Sysrv-K Botnet

O nouă variantă a rețelei botnet Sysrv a fost dezvăluită de cercetătorii de la Microsoft. Urmărită ca Sysrv-K, această nouă amenințare este echipată cu un set extins de capabilități de amenințare. Acesta caută pe Internet servere Web care au diverse probleme de securitate. Amenințarea poate exploata traversarea căilor, dezvăluirea fișierelor de la distanță și butoanele de descărcare a fișierelor, pentru a compromite sistemele vizate. Criminalii cibernetici din spatele Sysrv-K au încorporat și noi vulnerabilități în repertoriul rețelei bot, cum ar fi CVE-2022-22947, o execuție de cod de la distanță care afectează software-ul Spring Cloud Gateway.

Odată implementat, Sysrv-K continuă să implementeze o încărcătură utilă cripto-miner Monero. Crypto-minerii sunt amenințări dăunătoare concepute special pentru a deturna resursele hardware ale dispozitivului violat și pentru a le utiliza pentru a extrage o anumită cripto-monedă. În plus, rețeaua botnet Sysrv-K poate prelua acreditările bazei de date din fișierele de configurare WordPress sau din backup-urile acestora. Ulterior, amenințarea folosește acreditările furate pentru a obține controlul asupra serverului web. Capacitățile de comunicare ale amenințării au fost, de asemenea, îmbunătățite prin includerea capacității de a utiliza Telegram ca canal de comunicare.

În același timp, Sysrv-K și-a păstrat capacitatea de a scana chei SSH, adrese IP sau nume de gazdă pe mașinile afectate. Aceste informații sunt necesare pentru ca amenințarea să încerce să se răspândească și mai mult prin conexiuni SSH.