Betreiber des Sysrv-Botnetzes missbrauchen Schwachstellen in WordPress und dem Spring Framework, um Angriffe auf Linux- und Windows-Server zu starten, warnte Microsoft.
In einem Twitter-Thread erklärten Forscher des Security-Intelligence-Teams von Microsoft, dass eine neue Variante des Botnetzes namens Sysrv-K verwendet wird, um Kryptominer und andere Malware auf Zielsystemen einzusetzen.
Der Exploit basiert auf einer Reihe von Schwachstellen (einschließlich CVE-2022-22947 und CVE-2022-22947), die bereits gepatcht wurden, aber auf Systemen, die noch nicht aktualisiert wurden, immer noch vorhanden sind.
Neue Botnet-Funktionen
Die jüngste Angriffswelle wurde durch neue Funktionen ermöglicht, die im Sysrv-Botnetz eingeführt wurden und dabei helfen, anfällige Server aktiv zu durchsuchen und konkurrierende Malware auf einem Zielsystem zu entfernen.
Sobald sich Sysrv-K im Netzwerk befindet, verbreitet es sich laut Microsoft mithilfe einer Kombination aus gestohlenen Zugangsdaten und Brute-Force-Password-Stuffing-Angriffen über ein Netzwerk.
„Wie frühere Varianten sucht Sysrv-K nach SSH-Schlüsseln, IP-Adressen und Hostnamen und versucht dann, über SSH eine Verbindung zu anderen Systemen im Netzwerk herzustellen, um Kopien von sich selbst bereitzustellen. Dies könnte den Rest des Netzwerks dem Risiko aussetzen, Teil davon zu werden.“ des Sysrv-K-Botnetzes“, erklärte das Threat-Intelligence-Team.
„Ein neues Verhalten von Sysrv-K besteht darin, dass es WordPress-Konfigurationsdateien und deren Backups durchsucht, um die Datenbankanmeldeinformationen abzurufen, mit denen es die Kontrolle über den Webserver übernimmt.“
Der beste Schutz vor Angriffen über das Sysrv-Botnetz besteht darin, eine effektive Patch-Management-Richtlinie einzurichten, die es ermöglicht, anfällige Systeme so schnell wie möglich zu aktualisieren, und sicherzustellen, dass starke Kontosysteme und eine Zwei-Faktor-Authentifizierung mit den richtigen Anmeldeinformationen vorhanden sind. Alle Ebenen. .
„Wir fordern Organisationen auf, über das Internet zugängliche Systeme zu schützen, einschließlich der rechtzeitigen Anwendung von Sicherheitsupdates und der Hygiene von Build-Anmeldeinformationen“, schrieb Microsoft, bevor es die Gelegenheit nutzte, eine eigene Point-Protection-Software anzuschließen alle Varianten von Sysrv.