首页 > 安全 > 正文

sysrv-k,sysrv僵尸网络的新变体包括新的漏洞

最后更新 :2022.05.15

SYSRV-K现在包括弹簧框架和WordPress中的漏洞的利用。威胁参与者在针对Windows和Linux服务器的加密运动中使用僵尸网络。

我们遇到了SYSRV僵尸网络的新变体,该变体以利用Web应用程序和数据库中的漏洞而闻名,以在Windows和Linux系统上安装硬币矿工。我们称为SYSRV-K的新变体具有附加功能,并可以控制Web服务器。
—Microsoft Security Intelligence(@msftsecintel)2022年5月13日
僵尸网络至少从2020年底开始就活跃起来,但其活动已记录在4月2日021由多个安全研究人员进行。

SYSRV-K利用了利用来接管脆弱的网络服务器,恶意软件针对不同的问题,包括代码注入漏洞,以CVE-20222-22947跟踪,这些漏洞存在于CVE-2022-22947中春季云网关库。远程攻击者可以向弱势系统发送特殊制作的请求以获得任意代码执行。

僵尸网络还支持WordPress配置文件及其备份的扫描功能,该功能允许操作员访问敏感数据,包括数据库凭据。

就像较旧的变体,SYSRV-K扫描SSH键,IP地址和主机名一样,然后尝试通过SSH通过SSH连接到网络中的其他系统以部署其自身的副本。阅读Microsoft发表的一条推文。

Microsoft专家还观察到SYSRV僵尸网络的新变体支持了新的通信功能,包括使用Telegram Bot的能力。

就像较旧的变体,SYSRV-K扫描SSH键,IP地址和主机名一样,然后尝试通过SSH在网络中连接到网络中的其他系统以部署自身的副本。这可能会使网络的其余部分有可能成为SYSRV-K僵尸网络的一部分。 SYSRV旨在将Monerero(XMRIG)矿工部署在脆弱的服务器上,并实现可造损失的功能。

Sysrv-Hello是一个Sysrv-Hello IS A IS A是一个多架结构加密劫持(T1496)僵尸网络于2020年底首次出现,并采用了Linux和Windows有效载荷中的Golang恶意软件。恶意软件是XMRIG密码器和积极的僵尸网络propagator。传播器利用MySQL和Tomcat Brute强迫(T1110)以及一套漏洞,包括Atlassian和Apache。阅读Lacework去年发表的分析。恶意软件还利用了几个“无CVE”命令执行TECHniques包括Jupyter笔记本和Tomcat Manager。


请作为最佳欧洲网络安全博客作者奖2022年为您的获奖者投票
为我投票给我,以投票给我。最佳个人(非商业)安全博客和技术WHIZ最佳技术博客以及您选择的其他人。提名,请访问: https://docs.google.com/forms/forms/dem/d/e/1faipqlsfxxrximz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/viewform

- END -

看更多