Sysrv-K Botnet

Sysrv botnet'in yeni bir çeşidi Microsoft'taki araştırmacılar tarafından ortaya çıkarıldı. Sysrv-K olarak izlenen bu yeni tehdit, genişletilmiş bir dizi tehdit etme yeteneğiyle donatılmıştır. Çeşitli güvenlik sorunları olan Web sunucuları için İnternet'te arama yapar. Tehdit, hedeflenen sistemleri tehlikeye atmak için yol geçişini, uzaktan dosya ifşasını ve dosya indirme düğmelerini kullanabilir. Sysrv-K'nin arkasındaki siber suçlular, Spring Cloud Gateway yazılımını etkileyen bir uzaktan kod yürütme olan CVE-2022-22947 gibi botnet repertuarına yeni güvenlik açıkları da eklediler.

Dağıtıldıktan sonra, Sysrv-K bir Monero kripto madenci yükü dağıtmaya devam eder. Kripto madencileri, özellikle ihlal edilen cihazın donanım kaynaklarını ele geçirmek ve bunları belirli bir kripto para için madencilik yapmak için kullanmak üzere tasarlanmış zararlı tehditlerdir. Ek olarak, Sysrv-K botnet, WordPress yapılandırma dosyalarından veya yedeklerinden veritabanı kimlik bilgilerini alabilir. Ardından tehdit, Web sunucusu üzerinde kontrol sağlamak için çalınan kimlik bilgilerini kullanır. Tehdidin iletişim yetenekleri de Telegram'ı bir iletişim kanalı olarak kullanma yeteneğinin eklenmesiyle iyileştirildi.

Aynı zamanda, Sysrv-K, ihlal edilen makinelerde SSH anahtarlarını, IP adreslerini veya ana bilgisayar adlarını tarama özelliğini korumuştur. Bu bilgi, tehdidin SSH bağlantıları aracılığıyla daha da yayılmaya çalışması için gereklidir.