As ações do botnet Sysrv parece, ter ganho um novo alvo. De acordo com a Microsoft, o botnet Sysrv estaria agora explorando vulnerabilidades no Spring Framework e no WordPress para capturar e implantar malware de criptomineração em servidores Windows e Linux vulneráveis.
Nova variante do botnet Sysrv
As descobertas levaram a uma nova variante do Sysrv, rastreada como Sysrv-K, que foi atualizada com mais recursos, incluindo a verificação de implantações de WordPress e Spring não corrigidas. No Twitter, a equipe de Inteligência de Segurança da Microsoft disse que essa nova variante que chamaram de Sysrv-K, !possui explorações adicionais e pode obter controle de servidores da Web” explorando várias vulnerabilidades.
“Essas vulnerabilidades, que foram todas abordadas por atualizações de segurança, incluem vulnerabilidades antigas em plugins do WordPress, bem como vulnerabilidades mais recentes, como CVE-2022-22947, uma vulnerabilidade de injeção de código na biblioteca Spring Cloud Gateway que pode ser usada para execução remota de código em hosts sem patch.
Recursos adicionados a variante Sysrv-K
Como parte dos recursos recém-adicionados, o Sysrv-K verifica os arquivos de configuração do WordPress e seus backups para roubar credenciais de banco de dados, usadas posteriormente para assumir o controle do servidor da web.
Identificado pela primeira vez pelos pesquisadores de segurança do Alibaba Cloud (Aliyun) em fevereiro (Via: BleepingComputer), depois de estar ativo desde dezembro de 2020, esse malware também chegou aos radares dos pesquisadores de segurança do Lacework Labs e do Juniper Threat Labs após um aumento de atividade em março.
Como eles observaram, o Sysrv está varrendo a Internet em busca de servidores corporativos Windows e Linux vulneráveis ??e os infecta com mineradores Monero (XMRig) e cargas úteis de malware auto-difundido. Para invadir esses servidores da Web, o botnet explora falhas em aplicativos e bancos de dados da Web, como PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic e Apache Struts.
Ação do botnet
Depois de matar mineradores de criptomoeda concorrentes e implantar suas próprias cargas, o Sysrv também se espalha automaticamente pela rede por meio de ataques de força bruta usando chaves privadas SSH coletadas de vários locais em servidores infectados (por exemplo, histórico de bash, configuração ssh e arquivos known_hosts).
O componente propagador de botnet irá varrer agressivamente a Internet em busca de sistemas Windows e Linux mais vulneráveis ??para adicionar ao seu exército de bots de mineração Monero. O Sysrv os compromete totalmente usando exploits direcionados à injeção remota de código ou vulnerabilidades de execução que permitem executar código malicioso remotamente.
Via: BleepingComputer
