Sysrv僵尸网络目标锁定Windows和Linux系统

Posted 2022-06-10 llawliet0001

导读	Sysrv 僵尸网络背后的网络犯罪分子正在利用 Spring Framework 和 WordPress 插件中未修补的漏洞来瞄准 Linux 和 Windows 系统。据研究人员称，网络威胁者的目标是用加密恶意软件来感染系统。

微软安全情报研究人员称该僵尸网络的变体为 Sysrv-K，他们在推特上发布了一个帖子，揭示了僵尸网络变体的详细信息。

研究人员表示，Sysrv-K 背后的犯罪分子已经通过编程他们的机器人军队扫描了 WordPress 插件中的缺陷以及 Spring Cloud Gateway（CVE-2022-22947）中最近的远程代码执行（RCE）缺陷。

微软安全情报部门也发现了该僵尸网络变体，他们在推特上表示：这些漏洞都已通过安全更新解决，包括 WordPress 插件中的旧漏洞，以及 CVE-2022-22947 等较新的漏洞。一旦在设备上运行，Sysrv-K 就会部署加密货币矿工。

我们遇到了 Sysrv 僵尸网络的新变体，其通过利用 Web 应用程序和数据库中的漏洞在 Windows 和 Linux 系统上安装硬币矿工而闻名。该新变体，我们称之为 Sysrv-K，具有额外的漏洞，可以控制 Web 服务器。

—微软安全情报（@MsftSecIntel）2022 年 5 月 13 日

Spring Cloud 是一个开源库，可以简化为云开发 JVM 应用程序的过程，Spring Cloud Gateway 为 Spring 和 Java 构建 API 网关提供了一个库。而 CVE-2022-22947 是 Spring Cloud Gateway 库中的存在漏洞的代码。通过该漏洞攻击者可以在未修补的主机上执行远程代码执行（RCE）。这一缺陷影响了 VMware 和 Oracle 产品，并被两家供应商标记为关键。

Sysrv-K 的工作

微软安全情报团队警告说，Sysrv-K 可以通过扫描互联网以安装各种漏洞来控制网络服务器。漏洞范围从 RCE 到任意文件下载，路径遍历到远程文件披露。

Lacework Labs 和 Juniper Threat Labs 的安全研究人员观察到了恶意软件的两个主要组成部分，即在 2021 年 3 月活动激增后，通过扫描互联网上寻找易受攻击的系统和安装 XMRig 加密货币矿工（用于挖掘 Monero）来传播到网络。

Sysrv-K 的新功能是扫描 WordPress 配置文件及其备份，以窃取凭据并访问 Web 服务器。除此之外，"Sysvr-K 还更新了通信功能，包括使用电报机器人的能力 "。

" 与较旧的变体一样，Sysrv-K 扫描 SSH 密钥、IP 地址和主机名，然后尝试通过 SSH 连接到网络中的其他系统以部署自己的副本。微软安全情报团队报告称，这可能会使网络的其余部分面临成为 Sysrv-K 僵尸网络的一部分的风险。"

微软建议各组织保护面向互联网的 Linux 或 Windows 系统，及时应用安全更新，并保护凭据。他们补充说："Microsoft Defender for Endpoint 检测 Sysrv-K 和较旧的 Sysrv 变体，以及相关行为和有效负载。"

微软在 2022 年 1 月面临关键的 RCE、蠕虫和 6 个零日，包括（CVE-2022-22947）。

更多Linux资讯请查看：https://www.linuxprobe.com 

开发者涨薪指南 48位大咖的思考法则、工作方式、逻辑体系