Microsoft hat davor gewarnt, dass eine v auf eine kritische Schwachstelle im Spring Framework abzielt, um Malware zum Schürfen von Kryptowährungen auf Linux- und Windows-Systemen zu installieren. Forscher entdeckten die Sysrv-K genannte Variante, die das Internet nach WordPress-Plugins mit älteren Schwachstellen sowie einer kürzlich bekannt gewordenen Schwachstelle in der Spring Cloud Gateway-Software (CVE-2022-22947) für die Ausführung von Remotecode durchsucht.
Sysrv-K kann die Kontrolle über Webserver übernehmen, so Microsoft weiter. Das Botnet scannt das Internet, um anfällige Webserver zu finden, und nutzt dann verschiedene Schwachstellen aus, wie z. B. Path Traversal, Remote File Disclosure, Download beliebiger Dateien und Remote Code Execution. Sobald die Malware auf einem Windows- oder Linux-Gerät ausgeführt wird, setzt Sysrv-K einen Miner für Kryptowährungen ein.
Sysrv-K enthält neue Funktionen aus älteren Varianten. Juniper meldete im April 2021, dass Sysrv mit Exploits für sechs RCE-Schwachstellen gebündelt wurde, die Installationen der MongoDB-Administrationsoberfläche Mongo Express, des PHP-Frameworks ThinkPHP, des CMS Drupal, des VMware-eigenen SaltStack sowie der Projekte XXL-JOB und XML-RPC betreffen. Außerdem gab es Exploits für das PHP-Framework Laravel, Oracle Weblogic, Atlassian Confluence Server, Apache Solr, PHPUnit, Jboss Application Server, Apache Hadoop, Jenkins, Jupyter Notebook Server, Sonatupe Nexus Repository Manager, Tomcat Manager und WordPress.
Die beiden Funktionen der Malware bestehen darin, sich über das Netzwerk zu verbreiten und den Kryptowährungs-Miner XMRig zu installieren, um Monero zu schürfen. Microsoft weist darauf hin, dass der Schädling jetzt auch Datenbankanmeldeinformationen abfangen kann, um einen infizierten Webserver zu steuern.
„Ein neues Verhalten, das bei Sysrv-K beobachtet wurde, ist, dass es nach WordPress-Konfigurationsdateien und deren Backups sucht, um Datenbank-Anmeldeinformationen abzurufen, die es verwendet, um die Kontrolle über den Webserver zu erlangen. Sysvr-K verfügt über aktualisierte Kommunikationsfunktionen, einschließlich der Möglichkeit, einen Telegram-Bot zu verwenden“, so Microsoft Security Intelligence.
Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.
Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…
Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…
Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.
Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…
Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…