Sysrv僵尸网络的一个新变种正在攻击Windows和Linux服务器,并在易受攻击的Windows和Linux服务器上部署加密恶意软件。Sysrv-K作为一个新的变种,具有更强大的功能。它可以扫描Internet以查找具有各种漏洞的Web服务器并自动安装它们。例如,它扫描WordPress配置文件及其备份以检索数据库凭据。Web服务器的控制。与旧版本一样,Sysrv-K扫描SSH密钥、IP地址和主机名,然后尝试通过SSH连接到网络中的其他系统以部署自身的副本,这可能导致网络的其他部分成为Sysrv-K机器人风险成为网络的一部分。此外,微软专家观察到Sysrv-K支持新的通信功能,包括使用Telegram机器人的能力。这些当前可利用的漏洞已通过安全更新得到修复,包括WordPress插件中的旧漏洞,以及CVE-2022-22947等较新的漏洞。CVE-2022-22947是SpringCloudGateway库中的代码注入漏洞,可被滥用以在未修补的主机上执行远程代码。Sysrv僵尸网络自2020年12月开始活跃,由阿里云率先发现。随后Sysrv活动的激增也引起了LaceworkLabs和JuniperThreatLabs网络威胁实验室的安全研究人员的注意。为了破坏这些Web服务器,Sysrv利用了PHPUnit、ApacheSolar、Confluence、Laravel、JBoss、Jira、Sonatype、OracleWebLogic和ApacheStruts等Web应用程序和数据库中的缺陷。
