Microsoft scopre una variante della botnet Sysrv
Topic
Approfondimenti
Trending
tutti

Microsoft scopre una variante della botnet Sysrv

Microsoft ha scoperto una nuova variante della botnet Sysrv che sfrutta vecchie e nuove vulnerabilità per installare il miner XMRig sui web server.
Microsoft scopre una variante della botnet Sysrv
Sicurezza Antivirus Antivirus
Microsoft ha scoperto una nuova variante della botnet Sysrv che sfrutta vecchie e nuove vulnerabilità per installare il miner XMRig sui web server.
Pixabay

Microsoft ha scoperto una nuova variante della botnet Sysrv che sfrutta varie vulnerabilità di Spring Framework e WordPress per colpire server Windows e Linux. L’obiettivo dei cybercriminali è prendere il controllo dei computer per installare malware, tra cui il noto cryptominer XMRig. Per rilevare e bloccate questo tipo di minaccia è necessario utilizzare avanzate soluzioni di sicurezza, come Bitdefender GravityZone.

Sysrv: nuova variante attacca i web server

I ricercatori del Microsoft Security Intelligence Team hanno scoperto la nuova variante Sysrv-K con funzionalità aggiuntive rispetto alla botnet originale, le cui attività sono state rilevate a partire da dicembre 2020. L’obiettivo finale è sempre quello di installare un miner che sfrutta le risorse hardware per generare criptovalute Monero. Cambiano però gli exploit, ovvero le vulnerabilità usate come porta di ingresso.

La variante Sysrv-K effettua innanzitutto la scansione di Internet alla ricerca di web server non aggiornati con sistema operativo Windows o Linux. Le vulnerabilità, tutte risolte tramite le patch delle rispettive software house, sono vecchi bug nei plugin di WordPress e nuovi bug nella libreria Spring Cloud Gateway (CVE-2022-22947).

Nel caso di WordPress, la botnet accede ai file di configurazione e ai loro backup per recuperare le credenziali del database e quindi prendere il controllo del web server. Sysrv-K ha inoltre nuove funzionalità di comunicazione, inclusa la capacità di usare un bot Telegram per inviare i dati raccolti ai cybercriminali.

In maniera analoga alle precedenti varianti, anche Sysrv-K cerca chiavi SSH, indirizzi IP e host name. Successivamente si propaga nella rete interna tramite SSH e aggiunge i computer alla botnet. Microsoft Defender for Endpoint può rilevare e bloccare tutte le varianti.

Fonte: Microsoft (Twitter)

Pubblicato il 16 mag 2022

Link copiato negli appunti

Ti potrebbe interessare

Attacco DDoS contro siti italiani: analisi del CSIRT

Attacco DDoS contro siti italiani: analisi del CSIRT
Emotet è il malware più diffuso di aprile

Emotet è il malware più diffuso di aprile
L'evoluzione di Emotet fotografata da Avast

L'evoluzione di Emotet fotografata da Avast
Italia leader mondiale di spyware economici

Italia leader mondiale di spyware economici
Attacco DDoS contro siti italiani: analisi del CSIRT

Attacco DDoS contro siti italiani: analisi del CSIRT
Emotet è il malware più diffuso di aprile

Emotet è il malware più diffuso di aprile
L'evoluzione di Emotet fotografata da Avast

L'evoluzione di Emotet fotografata da Avast
Italia leader mondiale di spyware economici

Italia leader mondiale di spyware economici
Luca Colantuoni
Pubblicato il
16 mag 2022
Link copiato negli appunti