A Microsoft diz que o botnet Sysrv agora está explorando vulnerabilidades no Spring Framework e no WordPress para capturar e implantar malware de criptomineração em servidores Windows e Linux vulneráveis.
Redmond descobriu uma nova variante (rastreada como Sysrv-K) que foi atualizada com mais recursos, incluindo a verificação de implantações de WordPress e Spring não corrigidas.
“A nova variante, que chamamos de Sysrv-K, possui explorações adicionais e pode obter controle de servidores da Web” explorando várias vulnerabilidades, a equipe de Inteligência de Segurança da Microsoft disse em uma conversa no Twitter.
“Essas vulnerabilidades, que foram todas abordadas por atualizações de segurança, incluem vulnerabilidades antigas em plugins do WordPress, bem como vulnerabilidades mais recentes, como CVE-2022-22947.”
CVE-2022-22947 é uma vulnerabilidade de injeção de código na biblioteca Spring Cloud Gateway que pode ser usada para execução remota de código em hosts sem patch.
Como parte desses recursos recém-adicionados, o Sysrv-K verifica os arquivos de configuração do WordPress e seus backups para roubar credenciais do banco de dados, usadas posteriormente para assumir o controle do servidor da Web.
A new behavior observed in Sysrv-K is that it scans for WordPress configuration files and their backups to retrieve database credentials, which it uses to gain control of the web server. Sysvr-K has updated communication capabilities, including the ability to use a Telegram bot.
— Microsoft Security Intelligence (@MsftSecIntel) May 13, 2022
Detectado pela primeira vez por Alibaba Cloud (Aliyun) pesquisadores de segurança em fevereiro após estando ativo desde dezembro de 2020, esse malware também chegou aos radares dos pesquisadores de segurança em Lacework Labs e Juniper Threat Labs após um pico de atividade em março.
Como eles observaram, o Sysrv é verificando a Internet em busca de servidores corporativos Windows e Linux vulneráveis e os infecta com mineradores Monero (XMRig) e cargas úteis de malware auto-disseminador.
Para invadir esses servidores da Web, o botnet explora falhas em aplicativos e bancos de dados da Web, como PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic e Apache Struts.
Depois de matar os mineradores de criptomoeda concorrentes e implantar suas próprias cargas, o Sysrv também se espalha automaticamente pela rede por meio de ataques de força bruta usando chaves privadas SSH coletadas de vários locais em servidores infectados (por exemplo, histórico do bash, configuração ssh e arquivos known_hosts).
O componente propagador de botnet examinará agressivamente a Internet em busca de sistemas Windows e Linux mais vulneráveis para adicionar ao seu exército de bots de mineração Monero.
O Sysrv os compromete totalmente usando exploits direcionados à injeção remota de código ou vulnerabilidades de execução que permitem executar código malicioso remotamente.
