僵尸网络目标锁定Windows和Linux系统

Sysrv僵尸网络背后的僵尸网络犯罪分子正在利用Spring Framework和WordPress插件中未修补的漏洞来瞄准Linux和Windows系统 。据研究人员称 ，网络网络威胁者的目标目标是用加密恶意软件来感染系统 。

微软安全情报研究人员称该僵尸网络的锁定变体为Sysrv-K，他们在推特上发布了一个帖子，僵尸揭示了僵尸网络变体的网络详细信息 。

研究人员表示 ，目标Sysrv-K背后的锁定犯罪分子已经通过编程他们的机器人军队扫描了WordPress插件中的服务器租用缺陷以及Spring Cloud

Gateway(CVE-2022-22947)中最近的远程代码执行(RCE)缺陷。

微软安全情报部门也发现了该僵尸网络变体
，僵尸他们在推特上表示：这些漏洞都已通过安全更新解决，网络包括WordPress插件中的目标旧漏洞，以及CVE-2022-22947等较新的锁定漏洞。一旦在设备上运行，僵尸Sysrv-K就会部署加密货币矿工 。网络

我们遇到了Sysrv僵尸网络的目标新变体
，其通过利用Web应用程序和数据库中的漏洞在Windows和Linux系统上安装硬币矿工而闻名。该新变体 ，高防服务器我们称之为Sysrv-K ，具有额外的漏洞 ，可以控制Web服务器 。

—微软安全情报(@MsftSecIntel)2022年5月13日

Spring Cloud是一个开源库 ，可以简化为云开发JVM应用程序的过程，Spring Cloud

Gateway为Spring和Java构建API网关提供了一个库 。而CVE-2022-22947是Spring Cloud

Gateway库中的存在漏洞的代码 。通过该漏洞攻击者可以在未修补的主机上执行远程代码执行(RCE)。免费模板这一缺陷影响了VMware和Oracle产品 ，并被两家供应商标记为关键。

微软安全情报团队警告说，Sysrv-K可以通过扫描互联网以安装各种漏洞来控制网络服务器 。漏洞范围从RCE到任意文件下载
，路径遍历到远程文件披露。

Lacework Labs和Juniper Threat

Labs的安全研究人员观察到了恶意软件的两个主要组成部分 ，即在2021年3月活动激增后 ，通过扫描互联网上寻找易受攻击的系统和安装XMRig加密货币矿工(用于挖掘Monero)来传播到网络。

Sysrv-K的新功能是源码库扫描WordPress配置文件及其备份，以窃取凭据并访问Web服务器。除此之外，“Sysvr-K还更新了通信功能
，包括使用电报机器人的能力” 。

“与较旧的变体一样，Sysrv-K扫描SSH密钥、IP地址和主机名，然后尝试通过SSH连接到网络中的其他系统以部署自己的副本。微软安全情报团队报告称，这可能会使网络的模板下载其余部分面临成为Sysrv-K僵尸网络的一部分的风险。”

微软建议各组织保护面向互联网的Linux或Windows系统 ，及时应用安全更新，并保护凭据。他们补充说：“Microsoft Defender for

Endpoint检测Sysrv-K和较旧的Sysrv变体，以及相关行为和有效负载 。”

微软在2022年1月面临关键的RCE、蠕虫和6个零日，包括(CVE-2022-22947) 。

本文翻译自 ：https://threatpost.com/sysrv-k-botnet-targets-windows-linux/179646/如若转载，源码下载请注明原文地址。

最新评论