Sysrv僵尸网络背后的网络犯罪分子通过利用SpringFramework和WordPress插件中未修补的漏洞瞄准Linux和Windows系统。据研究人员称,网络威胁行为者旨在用加密恶意软件感染系统。微软安全情报研究人员将此僵尸网络变体称为Sysrv-K,他们在Twitter上发布了一个主题,揭示了僵尸网络变体的详细信息。研究人员表示,Sysrv-K背后的犯罪分子已经对他们的机器人军队进行了编程,以扫描WordPress插件中的缺陷,最近还扫描了SpringCloudGateway(CVE-2022-22947)中的远程代码执行(RCE)缺陷。微软安全情报部门也发现了僵尸网络变体,在推特上写道:“这些漏洞都已通过安全更新得到解决,包括WordPress插件中的旧漏洞,以及CVE-2022-22947等新漏洞。”一旦在设备上运行,Sysrv-K就会部署一个加密货币矿工。我们遇到了Sysrv僵尸网络的一个新变种,该变种以利用Web应用程序和数据库中的漏洞在Windows和Linux系统上安装硬币矿工而闻名。这个我们称之为Sysrv-K的新变体有额外的漏洞,可以控制Web服务器。—MicrosoftSecurityIntelligence(@MsftSecIntel)2022年5月13日SpringCloud是一个开源库,它简化了为云开发JVM应用程序的过程,而SpringCloudGateway提供了一个用于使用Spring和Java构建API网关的库。CVE-2022-22947是SpringCloudGateway库中的易受攻击代码。攻击者可以利用此漏洞在未打补丁的主机上执行远程代码执行(RCE)。该漏洞影响VMware和Oracle产品,并被两家供应商标记为严重。Sysrv-K的工作Microsoft安全情报团队警告说,Sysrv-K可以通过扫描Internet安装各种漏洞来控制Web服务器。漏洞范围从RCE到任意文件下载、路径遍历到远程文件泄露。LaceworkLabs和JuniperThreatLabs的安全研究人员观察了该恶意软件的两个主要组件,即扫描互联网以查找易受攻击的系统并安装XMRig加密货币矿工(用于挖掘Monero)以传播到网络。Sysrv-K的新功能是能够扫描WordPress配置文件及其备份以窃取凭据并获得对Web服务器的访问权限。除此之外,“Sysvr-K还更新了通信功能,包括使用电报机器人的能力”。“与较旧的变体一样,Sysrv-K会扫描SSH密钥、IP地址和主机名,然后尝试通过SSH连接到网络上的其他系统以部署自身的副本。这可能会使网络的其余部分面临成为其一部分的风险Sysrv-K僵尸网络。”Microsoft建议组织保护面向Internet的Linux或Windows系统,及时应用安全更新并保护凭据。“MicrosoftDefenderforEndpoint检测Sysrv-K和较旧的Sysrv变体,以及相关的行为和有效负载,”他们补充道。Microsoft在2022年1月面临严重的RCE、蠕虫和六个零日漏洞,包括(CVE-2022-22947)。本文翻译自:https://threatpost.com/sysrv-k-botnet-targets-windows-linux/179646/如有转载请注明出处。
