Categories: SicherheitVirus

Sysrv-K: Microsoft warnt vor Botnet für Windows- und Linux-Systeme

Microsoft hat davor gewarnt, dass eine v auf eine kritische Schwachstelle im Spring Framework abzielt, um Malware zum Schürfen von Kryptowährungen auf Linux- und Windows-Systemen zu installieren. Forscher entdeckten die Sysrv-K genannte Variante, die das Internet nach WordPress-Plugins mit älteren Schwachstellen sowie einer kürzlich bekannt gewordenen Schwachstelle in der Spring Cloud Gateway-Software (CVE-2022-22947) für die Ausführung von Remotecode durchsucht.

Sysrv-K kann die Kontrolle über Webserver übernehmen, so Microsoft weiter. Das Botnet scannt das Internet, um anfällige Webserver zu finden, und nutzt dann verschiedene Schwachstellen aus, wie z. B. Path Traversal, Remote File Disclosure, Download beliebiger Dateien und Remote Code Execution. Sobald die Malware auf einem Windows- oder Linux-Gerät ausgeführt wird, setzt Sysrv-K einen Miner für Kryptowährungen ein.

Sysrv-K enthält neue Funktionen aus älteren Varianten. Juniper meldete im April 2021, dass Sysrv mit Exploits für sechs RCE-Schwachstellen gebündelt wurde, die Installationen der MongoDB-Administrationsoberfläche Mongo Express, des PHP-Frameworks ThinkPHP, des CMS Drupal, des VMware-eigenen SaltStack sowie der Projekte XXL-JOB und XML-RPC betreffen. Außerdem gab es Exploits für das PHP-Framework Laravel, Oracle Weblogic, Atlassian Confluence Server, Apache Solr, PHPUnit, Jboss Application Server, Apache Hadoop, Jenkins, Jupyter Notebook Server, Sonatupe Nexus Repository Manager, Tomcat Manager und WordPress.

Die beiden Funktionen der Malware bestehen darin, sich über das Netzwerk zu verbreiten und den Kryptowährungs-Miner XMRig zu installieren, um Monero zu schürfen. Microsoft weist darauf hin, dass der Schädling jetzt auch Datenbankanmeldeinformationen abfangen kann, um einen infizierten Webserver zu steuern.

„Ein neues Verhalten, das bei Sysrv-K beobachtet wurde, ist, dass es nach WordPress-Konfigurationsdateien und deren Backups sucht, um Datenbank-Anmeldeinformationen abzurufen, die es verwendet, um die Kontrolle über den Webserver zu erlangen. Sysvr-K verfügt über aktualisierte Kommunikationsfunktionen, einschließlich der Möglichkeit, einen Telegram-Bot zu verwenden“, so Microsoft Security Intelligence.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

6 Stunden ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

6 Stunden ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

12 Stunden ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

13 Stunden ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

1 Tag ago

So wehren Sie DDoS-Angriffe ab

Distributed-Denial-of-Service (DDoS)-Attacken werden immer gefährlicher. Wie Unternehmen mit dieser Gefahr umgehen sollten, schildert Security-Spezialist Steffen…

1 Tag ago