Sysrv-K Botnet

Badacze z Microsoftu ujawnili nowy wariant botnetu Sysrv. Śledzone jako Sysrv-K, to nowe zagrożenie jest wyposażone w rozszerzony zestaw możliwości stwarzania zagrożeń. Przeszukuje Internet w poszukiwaniu serwerów sieci Web, które mają różne problemy z bezpieczeństwem. Zagrożenie może wykorzystywać przechodzenie ścieżki, zdalne ujawnianie plików i braki pobierania plików w celu złamania ataków na systemy docelowe. Cyberprzestępcy stojący za Sysrv-K włączyli również nowe luki w repertuarze botnetu, takie jak CVE-2022-22947, zdalne wykonanie kodu mające wpływ na oprogramowanie Spring Cloud Gateway.

Po wdrożeniu Sysrv-K przystępuje do wdrażania ładunku koparki kryptowalut Monero. Koparki kryptograficzne to szkodliwe zagrożenia zaprojektowane specjalnie w celu przejęcia zasobów sprzętowych złamanego urządzenia i wykorzystania ich do wydobycia określonej krypto-monety. Ponadto botnet Sysrv-K może pobierać poświadczenia bazy danych z plików konfiguracyjnych WordPress lub ich kopii zapasowych. Następnie zagrożenie wykorzystuje skradzione dane uwierzytelniające, aby uzyskać kontrolę nad serwerem internetowym. Poprawiono również możliwości komunikacyjne zagrożenia, dodając możliwość korzystania z Telegrama jako kanału komunikacyjnego.

Jednocześnie Sysrv-K zachował możliwość skanowania w poszukiwaniu kluczy SSH, adresów IP lub nazw hostów na złamanych maszynach. Informacje te są potrzebne, aby zagrożenie próbowało jeszcze dalej rozprzestrzeniać się za pośrednictwem połączeń SSH.