Sysrv-K Botnet

Eine neue Variante des Sysrv-Botnetzes wurde von den Forschern von Microsoft enthüllt. Diese neue Bedrohung, die als Sysrv-K verfolgt wird, ist mit einem erweiterten Satz an Bedrohungsfähigkeiten ausgestattet. Es durchsucht das Internet nach Webservern mit verschiedenen Sicherheitsproblemen. Die Bedrohung kann Path Traversal, Remote File Disclosure und File Download Buts ausnutzen, um Zielsysteme zu kompromittieren. Die Cyberkriminellen hinter Sysrv-K haben auch neue Schwachstellen in das Repertoire des Botnetzes aufgenommen, wie etwa CVE-2022-22947, eine Remote-Code-Ausführung, die die Spring Cloud Gateway-Software betrifft.

Nach der Bereitstellung fährt Sysrv-K mit der Bereitstellung einer Monero-Krypto-Miner-Nutzlast fort. Krypto-Miner sind schädliche Bedrohungen, die speziell dafür entwickelt wurden, die Hardware-Ressourcen des verletzten Geräts zu kapern und sie zum Schürfen einer bestimmten Krypto-Münze zu verwenden. Darüber hinaus kann das Sysrv-K-Botnet Datenbankanmeldeinformationen aus WordPress-Konfigurationsdateien oder deren Backups abrufen. Anschließend nutzt die Bedrohung die gestohlenen Anmeldeinformationen, um die Kontrolle über den Webserver zu erlangen. Die Kommunikationsfähigkeiten der Bedrohung wurden ebenfalls verbessert, indem die Möglichkeit hinzugefügt wurde, Telegram als Kommunikationskanal zu verwenden.

Gleichzeitig behält Sysrv-K die Möglichkeit bei, auf den angegriffenen Rechnern nach SSH-Schlüsseln, IP-Adressen oder Hostnamen zu suchen. Diese Informationen werden benötigt, damit die Bedrohung versuchen kann, sich über SSH-Verbindungen noch weiter zu verbreiten.