Sysrv botnet กำหนดเป้าหมายเซิร์ฟเวอร์ Windows และ Linux ด้วยช่องโหว่ใหม่
Microsoft กล่าวว่า Sysrv botnet กำลังใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่
Microsoft ค้นพบมัลแวร์ Sysrv สายพันธุ์ใหม่ที่ชื่อว่า Sysrv-K ที่ถูกพัฒนาให้มีความสามารถมากขึ้น และยังสามารถสแกนหา WordPress ที่ไม่ได้แพตช์ และมีการใช้ Spring
โดยทีม Microsoft Security Intelligence กล่าวในเธรดบน Twitter ถึง Sysrv-K ที่มีความสามารถเข้าควบคุมเว็บเซิร์ฟเวอร์ได้โดยใช้ประโยชน์จากช่องโหว่ต่างๆ โดยช่องโหว่เหล่านี้ได้มีการแก้ไขแล้วด้วยการอัปเดตความปลอดภัย รวมถึงช่องโหว่เก่าใน WordPress plugins และช่องโหว่ใหม่ๆ เช่น CVE-2022-22947
CVE-2022-22947 เป็นช่องโหว่ Code injection บน Spring Cloud Gateway library ที่ทำให้ถูกโจมตีในรูปแบบ remote code execution บนระบบที่ยังไม่ได้อัปเดตแพตช์ได้ โดยในส่วนหนึ่งของความสามารถใหม่เหล่านี้ Sysrv-K จะสแกนหา configuration files และ backups ของ WordPress เพื่อขโมย database credentials และใช้ในการเข้าควบคุมเว็บเซิร์ฟเวอร์
Sysrv กำลังสแกนจากอินเทอร์เน็ต เพื่อหาเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่ในองค์กร เพื่อติดตั้ง Monero (XMRig) miners และเพย์โหลดมัลแวร์อื่นๆ
ในการแฮ็กเข้าสู่เว็บเซิร์ฟเวอร์เหล่านี้ botnet จะใช้ประโยชน์จากช่องโหว่ในเว็บแอป และฐานข้อมูล เช่น PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic และ Apache Struts
หลังจากติดตั้ง cryptocurrency miners และปรับใช้ payloads ของตัวเองแล้ว Sysrv ยังแพร่กระจายตัวเองโดยอัตโนมัติบนเครือข่ายผ่านการ brute force attacks โดยใช้ SSH private keys ที่รวบรวมจากเซิร์ฟเวอร์ที่ติดมัลแวร์ (เช่น bash history, ssh config, and known_hosts files)
botnet propagator จะสแกนไปบนอินเทอร์เน็ตเพื่อหาระบบ Windows และ Linux ที่มีช่องโหว่ให้มากขึ้น เพื่อทำการเพิ่ม Monero mining bots
ที่มา : www.bleepingcomputer.com
You must be logged in to post a comment.