Group IB

Microsoft: ботнет Sysrv атакует серверы Windows и Linux новыми эксплоитами

16.05.2022
Microsoft: ботнет Sysrv атакует серверы Windows и Linux новыми эксплоитами

Как сообщает Microsoft, ботнет Sysrv в настоящее время использует уязвимости в Spring Framework и WordPress для захвата и развертывания вредоносных программ для криптомайнинга на уязвимых Windows и Linux серверах.

Компания обнаружила новый обновленный вариант (отслеживаемый как Sysrv-K) с дополнительными возможностями, включая сканирование неисправленных WordPress и Spring.

«Новый вариант, который мы называем Sysrv-K, содержит дополнительные эксплоиты и может получить контроль над веб-серверами, используя различные уязвимости», сообщила команда Microsoft Security Intelligence в Twitter.

«Эти уязвимости включают старые уязвимости в плагинах WordPress, а также новые уязвимости, такие как CVE-2022-22947».

CVE-2022-22947 —уязвимость внедрения кода в библиотеке Spring Cloud Gateway, которая позволяет удаленно выполнить произвольный код на уязвимых серверах.

В рамках недавно добавленных возможностей Sysrv-K сканирует файлы конфигурации WordPress и их резервные копии на наличие учетных данных, которые позже используются для захвата веб-сервера.

Как и более старые варианты, Sysrv-K сканирует SSH-ключи, IP-адреса и имена хостов, а затем пытается подключиться к другим системам в сети через SSH для развертывания своих копий. В результате остальная часть сети может стать частью ботнета Sysrv-K.

— Microsoft Security Intelligence (@MsftSecIntel) 13 мая 2022 г.

Вредоносное ПО Sysrv, впервые обнаруженное исследователями безопасности Alibaba Cloud (Aliyun) в феврале, после активности с декабря 2020 года, также попало в поле зрения исследователей безопасности в Lacework Labs и Juniper Threat Labs после всплеска активности в марте.

По наблюдениям исследователей, Sysrv сканирует Интернет на наличие уязвимых корпоративных серверов Windows и Linux и заражает их майнерами Monero (XMRig) и самораспространяющимися вредоносными программами.

Чтобы взломать эти веб-серверы, ботнет использует уязвимости в веб-приложениях и базах данных, таких как PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic и Apache Struts.

После уничтожения конкурирующих майнеров криптовалюты и развертывания собственных полезных нагрузок Sysrv также автоматически распространяется по сети с помощью атак грубой силы с использованием закрытых SSH ключей, собранных из разных мест на зараженных серверах (например, история bash, конфигурация ssh и файлы known_hosts).

Компонент распространения ботнета будет агрессивно сканировать Интернет в поисках более уязвимых систем Windows и Linux, чтобы добавить их в свою армию ботов для майнинга Monero.