Microsoft предупреждает: у этого ботнета есть новые трюки для атак на системы Linux и Windows

Microsoft предупреждает администраторов о ботнете, который использует множество эксплойтов и крадет учетные данные базы данных.

Microsoft предупредила, что новый вариант ботнета Sysrv нацелен на критический недостаток в Spring Framework для установки вредоносного ПО для майнинга криптовалюты в системах Linux и Windows.

Исследователи Microsoft обнаружили новый вариант Sysrv, который он называет Sysrv-K, сканирующий Интернет на наличие плагинов Wordpress со старыми уязвимостями, а также недавно обнаруженную уязвимость удаленного выполнения кода (RCE) в программном обеспечении Spring Cloud Gateway, помеченную как CVE-2022. 22947.

Уязвимость затронула Spring Cloud Gateway VMware и функцию воздействия на базовую сеть Oracle Communications Cloud Native и получила критическую оценку от обеих фирм.

СМОТРИТЕ: Что такое программы-вымогатели? Все, что вам нужно знать об одной из самых больших угроз в Интернете

Sysrv-K может получить контроль над веб-серверами, предупреждает Microsoft Security Intelligence. Ботнет сканирует Интернет в поисках веб-серверов, а затем использует различные уязвимости, такие как обход путей, удаленное раскрытие файлов, произвольные загрузки файлов и удаленное выполнение кода. Как только вредоносное ПО запускается на устройстве под управлением Windows или Linux, Sysrv-K развертывает майнер криптовалюты.

Sysrv-K содержит новые функции старых версий. В апреле 2021 года компания Juniper сообщила, что в состав Sysrv входят эксплойты для шести уязвимостей RCE, влияющих на установку административного интерфейса MongoDB Mongo Express, PHP-фреймворка ThinkPHP, Drupal CMS, SaltStack, принадлежащего VMware, а также проектов XXL-JOB и XML-RPC. У него также были эксплойты для PHP-фреймворка Laravel, Oracle Weblogic, Atlassian Confluence Server, Apache Solr, PHPUnit, сервера приложений JBoss, Apache Hadoop, Jenkins, сервера Jupyter Notebook, менеджера репозитория Sonatupe Nexus, Tomcat Manager и Wordpress.

Две функции вредоносного ПО заключались в том, чтобы распространяться по сетям путем сканирования Интернета на наличие уязвимых систем и установки майнера криптовалюты XMRig для добычи Monero. Но Microsoft предупреждает, что теперь она также может перехватывать учетные данные базы данных для управления зараженным веб-сервером.

«Новое поведение, наблюдаемое в Sysrv-K, заключается в том, что он сканирует файлы конфигурации WordPress и их резервные копии для получения учетных данных базы данных, которые он использует для получения контроля над веб-сервером. Sysvr-K имеет обновленные коммуникационные возможности, включая возможность использовать Telegram-бот», — сообщили в Microsoft Security Intelligence.

«Как и более старые варианты, Sysrv-K сканирует ключи SSH, IP-адреса и имена хостов, а затем пытается подключиться к другим системам в сети через SSH, чтобы развернуть свои копии. Это может подвергнуть остальную часть сети риску заражения. становится частью ботнета Sysrv-K», — добавили в компании.

Microsoft предупредила организации о необходимости обеспечивать безопасность систем, подключенных к Интернету, применять обновления безопасности и защищать учетные данные.