Microsoft scopre una variante della botnet Sysrv

Microsoft scopre una variante della botnet Sysrv

Microsoft ha scoperto una nuova variante della botnet Sysrv che sfrutta vecchie e nuove vulnerabilità per installare il miner XMRig sui web server.
Microsoft ha scoperto una nuova variante della botnet Sysrv che sfrutta vecchie e nuove vulnerabilità per installare il miner XMRig sui web server.

Microsoft ha scoperto una nuova variante della botnet Sysrv che sfrutta varie vulnerabilità di Spring Framework e WordPress per colpire server Windows e Linux. L’obiettivo dei cybercriminali è prendere il controllo dei computer per installare malware, tra cui il noto cryptominer XMRig. Per rilevare e bloccate questo tipo di minaccia è necessario utilizzare avanzate soluzioni di sicurezza, come Bitdefender GravityZone.

Sysrv: nuova variante attacca i web server

I ricercatori del Microsoft Security Intelligence Team hanno scoperto la nuova variante Sysrv-K con funzionalità aggiuntive rispetto alla botnet originale, le cui attività sono state rilevate a partire da dicembre 2020. L’obiettivo finale è sempre quello di installare un miner che sfrutta le risorse hardware per generare criptovalute Monero. Cambiano però gli exploit, ovvero le vulnerabilità usate come porta di ingresso.

La variante Sysrv-K effettua innanzitutto la scansione di Internet alla ricerca di web server non aggiornati con sistema operativo Windows o Linux. Le vulnerabilità, tutte risolte tramite le patch delle rispettive software house, sono vecchi bug nei plugin di WordPress e nuovi bug nella libreria Spring Cloud Gateway (CVE-2022-22947).

Nel caso di WordPress, la botnet accede ai file di configurazione e ai loro backup per recuperare le credenziali del database e quindi prendere il controllo del web server. Sysrv-K ha inoltre nuove funzionalità di comunicazione, inclusa la capacità di usare un bot Telegram per inviare i dati raccolti ai cybercriminali.

In maniera analoga alle precedenti varianti, anche Sysrv-K cerca chiavi SSH, indirizzi IP e host name. Successivamente si propaga nella rete interna tramite SSH e aggiunge i computer alla botnet. Microsoft Defender for Endpoint può rilevare e bloccare tutte le varianti.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 16 mag 2022
Link copiato negli appunti