Как сообщает Microsoft, ботнет Sysrv в настоящее время использует уязвимости в Spring Framework и WordPress для захвата и развертывания вредоносных программ для криптомайнинга на уязвимых Windows и Linux серверах.
Компания обнаружила новый обновленный вариант (отслеживаемый как Sysrv-K) с дополнительными возможностями, включая сканирование неисправленных WordPress и Spring.
«Новый вариант, который мы называем Sysrv-K, содержит дополнительные эксплоиты и может получить контроль над веб-серверами, используя различные уязвимости», сообщила команда Microsoft Security Intelligence в Twitter.
«Эти уязвимости включают старые уязвимости в плагинах WordPress, а также новые уязвимости, такие как CVE-2022-22947».
CVE-2022-22947 —уязвимость внедрения кода в библиотеке Spring Cloud Gateway, которая позволяет удаленно выполнить произвольный код на уязвимых серверах.
В рамках недавно добавленных возможностей Sysrv-K сканирует файлы конфигурации WordPress и их резервные копии на наличие учетных данных, которые позже используются для захвата веб-сервера.
Как и более старые варианты, Sysrv-K сканирует SSH-ключи, IP-адреса и имена хостов, а затем пытается подключиться к другим системам в сети через SSH для развертывания своих копий. В результате остальная часть сети может стать частью ботнета Sysrv-K.
— Microsoft Security Intelligence (@MsftSecIntel) 13 мая 2022 г.
Вредоносное ПО Sysrv, впервые обнаруженное исследователями безопасности Alibaba Cloud (Aliyun) в феврале, после активности с декабря 2020 года, также попало в поле зрения исследователей безопасности в Lacework Labs и Juniper Threat Labs после всплеска активности в марте.
По наблюдениям исследователей, Sysrv сканирует Интернет на наличие уязвимых корпоративных серверов Windows и Linux и заражает их майнерами Monero (XMRig) и самораспространяющимися вредоносными программами.
Чтобы взломать эти веб-серверы, ботнет использует уязвимости в веб-приложениях и базах данных, таких как PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic и Apache Struts.
После уничтожения конкурирующих майнеров криптовалюты и развертывания собственных полезных нагрузок Sysrv также автоматически распространяется по сети с помощью атак грубой силы с использованием закрытых SSH ключей, собранных из разных мест на зараженных серверах (например, история bash, конфигурация ssh и файлы known_hosts).
Компонент распространения ботнета будет агрессивно сканировать Интернет в поисках более уязвимых систем Windows и Linux, чтобы добавить их в свою армию ботов для майнинга Monero.
Google объявила о новых юридических шагах против организованных групп мошенников, использующих бренд компании для обмана пользователей и продвижения фишинговых схем.
Сотрудники компаний в шесть раз реже открывают опасные письма, если проходят регулярное обучение по кибербезопасности.
Эксперты Positive Technologies опубликовали свежий дайджест трендовых уязвимостей, включивший девять критических недостатков безопасности, затрагивающих популярные программные продукты: от Microsoft и Linux до Redis, Zimbra и XWiki.
«Группа Астра» выводит на рынок линейку программно-аппаратных комплексов XPlatform, предназначенных для быстрого развертывания устойчивой, высокопроизводительной и безопасной ИТ-инфраструктуры «под ключ».
K2 Cloud, K2 Кибербезопасность и Positive Technologies запустили бесплатный онлайн-сервис, который позволяет за 10 минут оценить уровень защиты ИТ-инфраструктуры бизнеса от кибератак и получить рекомендации по дальнейшему усилению киберустойчивости.
Премьер-министр России Михаил Мишустин поручил Министерству цифрового развития определить требования к облачной инфраструктуре, на которой могут размещаться системы и данные объектов критической информационной инфраструктуры.
Банк России сообщил, что новые правила проверки переводов через Систему быстрых платежей коснутся только крупных операций - от 200 тысяч рублей, и только в случае, если деньги отправляются «незнакомому» получателю, с которым клиент не совершал переводов как минимум полгода.
Федеральный суд США принял признание вины от гражданина Великобритании, участвовавшего в распространении и продаже доступа к корпоративным сетям для группировки Yanluowang, известной атаками на компании в Европе и Северной Америке.
В последние месяцы специалисты по кибербезопасности наблюдают новую волну вредоносных программ - мутационных ИИ-троянов, которые способны адаптироваться и менять своё поведение в реальном времени, обходя традиционные средства защиты.
Советник генерального директора – начальник удостоверяющего центра ООО «Газинформсервис», к.
