Sysrv-K: Microsoft warnt vor Botnet für Windows- und Linux-Systeme

Microsoft hat davor gewarnt, dass eine v auf eine kritische Schwachstelle im Spring Framework abzielt, um Malware zum Schürfen von Kryptowährungen auf Linux- und Windows-Systemen zu installieren. Forscher entdeckten die Sysrv-K genannte Variante, die das Internet nach WordPress-Plugins mit älteren Schwachstellen sowie einer kürzlich bekannt gewordenen Schwachstelle in der Spring Cloud Gateway-Software (CVE-2022-22947) für die Ausführung von Remotecode durchsucht.

Sysrv-K kann die Kontrolle über Webserver übernehmen, so Microsoft weiter. Das Botnet scannt das Internet, um anfällige Webserver zu finden, und nutzt dann verschiedene Schwachstellen aus, wie z. B. Path Traversal, Remote File Disclosure, Download beliebiger Dateien und Remote Code Execution. Sobald die Malware auf einem Windows- oder Linux-Gerät ausgeführt wird, setzt Sysrv-K einen Miner für Kryptowährungen ein.

Sysrv-K enthält neue Funktionen aus älteren Varianten. Juniper meldete im April 2021, dass Sysrv mit Exploits für sechs RCE-Schwachstellen gebündelt wurde, die Installationen der MongoDB-Administrationsoberfläche Mongo Express, des PHP-Frameworks ThinkPHP, des CMS Drupal, des VMware-eigenen SaltStack sowie der Projekte XXL-JOB und XML-RPC betreffen. Außerdem gab es Exploits für das PHP-Framework Laravel, Oracle Weblogic, Atlassian Confluence Server, Apache Solr, PHPUnit, Jboss Application Server, Apache Hadoop, Jenkins, Jupyter Notebook Server, Sonatupe Nexus Repository Manager, Tomcat Manager und WordPress.

Die beiden Funktionen der Malware bestehen darin, sich über das Netzwerk zu verbreiten und den Kryptowährungs-Miner XMRig zu installieren, um Monero zu schürfen. Microsoft weist darauf hin, dass der Schädling jetzt auch Datenbankanmeldeinformationen abfangen kann, um einen infizierten Webserver zu steuern.

„Ein neues Verhalten, das bei Sysrv-K beobachtet wurde, ist, dass es nach WordPress-Konfigurationsdateien und deren Backups sucht, um Datenbank-Anmeldeinformationen abzurufen, die es verwendet, um die Kontrolle über den Webserver zu erlangen. Sysvr-K verfügt über aktualisierte Kommunikationsfunktionen, einschließlich der Möglichkeit, einen Telegram-Bot zu verwenden“, so Microsoft Security Intelligence.