Microsoft Güvenlik İstihbaratı ekibi Microsoft, Sysrv-K olarak izlenen Sysrv botnet'in yeni bir çeşidinin artık Spring Framework ve WordPress'teki güvenlik açıkları için açıklardan yararlandığını bildirdi. Tehdit aktörleri, Windows ve Linux sunucularını hedefleyen bir kripto madenciliği kampanyasında botnet'i kullanıyor.
Botnet, en az 2020'nin sonundan beri aktif, ancak etkinliği Nisan 2021'de birden fazla güvenlik araştırmacısı tarafından belgelendi.
Sysrv-K, güvenlik açığı bulunan web sunucularını devralmak için açıklardan yararlanır, kötü amaçlı yazılım, Spring Cloud Gateway kitaplığında bulunan, CVE-2022-22947 olarak izlenen bir kod yerleştirme güvenlik açığı dahil olmak üzere farklı sorunları hedefler. Uzaktaki bir saldırgan, rastgele kod yürütme elde etmek için savunmasız sistemlere özel hazırlanmış istekler gönderebilir.
Botnet ayrıca WordPress yapılandırma dosyaları ve yedekleri için tarama özelliklerini de destekler; bu özellik, operatörlerin veritabanı kimlik bilgileri de dahil olmak üzere hassas verilere erişmesine olanak tanır.
"Eski varyantlar gibi, Sysrv-K da SSH anahtarlarını, IP adreslerini ve ana bilgisayar adlarını tarar ve ardından kendi kopyalarını dağıtmak için ağdaki diğer sistemlere SSH aracılığıyla bağlanmaya çalışır." Microsoft tarafından yayınlanan bir Tweeti okur.
Microsoft uzmanları ayrıca Sysrv botnet'in yeni varyantının Telegram botu kullanma yeteneği de dahil olmak üzere yeni iletişim yeteneklerini desteklediğini gözlemledi.
Sysrv, Monero (XMRig) madencilerini savunmasız sunuculara dağıtmak için tasarlandı ve solucanlanabilir yetenekler uygular.
"Sysrv-hello, ilk olarak 2020'nin sonlarında ortaya çıkan ve hem Linux hem de Windows yüklerinde derlenmiş Golang kötü amaçlı yazılımını kullanan çok mimarili bir Cryptojacking (T1496) botnetidir. Kötü amaçlı yazılım, eşit parça XMRig kripto madenci ve agresif botnet yayıcıdır. Yayıcı, Atlassian ve Apache için olanlar da dahil olmak üzere bir dizi açıkla birlikte MySQL ve Tomcat kaba zorlamadan (T1110) yararlanır.” Lacework tarafından geçen yıl yayınlanan bir analizi okuyor. "Kötü amaçlı yazılım ayrıca Jupyter notebook ve Tomcat Manager için olanlar da dahil olmak üzere birkaç "CVE Yok" komut yürütme tekniğinden yararlanıyor."