Sysrv-K Botnet

Ang isang bagong variant ng Sysrv botnet ay inihayag ng mga mananaliksik sa Microsoft. Sinusubaybayan bilang Sysrv-K, ang bagong banta na ito ay nilagyan ng pinalawak na hanay ng mga kakayahan sa pagbabanta. Sinusuri nito ang Internet para sa mga Web server na may iba't ibang isyu sa seguridad. Maaaring samantalahin ng banta ang pagtawid ng landas, malayuang pagsisiwalat ng file, at mga buts sa pag-download ng file, upang ikompromiso ang mga naka-target na system. Ang mga cybercriminal sa likod ng Sysrv-K ay nagsama rin ng mga bagong kahinaan sa repertoire ng botnet, gaya ng CVE-2022-22947, isang remote code execution na nakakaapekto sa Spring Cloud Gateway software.

Kapag na-deploy na, magpapatuloy ang Sysrv-K na mag-deploy ng Monero crypto-miner payload. Ang mga Crypto-miner ay mga mapaminsalang banta na partikular na idinisenyo upang i-hijack ang mga mapagkukunan ng hardware ng nilabag na device at gamitin ang mga ito upang minahan para sa isang partikular na crypto-coin. Bilang karagdagan, ang Sysrv-K botnet ay maaaring kunin ang mga kredensyal ng database mula sa mga file ng pagsasaayos ng WordPress o ang kanilang mga backup. Pagkatapos, ginagamit ng banta ang mga ninakaw na kredensyal upang makakuha ng kontrol sa Web server. Ang mga kakayahan sa komunikasyon ng pagbabanta ay napabuti din sa pagsasama ng kakayahang gamitin ang Telegram bilang isang channel ng komunikasyon.

Kasabay nito, napanatili ng Sysrv-K ang kakayahang mag-scan para sa mga SSH key, IP address o host name sa mga nalabag na makina. Ang impormasyong ito ay kailangan para sa pagbabanta na magtangkang kumalat pa sa pamamagitan ng mga koneksyon sa SSH.