Microsoft dice que la botnet Sysrv ahora está explotando vulnerabilidades en Spring Framework y WordPress para atrapar e implementar malware de criptominería en servidores Windows y Linux vulnerables.
Redmond descubrió una nueva variante (rastreada como Sysrv-K) que se actualizó con más capacidades, incluida la búsqueda de implementaciones de WordPress y Spring sin parches.
“La nueva variante, a la que llamamos Sysrv-K, presenta vulnerabilidades adicionales y puede obtener el control de los servidores web” al exploits varias vulnerabilidades, el equipo de inteligencia de seguridad de Microsoft dicho en un hilo de Twitter.
“Estas vulnerabilidades, que han sido solucionadas por actualizaciones de seguridad, incluyen vulnerabilidades antiguas en los complementos de WordPress, así como vulnerabilidades más nuevas como CVE-2022-22947”.
CVE-2022-22947 es una vulnerabilidad de inyección de código en la biblioteca Spring Cloud Gateway que se puede abusar para la ejecución remota de código en hosts sin parches.
Como parte de estas capacidades recién agregadas, Sysrv-K busca archivos de configuración de WordPress y sus copias de seguridad para robar las credenciales de la base de datos, que luego se utilizan para hacerse cargo del servidor web.
A new behavior observed in Sysrv-K is that it scans for WordPress configuration files and their backups to retrieve database credentials, which it uses to gain control of the web server. Sysvr-K has updated communication capabilities, including the ability to use a Telegram bot.
— Microsoft Security Intelligence (@MsftSecIntel) May 13, 2022
Detectado por primera vez por Alibaba Cloud (Aliyun) investigadores de seguridad en febrero después de Al estar activo desde diciembre de 2020, este malware también aterrizó en los radares de los investigadores de seguridad en Lacework Labs y Juniper Threat Labs tras un aumento de actividad en marzo.
Como observaron, Sysrv es explorar Internet en busca de servidores empresariales Windows y Linux vulnerables y los infecta con mineros de Monero (XMRig) y cargas útiles de malware autopropagador.
Para abrirse camino en estos servidores web, la botnet explota fallas en aplicaciones web y bases de datos, como PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic y Apache Struts.
Después de matar a los mineros de criptomonedas de la competencia e implementar sus propias cargas útiles, Sysrv también se propaga automáticamente a través de la red a través de ataques de fuerza bruta utilizando claves privadas SSH recopiladas de varias ubicaciones en servidores infectados (p. ej., historial de bash, configuración de ssh y archivos de hosts conocidos).
El componente propagador de botnet escaneará agresivamente Internet en busca de sistemas Windows y Linux más vulnerables para agregar a su ejército de bots de minería Monero.
Sysrv los compromete por completo mediante exploits dirigidos a la inyección remota de código o vulnerabilidades de ejecución que le permiten ejecutar código malicioso de forma remota.