Sysrv-K Botnet

En ny variant av Sysrv-botnätet har avslöjats av forskarna på Microsoft. Detta nya hot spåras som Sysrv-K och är utrustat med en utökad uppsättning hotfulla funktioner. Den letar igenom Internet efter webbservrar som har olika säkerhetsproblem. Hotet kan utnyttja vägkorsning, fjärravslöjande av filer och nedladdningsbara filer för att äventyra riktade system. Cyberbrottslingarna bakom Sysrv-K har också införlivat nya sårbarheter i botnätets repertoar, såsom CVE-2022-22947, en fjärrkörning av kod som påverkar programvaran Spring Cloud Gateway.

När den väl har distribuerats fortsätter Sysrv-K att distribuera en Monero-krypteringsminer-nyttolast. Krypto-gruvarbetare är skadliga hot som utformats specifikt för att kapa hårdvaruresurserna på den brutna enheten och använda dem för att bryta efter ett specifikt kryptomynt. Dessutom kan Sysrv-K-botnätet hämta databasuppgifter från WordPress-konfigurationsfiler eller deras säkerhetskopior. Efteråt utnyttjar hotet de stulna referenserna för att få kontroll över webbservern. Hotets kommunikationsförmåga har också förbättrats med införandet av möjligheten att använda Telegram som en kommunikationskanal.

Samtidigt har Sysrv-K behållit möjligheten att skanna efter SSH-nycklar, IP-adresser eller värdnamn på de brutna maskinerna. Denna information behövs för att hotet ska försöka spridas ytterligare via SSH-anslutningar.