Microsoft Security Intelligence рассказало о ботнете Sysrv, нацеленном на серверы Windows и Linux

Microsoft Security Intelligence рассказало о ботнете Sysrv, нацеленном на серверы Windows и Linux

Подразделение Microsoft, отвечающее за кибербезопасность, в своем аккаунте в Twitter рассказала об атаках ботнета Sysrv.

Данный вредонос использует эксплойты уязвимостей во фреймворках Spring и WordPress. Его целью является установка криптомайнера на  разные серверы с ОС Windows и ОС Linux. 

Зловред носит название Sysrv-K. Хакеры добавили в него функцию сканирования версий WordPress и Spring, не имеющих нужного обновления или патча. 

«Новый вариант ботнета, который мы называем Sysrv-K, добавил в свой арсенал дополнительные эксплойты, с помощью которых он получает полный контроль над веб-серверами. Среди используемых брешей есть как старые баги в WordPress, так и новые уязвимости вроде CVE-2022-22947». 

Уязвимость под кодовым наименованием CVE-2022-22947 на данный момент проходит реанализ и пока имеет самый высокий критический балл 10 из 10. Она дает возможность  внедрить вредоносный код и затрагивает библиотеку Spring Cloud Gateway. При  ее эксплуатации киберпреступники могут выполнить любой код на скомпрометированных хостах. Кроме этого, Sysrv-K сканирует конфигурационные файлы сайтов на WordPress и их резервные копии. Он ищет имена баз данных и пользователей, пароли и прочую  важную информацию. В конце атаки Sysrv устанавливает или пытается установить в систему вредонос-криптомайнер XMRig, который добывает криптовалюту Monero. Найден данный ботнет киберисследователям в феврале, а в марте они зафиксировали всплеск активности. 


Константин

28 Блог сообщения

Комментарии