Microsoft ha scoperto una nuova variante della botnet Sysrv che sfrutta varie vulnerabilità di Spring Framework e WordPress per colpire server Windows e Linux. L’obiettivo dei cybercriminali è prendere il controllo dei computer per installare malware, tra cui il noto cryptominer XMRig. Per rilevare e bloccate questo tipo di minaccia è necessario utilizzare avanzate soluzioni di sicurezza, come Bitdefender GravityZone.
Sysrv: nuova variante attacca i web server
I ricercatori del Microsoft Security Intelligence Team hanno scoperto la nuova variante Sysrv-K con funzionalità aggiuntive rispetto alla botnet originale, le cui attività sono state rilevate a partire da dicembre 2020. L’obiettivo finale è sempre quello di installare un miner che sfrutta le risorse hardware per generare criptovalute Monero. Cambiano però gli exploit, ovvero le vulnerabilità usate come porta di ingresso.
La variante Sysrv-K effettua innanzitutto la scansione di Internet alla ricerca di web server non aggiornati con sistema operativo Windows o Linux. Le vulnerabilità, tutte risolte tramite le patch delle rispettive software house, sono vecchi bug nei plugin di WordPress e nuovi bug nella libreria Spring Cloud Gateway (CVE-2022-22947).
We encountered a new variant of the Sysrv botnet, known for exploiting vulnerabilities in web apps and databases to install coin miners on both Windows and Linux systems. The new variant, which we call Sysrv-K, sports additional exploits and can gain control of web servers.
— Microsoft Threat Intelligence (@MsftSecIntel) May 13, 2022
Nel caso di WordPress, la botnet accede ai file di configurazione e ai loro backup per recuperare le credenziali del database e quindi prendere il controllo del web server. Sysrv-K ha inoltre nuove funzionalità di comunicazione, inclusa la capacità di usare un bot Telegram per inviare i dati raccolti ai cybercriminali.
In maniera analoga alle precedenti varianti, anche Sysrv-K cerca chiavi SSH, indirizzi IP e host name. Successivamente si propaga nella rete interna tramite SSH e aggiunge i computer alla botnet. Microsoft Defender for Endpoint può rilevare e bloccare tutte le varianti.