Sysrv僵尸網(wǎng)絡背后的網(wǎng)絡犯罪分子正在利用Spring Framework和WordPress插件中未修補的漏洞來瞄準Linux和Windows系統(tǒng)。據(jù)研究人員稱，網(wǎng)絡威脅者的目標是用加密惡意軟件來感染系統(tǒng)。

微軟安全情報研究人員稱該僵尸網(wǎng)絡的變體為Sysrv-K，他們在推特上發(fā)布了一個帖子，揭示了僵尸網(wǎng)絡變體的詳細信息。

研究人員表示，Sysrv-K背后的犯罪分子已經(jīng)通過編程他們的機器人軍隊掃描了WordPress插件中的缺陷以及Spring Cloud

Gateway(CVE-2022-22947)中最近的遠程代碼執(zhí)行(RCE)缺陷。

微軟安全情報部門也發(fā)現(xiàn)了該僵尸網(wǎng)絡變體，他們在推特上表示：這些漏洞都已通過安全更新解決，包括WordPress插件中的舊漏洞，以及CVE-2022-22947等較新的漏洞。一旦在設備上運行，Sysrv-K就會部署加密貨幣礦工。

我們遇到了Sysrv僵尸網(wǎng)絡的新變體，其通過利用Web應用程序和數(shù)據(jù)庫中的漏洞在Windows和Linux系統(tǒng)上安裝硬幣礦工而聞名。該新變體，我們稱之為Sysrv-K，具有額外的漏洞，可以控制Web服務器。

—微軟安全情報(@MsftSecIntel)2022年5月13日

Spring Cloud是一個開源庫，可以簡化為云開發(fā)JVM應用程序的過程，Spring Cloud

Gateway為Spring和Java構(gòu)建API網(wǎng)關(guān)提供了一個庫。而CVE-2022-22947是Spring Cloud

Gateway庫中的存在漏洞的代碼。通過該漏洞攻擊者可以在未修補的主機上執(zhí)行遠程代碼執(zhí)行(RCE)。這一缺陷影響了VMware和Oracle產(chǎn)品，并被兩家供應商標記為關(guān)鍵。

Sysrv-K的工作

微軟安全情報團隊警告說，Sysrv-K可以通過掃描互聯(lián)網(wǎng)以安裝各種漏洞來控制網(wǎng)絡服務器。漏洞范圍從RCE到任意文件下載，路徑遍歷到遠程文件披露。

Lacework Labs和Juniper Threat

Labs的安全研究人員觀察到了惡意軟件的兩個主要組成部分，即在2021年3月活動激增后，通過掃描互聯(lián)網(wǎng)上尋找易受攻擊的系統(tǒng)和安裝XMRig加密貨幣礦工(用于挖掘Monero)來傳播到網(wǎng)絡。

Sysrv-K的新功能是掃描WordPress配置文件及其備份，以竊取憑據(jù)并訪問Web服務器。除此之外，“Sysvr-K還更新了通信功能，包括使用電報機器人的能力”。

“與較舊的變體一樣，Sysrv-K掃描SSH密鑰、IP地址和主機名，然后嘗試通過SSH連接到網(wǎng)絡中的其他系統(tǒng)以部署自己的副本。微軟安全情報團隊報告稱，這可能會使網(wǎng)絡的其余部分面臨成為Sysrv-K僵尸網(wǎng)絡的一部分的風險?！?/p>

微軟建議各組織保護面向互聯(lián)網(wǎng)的Linux或Windows系統(tǒng)，及時應用安全更新，并保護憑據(jù)。他們補充說：“Microsoft Defender for

Endpoint檢測Sysrv-K和較舊的Sysrv變體，以及相關(guān)行為和有效負載。”

微軟在2022年1月面臨關(guān)鍵的RCE、蠕蟲和6個零日，包括(CVE-2022-22947)。

本文翻譯自：https://threatpost.com/sysrv-k-botnet-targets-windows-linux/179646/如若轉(zhuǎn)載，請注明原文地址。