Sysrv полностью компрометирует сервера, используя эксплойты, которые позволяют удаленно выполнять вредоносный код.
Как сообщает Microsoft, ботнет Sysrv в настоящее время использует уязвимости в Spring Framework и WordPress для захвата и развертывания вредоносных программ для криптомайнинга на уязвимых Windows и Linux серверах.
Компания обнаружила новый обновленный вариант (отслеживаемый как Sysrv-K) с дополнительными возможностями, включая сканирование неисправленных WordPress и Spring.
«Новый вариант, который мы называем Sysrv-K, содержит дополнительные эксплоиты и может получить контроль над веб-серверами, используя различные уязвимости», сообщила команда Microsoft Security Intelligence в Twitter.
«Эти уязвимости включают старые уязвимости в плагинах WordPress, а также новые уязвимости, такие как CVE-2022-22947».
CVE-2022-22947 —уязвимость внедрения кода в библиотеке Spring Cloud Gateway, которая позволяет удаленно выполнить произвольный код на уязвимых серверах.
В рамках недавно добавленных возможностей Sysrv-K сканирует файлы конфигурации WordPress и их резервные копии на наличие учетных данных, которые позже используются для захвата веб-сервера.
Как и более старые варианты, Sysrv-K сканирует SSH-ключи, IP-адреса и имена хостов, а затем пытается подключиться к другим системам в сети через SSH для развертывания своих копий. В результате остальная часть сети может стать частью ботнета Sysrv-K.
— Microsoft Security Intelligence (@MsftSecIntel) 13 мая 2022 г.
Вредоносное ПО Sysrv, впервые обнаруженное исследователями безопасности Alibaba Cloud (Aliyun) в феврале, после активности с декабря 2020 года, также попало в поле зрения исследователей безопасности в Lacework Labs и Juniper Threat Labs после всплеска активности в марте.
По наблюдениям исследователей, Sysrv сканирует Интернет на наличие уязвимых корпоративных серверов Windows и Linux и заражает их майнерами Monero (XMRig) и самораспространяющимися вредоносными программами.
Чтобы взломать эти веб-серверы, ботнет использует уязвимости в веб-приложениях и базах данных, таких как PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic и Apache Struts.
После уничтожения конкурирующих майнеров криптовалюты и развертывания собственных полезных нагрузок Sysrv также автоматически распространяется по сети с помощью атак грубой силы с использованием закрытых SSH ключей, собранных из разных мест на зараженных серверах (например, история bash, конфигурация ssh и файлы known_hosts).
Компонент распространения ботнета будет агрессивно сканировать Интернет в поисках более уязвимых систем Windows и Linux, чтобы добавить их в свою армию ботов для майнинга Monero.
Гравитация научных фактов сильнее, чем вы думаете