Sysrv-K Botnet
微軟的研究人員揭示了 Sysrv 殭屍網絡的一個新變種。跟踪為 Sysrv-K,這種新威脅配備了一組擴展的威脅能力。它在 Internet 上搜索存在各種安全問題的 Web 服務器。該威脅可以利用路徑遍歷、遠程文件洩露和文件下載但破壞目標系統。 Sysrv-K 背後的網絡犯罪分子還將新的漏洞納入殭屍網絡的全部內容,例如 CVE-2022-22947,這是一種影響 Spring Cloud Gateway 軟件的遠程代碼執行。
部署後,Sysrv-K 將繼續部署 Monero 加密礦工有效載荷。加密礦工是專門設計用於劫持被破壞設備的硬件資源並利用它們來挖掘特定加密貨幣的有害威脅。此外,Sysrv-K 殭屍網絡可以從 WordPress 配置文件或其備份中檢索數據庫憑據。之後,威脅利用竊取的憑據來控制 Web 服務器。威脅的通信能力也得到了改進,包括使用電報作為通信渠道的能力。
同時,Sysrv-K 保留了掃描被破壞機器上的 SSH 密鑰、IP 地址或主機名的能力。威脅試圖通過 SSH 連接進一步傳播需要此信息。
