No Comments

Das Sysrv-Botnetz zielt mit neuen Exploits auf Windows- und Linux-Server ab

 

Microsoft sagt, dass das Sysrv-Botnet jetzt Schwachstellen im Spring Framework und WordPress ausnutzt, um Cryptomining-Malware auf anfälligen Windows- und Linux-Servern zu verführen und einzusetzen.

Redmond entdeckte eine neue Variante (nachverfolgt als Sysrv-K), die mit mehr Funktionen aktualisiert wurde, einschließlich der Suche nach ungepatchten WordPress- und Spring-Bereitstellungen.

„Die neue Variante, die wir Sysrv-K nennen, bietet zusätzliche Exploits und kann die Kontrolle über Webserver erlangen“, indem sie verschiedene Schwachstellen ausnutzt, so das Microsoft Security Intelligence Team sagte in einem Twitter-Thread.

„Diese Schwachstellen, die alle durch Sicherheitsupdates behoben wurden, umfassen alte Schwachstellen in WordPress-Plugins sowie neuere Schwachstellen wie CVE-2022-22947.“

CVE-2022-22947 ist eine Code-Injection-Schwachstelle in der Spring Cloud Gateway-Bibliothek, die für die Remote-Code-Ausführung auf nicht gepatchten Hosts missbraucht werden kann.

Als Teil dieser neu hinzugefügten Funktionen scannt Sysrv-K nach WordPress-Konfigurationsdateien und deren Backups, um Datenbankanmeldeinformationen zu stehlen, die später zur Übernahme des Webservers verwendet werden.

Erstmals entdeckt von Alibaba Cloud (Aliyun) Sicherheitsforschern im darauffolgenden Februar Diese Malware, die seit Dezember 2020 aktiv ist, landete auch auf dem Radar von Sicherheitsforschern unter Lacework Labs und Juniper Threat Labs nach einem Anstieg der Aktivitäten im März.

Wie sie beobachteten, ist Sysrv scannt das Internet nach anfälligen Windows- und Linux-Unternehmensservern und infiziert sie mit Monero (XMRig)-Minern und sich selbst verbreitenden Malware-Payloads.

Um sich in diese Webserver einzuhacken, nutzt das Botnet Schwachstellen in Webanwendungen und Datenbanken wie PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic und Apache Struts aus.

Nach dem Töten konkurrierender Kryptowährungs-Miner und dem Bereitstellen seiner eigenen Payloads verbreitet sich Sysrv auch automatisch über das Netzwerk über Brute-Force-Angriffe unter Verwendung von privaten SSH-Schlüsseln, die von verschiedenen Orten auf infizierten Servern gesammelt wurden (z. B. Bash-Verlauf, ssh-Konfiguration und known_hosts-Dateien).

Die Botnet-Propagator-Komponente scannt das Internet aggressiv nach anfälligeren Windows- und Linux-Systemen, um sie ihrer Armee von Monero-Mining-Bots hinzuzufügen.

Sysrv kompromittiert sie vollständig, indem es Exploits verwendet, die auf Remote-Code-Injection oder -Ausführungsschwachstellen abzielen, die es ihm ermöglichen, bösartigen Code remote auszuführen.

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.