Microsoft waarschuwt voor een nieuwe variant van de srv-botnet dat is het uitbuiten van meerdere beveiligingsfouten in webapplicaties en databases om muntmijnwerkers op zowel Windows- als Linux-systemen te installeren.
De techgigant, die de nieuwe versie heeft genoemd Sysrv-Kzou een wapen bewapenen reeks van exploits om controle te krijgen over webservers. Het cryptojacking-botnet verscheen voor het eerst in december 2020.
“Sysrv-K scant het internet om webservers met verschillende kwetsbaarheden te vinden om zichzelf te installeren”, zegt het bedrijf. zei in een reeks tweets. “De kwetsbaarheden variëren van het doorlopen van paden en het openbaar maken van bestanden op afstand tot het willekeurig downloaden van bestanden en het uitvoeren van code op afstand.”
Dit omvat ook: CVE-2022-22947 (CVSS-score: 10.0), een kwetsbaarheid voor code-injectie in Spring Cloud Gateway die kan worden misbruikt om willekeurige uitvoering op afstand op een externe host mogelijk te maken via een kwaadwillig vervaardigd verzoek.
Het is vermeldenswaard dat het misbruik van CVE-2022-22947 de US Cybersecurity and Infrastructure Security Agency ertoe heeft aangezet de fout toe te voegen aan de catalogus met bekende exploits van kwetsbaarheden.
Een belangrijke onderscheidende factor is dat Sysrv-K scant naar WordPress-configuratiebestanden en hun back-ups om databasereferenties op te halen, die vervolgens worden gebruikt om webservers te kapen. Er wordt ook gezegd dat het zijn command-and-control communicatiefuncties heeft geüpgraded om gebruik te maken van een Telegram Bot.
Eenmaal geïnfecteerd, wordt zijwaartse beweging vergemakkelijkt door SSH-sleutels beschikbaar op de machine van het slachtoffer om kopieën van de malware op andere systemen te implementeren en de omvang van het botnet te vergroten, waardoor het hele netwerk in feite in gevaar komt.
“De Sysrv-malware maakt gebruik van bekende kwetsbaarheden om hun Cryptojacking-malware te verspreiden”, onderzoekers van Lacework Labs dat is genoteerd afgelopen jaar. “Ervoor zorgen dat openbare applicaties up-to-date worden gehouden met de nieuwste beveiligingspatches, is van cruciaal belang om te voorkomen dat opportunistische kwaadwillenden systemen compromitteren.”
Naast het beveiligen van servers die aan het internet zijn blootgesteld, adviseert Microsoft organisaties om beveiligingsupdates tijdig toe te passen en hygiëne in te voeren om de risico’s te verminderen.
