Sysrv-hello Botnet

Sysrv-hej Botnet är ett nyligen upptäckt botnet som letar efter utsatta Linux- och Windows-företagsservrar för att lägga till sina kryptomining-slavmaskiner. Bland offren för hotet är Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype och Apache Struts. Eftersom de flesta kryptogruvningsnätverk använder Sysrv-hallo också en version av XMRig- gruvarbetaren som kapar hårdvaruresurserna i det infekterade systemet för att generera Monero-mynt.

Trots att det är ett relativt nytt hot har Sysrv-hello botnet redan sett flera viktiga uppdateringar och modifieringar. Ursprungligen hade hotet en modulär karaktär med separata gruv- och förökningskomponenter (mask). De senaste exemplen innehåller dock en enda binär som kan utföra båda funktionerna.

Inledande kompromissvektorer

Sårbarheterna som Sysrv-hej utnyttjar för att sprida sig har också uppgraderats. De senaste varianterna av hotet är beroende av sex särskilda sårbarheter för att få initial tillgång till de riktade systemen:

• Mongo Express RCE (CVE-2019-10758)
• XML-RPC (CVE-2017-11610)
• Saltstack RCE (CVE-2020-16846)
• Drupal Ajax RCE (CVE-2018-7600)
• ThinkPHP RCE (inget CVE)
• XXL-JOB Unauth RCE (ingen CVE)

Efter att ha fått fotfäste på servern dödar Sysrv-hej alla konkurrerande krypto-gruvarbetare om sådana är närvarande, initierar sin egen gruvarbetare och fortsätter att sprida sig över det komprometterade nätverket. För att flytta i sidled samlar botnet privata SSH-nycklar från de infekterade servrarna och använder dem för att starta brute-force attacker.

Infosec-forskare lyckades identifiera en av de kryptoplånböcker som används för att hålla Monero-mynt som genererats av Sysrv-hello botnet. Även om summan som lagras där inte är så imponerande - lite över 12 XMR (Monero) eller cirka 4000 dollar, bör det noteras att krypto-mining-botnät vanligtvis använder flera sådana plånböcker så hackarnas totala vinster kan vara betydligt högre.