Categories: SicherheitVirus

Sysrv-K: Microsoft warnt vor Botnet für Windows- und Linux-Systeme

Microsoft hat davor gewarnt, dass eine v auf eine kritische Schwachstelle im Spring Framework abzielt, um Malware zum Schürfen von Kryptowährungen auf Linux- und Windows-Systemen zu installieren. Forscher entdeckten die Sysrv-K genannte Variante, die das Internet nach WordPress-Plugins mit älteren Schwachstellen sowie einer kürzlich bekannt gewordenen Schwachstelle in der Spring Cloud Gateway-Software (CVE-2022-22947) für die Ausführung von Remotecode durchsucht.

Sysrv-K kann die Kontrolle über Webserver übernehmen, so Microsoft weiter. Das Botnet scannt das Internet, um anfällige Webserver zu finden, und nutzt dann verschiedene Schwachstellen aus, wie z. B. Path Traversal, Remote File Disclosure, Download beliebiger Dateien und Remote Code Execution. Sobald die Malware auf einem Windows- oder Linux-Gerät ausgeführt wird, setzt Sysrv-K einen Miner für Kryptowährungen ein.

Sysrv-K enthält neue Funktionen aus älteren Varianten. Juniper meldete im April 2021, dass Sysrv mit Exploits für sechs RCE-Schwachstellen gebündelt wurde, die Installationen der MongoDB-Administrationsoberfläche Mongo Express, des PHP-Frameworks ThinkPHP, des CMS Drupal, des VMware-eigenen SaltStack sowie der Projekte XXL-JOB und XML-RPC betreffen. Außerdem gab es Exploits für das PHP-Framework Laravel, Oracle Weblogic, Atlassian Confluence Server, Apache Solr, PHPUnit, Jboss Application Server, Apache Hadoop, Jenkins, Jupyter Notebook Server, Sonatupe Nexus Repository Manager, Tomcat Manager und WordPress.

Die beiden Funktionen der Malware bestehen darin, sich über das Netzwerk zu verbreiten und den Kryptowährungs-Miner XMRig zu installieren, um Monero zu schürfen. Microsoft weist darauf hin, dass der Schädling jetzt auch Datenbankanmeldeinformationen abfangen kann, um einen infizierten Webserver zu steuern.

„Ein neues Verhalten, das bei Sysrv-K beobachtet wurde, ist, dass es nach WordPress-Konfigurationsdateien und deren Backups sucht, um Datenbank-Anmeldeinformationen abzurufen, die es verwendet, um die Kontrolle über den Webserver zu erlangen. Sysvr-K verfügt über aktualisierte Kommunikationsfunktionen, einschließlich der Möglichkeit, einen Telegram-Bot zu verwenden“, so Microsoft Security Intelligence.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Sorge über Cyberangriff auf eigenes Auto

Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.

2 Tagen ago

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…

2 Tagen ago

Firefox 131 führt temporäre Website-Berechtigungen ein

Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…

3 Tagen ago

Malware-Kampagne gefährdet Smartphones und Bankkonten

Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.

4 Tagen ago

Microsoft räumt Probleme mit Update für Windows 11 ein

Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…

4 Tagen ago

Beispielcode für Zero-Day-Lücke in Windows veröffentlicht

Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…

5 Tagen ago