Sysrv-K Botnet

Các nhà nghiên cứu tại Microsoft đã tiết lộ một biến thể mới của mạng botnet Sysrv. Được theo dõi là Sysrv-K, mối đe dọa mới này được trang bị một loạt các khả năng đe dọa mở rộng. Nó dò tìm trên Internet để tìm các máy chủ Web có nhiều vấn đề bảo mật khác nhau. Mối đe dọa có thể khai thác khả năng truyền qua đường dẫn, tiết lộ tệp từ xa và nhưng tệp tải xuống, để xâm phạm các hệ thống được nhắm mục tiêu. Tội phạm mạng đằng sau Sysrv-K cũng đã kết hợp các lỗ hổng mới vào danh mục của mạng botnet, chẳng hạn như CVE-2022-22947, một cách thực thi mã từ xa ảnh hưởng đến phần mềm Spring Cloud Gateway.

Sau khi được triển khai, Sysrv-K sẽ tiến hành triển khai khối lượng người khai thác tiền điện tử Monero. Thợ đào tiền điện tử là những mối đe dọa có hại được thiết kế đặc biệt để chiếm đoạt tài nguyên phần cứng của thiết bị bị vi phạm và sử dụng chúng để khai thác cho một loại tiền điện tử cụ thể. Ngoài ra, botnet Sysrv-K có thể truy xuất thông tin xác thực cơ sở dữ liệu từ các tệp cấu hình WordPress hoặc các bản sao lưu của chúng. Sau đó, mối đe dọa sử dụng thông tin đăng nhập bị đánh cắp để giành quyền kiểm soát máy chủ Web. Khả năng giao tiếp của mối đe dọa cũng đã được cải thiện với việc bao gồm khả năng sử dụng Telegram như một kênh liên lạc.

Đồng thời, Sysrv-K vẫn giữ lại khả năng quét các khóa SSH, địa chỉ IP hoặc tên máy chủ trên các máy bị vi phạm. Thông tin này là cần thiết để mối đe dọa cố gắng lan rộng hơn nữa thông qua các kết nối SSH.