Microsoft warnt: Botnetz hat neue Tricks, um Linux- und Windows-Systeme anzugreifen
Microsoft warnte davor, dass eine neue Variante des Sysrv-Botnets eine kritische Sicherheitslücke im Spring Framework ausnutzt, um Malware zum Schürfen von Kryptowährungen auf Linux- und Windows-Systemen zu installieren.
Microsoft-Forscher entdeckten eine neue Variante von Sysrv, die sie als Sysrv-K bezeichnen. Sie scannt das Internet nach Wordpress-Plugins mit älteren Sicherheitslücken sowie einer kürzlich bekannt gewordenen Schwachstelle für Remotecodeausführung (RCE) in der Spring Cloud Gateway-Software, die als CVE-2022-22947 gekennzeichnet ist.
Die Sicherheitslücke betrifft das Spring Cloud Gateway von VMware und die Communications Cloud Native Core Network Exposure Function von Oracle und wurde von beiden Unternehmen als kritisch eingestuft.
Sysrv-K kann die Kontrolle über Webserver übernehmen, warnt Microsoft Security Intelligence. Das Botnet scannt das Internet, um Webserver ausfindig zu machen, und nutzt dann verschiedene Sicherheitslücken wie Path Traversal, Remote File Disclosure, beliebige Dateidownloads und Remote Code Execution. Sobald die Malware auf einem Windows- oder Linux-Gerät ausgeführt wird, setzt Sysrv-K einen Miner für Kryptowährungen ein.
Sysrv-K enthält neue Funktionen aus älteren Varianten. Juniper meldete im April 2021, dass Sysrv mit Exploits für sechs RCE-Schwachstellen gebündelt wurde, die Installationen der MongoDB-Administrationsoberfläche Mongo Express, des PHP-Frameworks ThinkPHP, des CMS Drupal, des VMware-eigenen SaltStack sowie der Projekte XXL-JOB und XML-RPC betreffen. Außerdem enthielt sie Exploits für das PHP-Framework Laravel, Oracle Weblogic, Atlassian Confluence Server, Apache Solr, PHPUnit, JBoss Application Server, Apache Hadoop, Jenkins, Jupyter Notebook Server, Sonatupe Nexus Repository Manager, Tomcat Manager und Wordpress.
Die beiden Funktionen der Malware bestanden darin, sich über Netzwerke zu verbreiten, indem sie das Internet nach anfälligen Systemen durchsuchte und den XMRig-Kryptowährungs-Miner installierte, um Monero zu schürfen. Microsoft warnt jedoch, dass der Schädling jetzt auch Datenbankanmeldeinformationen abfangen kann, um einen infizierten Webserver zu steuern.
Ein neues Verhalten, das bei Sysrv-K beobachtet wurde, ist, dass es nach WordPress-Konfigurationsdateien und deren Backups sucht, um Datenbank-Anmeldeinformationen abzurufen, die es verwendet, um die Kontrolle über den Webserver zu erlangen. Sysvr-K verfügt über aktualisierte Kommunikationsfähigkeiten, einschließlich der Möglichkeit, einen Telegram-Bot zu verwenden.
Wie ältere Varianten scannt Sysrv-K nach SSH-Schlüsseln, IP-Adressen und Hostnamen und versucht dann, sich über SSH mit anderen Systemen im Netzwerk zu verbinden, um Kopien von sich selbst zu installieren. Dadurch besteht die Gefahr, dass der Rest des Netzwerks Teil des Sysrv-K-Botnetzes wird.
Microsoft warnte die Unternehmen, ihre Systeme mit Internetzugang zu sichern, Sicherheitsupdates zu installieren und ihre Anmeldedaten zu schützen.