Sysrv-Hello僵尸网络
Sysrv-hello僵尸网络是最近发现的僵尸网络,它正在寻找易受攻击的Linux和Windows企业服务器以添加到其加密挖矿从属计算机中。受到威胁的受害者包括Jira,Oracle WebLogic,PHPUnit,Apache Solar,Confluence,JBoss,Laravel,Sonatype和Apache Struts。由于大部分加密挖掘僵尸网络,Sysrv问候还部署了一个版本的XMRig矿工说劫机者被感染系统的硬件资源来生成Monero硬币。
尽管是相对较新的威胁,但Sysrv-hello僵尸网络已经进行了一些重要的更新和修改。最初,威胁具有模块化的性质,具有独立的挖掘和传播(蠕虫)组件。但是,最新的示例包含一个能够执行这两种功能的二进制文件。
初始折衷向量
Sysrv-hello利用自身传播的漏洞也已升级。威胁的最新变体依赖六个特定漏洞来获得对目标系统的初始访问权限:
- Mongo Express RCE(CVE-2019-10758)
- XML-RPC(CVE-2017-11610)
- Saltstack RCE(CVE-2020-16846)
- Drupal Ajax RCE(CVE-2018-7600)
- ThinkPHP RCE(无CVE)
- XXL-JOB Unauth RCE(无CVE)
在服务器上立足后,Sysrv-hello杀死任何竞争的加密矿工(如果存在),启动其自己的矿工,然后继续传播到受感染的网络上。为了横向移动,僵尸网络从受感染的服务器收集私有SSH密钥,并使用它们发起暴力攻击。
Infosec研究人员设法识别出一种用于保存由Sysrv-hello僵尸网络生成的Monero硬币的加密钱包之一。尽管存储的总金额并没有那么可观-略高于12 XMR(Monero),或约4000美元,但应注意的是,加密货币挖矿僵尸网络通常使用多个这样的钱包,因此黑客的总收益可能会大大提高。
