Nenhum comentário

Botnet Sysrv tem como alvo servidores Windows e Linux com novos exploits

 

A Microsoft diz que o botnet Sysrv agora está explorando vulnerabilidades no Spring Framework e no WordPress para capturar e implantar malware de criptomineração em servidores Windows e Linux vulneráveis.

Redmond descobriu uma nova variante (rastreada como Sysrv-K) que foi atualizada com mais recursos, incluindo a verificação de implantações de WordPress e Spring não corrigidas.

“A nova variante, que chamamos de Sysrv-K, possui explorações adicionais e pode obter controle de servidores da Web” explorando várias vulnerabilidades, a equipe de Inteligência de Segurança da Microsoft disse em uma conversa no Twitter.

“Essas vulnerabilidades, que foram todas abordadas por atualizações de segurança, incluem vulnerabilidades antigas em plugins do WordPress, bem como vulnerabilidades mais recentes, como CVE-2022-22947.”

CVE-2022-22947 é uma vulnerabilidade de injeção de código na biblioteca Spring Cloud Gateway que pode ser usada para execução remota de código em hosts sem patch.

Como parte desses recursos recém-adicionados, o Sysrv-K verifica os arquivos de configuração do WordPress e seus backups para roubar credenciais do banco de dados, usadas posteriormente para assumir o controle do servidor da Web.

Detectado pela primeira vez por Alibaba Cloud (Aliyun) pesquisadores de segurança em fevereiro após estando ativo desde dezembro de 2020, esse malware também chegou aos radares dos pesquisadores de segurança em Lacework Labs e Juniper Threat Labs após um pico de atividade em março.

Como eles observaram, o Sysrv é verificando a Internet em busca de servidores corporativos Windows e Linux vulneráveis e os infecta com mineradores Monero (XMRig) e cargas úteis de malware auto-disseminador.

Para invadir esses servidores da Web, o botnet explora falhas em aplicativos e bancos de dados da Web, como PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic e Apache Struts.

Depois de matar os mineradores de criptomoeda concorrentes e implantar suas próprias cargas, o Sysrv também se espalha automaticamente pela rede por meio de ataques de força bruta usando chaves privadas SSH coletadas de vários locais em servidores infectados (por exemplo, histórico do bash, configuração ssh e arquivos known_hosts).

O componente propagador de botnet examinará agressivamente a Internet em busca de sistemas Windows e Linux mais vulneráveis ​​para adicionar ao seu exército de bots de mineração Monero.

O Sysrv os compromete totalmente usando exploits direcionados à injeção remota de código ou vulnerabilidades de execução que permitem executar código malicioso remotamente.

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.