Microsoft ha scoperto di recente una variante della botnet Sysrv, in grado di sfruttare le vulnerabilità di Wordpress e di Spring Framework per installare malware di crypto-mining su server Windows e Linux con un grado insufficiente di protezione. La variante è stata denominata Sysrv-K e, fra le nuove funzioni riscontrate, c'è la scansione per la ricerca di distribuzioni di WordPress e Spring Framework non aggiornate con le ultime patch di sicurezza.
Microsoft divulgato la notizia tramite Twitter, tramite l'account di Microsoft Security Intelligence, aggiungendo nei commenti che la vulnerabilità è stata classificata come CVE-2022-22947.
Cannot get X.com oEmbed
Come spiegato all'interno del thread su Twitter, Sysrv-K è in grado di ricercare chiavi SSH, indirizzi IP e nomi host per poi tentare la connessione ad altri sistemi in rete tramite SSH per duplicarsi, mettendo dunque a rischio l'intera rete.
Proprio come il malware di origine, Sysrv-K è in grado di individuare server Windows e Linux vulnerabili e infettarli con miner (Monero) e payload malware a diffusione automatica. Dopo aver ottenuto l'accesso ai web server, la botnet sfrutta le falle nelle app web e nei database come Apache Solar, Laravel e molti altri per implementare i propri payload e terminare qualsiasi altro eventuale miner di criptovalute.
Tramite la raccolta di chiavi private SSH da varie posizioni sui server infetti, il malware si diffonde sulla rete mediante attacchi di tipo brute force, infettando qualsiasi altro sistema vulnerabile tramite il propagator, al fine di avere più macchine al lavoro per il mining di Monero.
Ultimamente, l'ambiente Linux è stato bersagliato da altre botnet per il crypto-mining, e sembra che la tendenza continuerà a crescere.
