PHPUnit Apache Solar Confluence Laravel JBoss Jira Sonatype Oracle WebLogic Apache Struts Microsoft Monero
Sysrv полностью компрометирует сервера, используя эксплойты, которые позволяют удаленно выполнять вредоносный код.
Как сообщает Microsoft, ботнет Sysrv в настоящее время использует уязвимости в Spring Framework и WordPress для захвата и развертывания вредоносных программ для криптомайнинга на уязвимых Windows и Linux серверах.
Компания обнаружила новый обновленный вариант (отслеживаемый как Sysrv-K) с дополнительными возможностями, включая сканирование неисправленных WordPress и Spring.
«
Новый вариант, который мы называем Sysrv-K, содержит дополнительные эксплоиты и может получить контроль над веб-серверами,
используя различные уязвимости», сообщила команда Microsoft Security Intelligence в Twitter.
«
Эти уязвимости включают старые уязвимости в плагинах WordPress, а также новые уязвимости, такие как CVE-2022-22947».
CVE-2022-22947 —уязвимость внедрения кода в библиотеке Spring Cloud Gateway, которая позволяет удаленно выполнить произвольный код на уязвимых серверах.
В рамках недавно добавленных возможностей Sysrv-K сканирует файлы конфигурации WordPress и их резервные копии на наличие учетных данных, которые позже используются для захвата веб-сервера.
Как и более старые варианты, Sysrv-K сканирует SSH-ключи, IP-адреса и имена хостов, а затем пытается подключиться к другим системам в сети через SSH для развертывания своих копий. В результате остальная часть сети может стать частью ботнета Sysrv-K.— Microsoft Security Intelligence (@MsftSecIntel) 13 мая 2022 г. Вредоносное ПО Sysrv, впервые обнаруженное исследователями безопасности Alibaba Cloud (Aliyun)
в феврале, после активности с декабря 2020 года, также попало в поле зрения исследователей безопасности в
Lacework Labs
и
Juniper Threat Labs
после всплеска активности в марте.
По наблюдениям исследователей, Sysrv сканирует Интернет на наличие уязвимых корпоративных серверов Windows и Linux и заражает их майнерами Monero (XMRig) и самораспространяющимися вредоносными программами.
Чтобы взломать эти веб-серверы, ботнет использует уязвимости в веб-приложениях и базах данных, таких как PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic и Apache Struts.
После уничтожения конкурирующих майнеров криптовалюты и развертывания собственных полезных нагрузок Sysrv также автоматически распространяется по сети с помощью атак грубой силы с использованием закрытых SSH ключей, собранных из разных мест на зараженных серверах (например, история bash, конфигурация ssh и файлы known_hosts).
Компонент распространения ботнета будет агрессивно сканировать Интернет в поисках более уязвимых систем Windows и Linux, чтобы добавить их в свою армию ботов для майнинга Monero.
SECURITYLAB.RU
