaatakowanej sieci. Aby poruszać się w bok, botnet zbiera prywatne klucze SSH z zainfekowanych serwerów i wykorzystuje je do przeprowadzania ataków siłowych.

Badaczom Infosec udało się zidentyfikować jeden z krypto-portfeli używanych do przechowywania monet Monero generowanych przez botnet Sysrv-hello. Chociaż przechowywana tam suma nie jest imponująca - nieco ponad 12 XMR (Monero), czyli około 4000 USD, należy zauważyć, że botnety do kopania kryptowalut zwykle wykorzystują wiele takich portfeli, więc łączne zyski hakerów mogą być znacznie wyższe.