Wykryto kolejny botnet zagnieżdżający na komputerach koparkę kryptowalut

Microsoft odkrył nowy wariant znanego wcześniej botnetu Sysrv, który atakuje komputery z Windows i Linux. Wykorzystuje on lukę znajdującą się w oprogramowaniu Spring Framework, instalując następnie na zaatakowanym komputerze złośliwy kod kopiący kryptowaluty.

Grafika: Jack Moreh/freerangestock

Informatycy nadali nowemu zagrożeniu nazwę Sysrv-K. W pierwszej fazie ataku botnet skanuje Internet w poszukiwaniu starszych wersji wtyczek Wordpress, które zawierają interesujące go luki, jak również niedawno wykrytą lukę znajdującą się w tej części oprogramowania Spring Cloud Gateway, która obsługuje funkcję RCE (zdalne wykonywanie kodu). To podatność o nazwie CVE-2022- 22947.

Podatność znajduj się w programach opracowanych przez firmy VMware (Spring Cloud Gateway) oraz Oracle Communications (Cloud Native Core Network Exposure Function). Botnet Sysrv-K jest groźny, ponieważ przejmuje kontrolę nad takimi ważnymi elementami systemu IT, jak serwery sieciowe. Gdy atak się powiedzie, botnet wdraża w pamięci swej ofiary standardową koparkę kryptowalut. Botnet potrafi też kraść z komputerów bazy danych zawierające informacje uwierzytelniające ich użytkowników.

Zobacz również:

  • Wkrótce premiera kolejnej wersji aplikacji Outlook dla systemu Android
  • DRC - czym jest i kto powinien się nim zainteresować?

Microsoft odkrył, że podobnie jak starsze warianty tego zagrożenia , Sysrv-K skanuje komputer w poszukiwaniu kluczy SSH, adresów IP i nazw hostów, a następnie próbuje połączyć się z innymi systemami w sieci przez SSH, po to aby zainstalować na nich kopie złośliwego kodu.

W ten sposób reszta sieci narażona jest na to, że stanie się częścią botnetu Sysrv-K, który będzie dalej próbował infekować kolejne ofiary. Korporacja ostrzega więc firmy, aby zabezpieczały w odpowiedni sposób systemy mające dostęp do Internetu oraz instalowały bez zwłoki na nich wszystkie poprawki bezpieczeństwa, co może je uchronić przed przykrymi konsekwencjami takich ataków.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200