Microsoft avisa: Este botnet tem novos truques para atingir sistemas Linux e Windows
A Microsoft está alertando os administradores sobre um botnet que emprega vários exploits e rouba credenciais de banco de dados.
A Microsoft alertou que uma nova variante do botnet Sysrv tem como alvo uma falha crítica no Spring Framework para instalar malware de mineração de criptomoedas em sistemas Linux e Windows.
Os pesquisadores da Microsoft detectaram uma nova variante do Sysrv, que chama de Sysrv-K, escaneando a Internet em busca de plug-ins Wordpress com vulnerabilidades mais antigas, bem como uma falha de execução remota de código (RCE) recentemente divulgada no software Spring Cloud Gateway marcada como CVE-2022- 22947.
A falha afetou o Spring Cloud Gateway da VMware e a Communications Cloud Native Core Network Exposure Function da Oracle e recebeu uma classificação crítica de ambas as empresas.
VEJA: O que é ransomware? Tudo o que você precisa saber sobre uma das maiores ameaças da web
O Sysrv-K pode obter controle de servidores web, alertou o Microsoft Security Intelligence. O botnet verifica a Internet para localizar servidores web e, em seguida, usa várias vulnerabilidades, como passagem de caminho, divulgação remota de arquivos, downloads arbitrários de arquivos e execução remota de código. Assim que o malware estiver sendo executado em um dispositivo Windows ou Linux, o Sysrv-K implanta um minerador de criptomoedas.
Sysrv-K contém novos recursos de variantes mais antigas. A Juniper relatou em abril de 2021 que o Sysrv foi empacotado com explorações para seis vulnerabilidades RCE que afetam instalações da interface de administração Mongo Express do MongoDB, a estrutura ThinkPHP PHP, o Drupal CMS, SaltStack de propriedade da VMware e os projetos XXL-JOB e XML-RPC. Ele também tinha explorações para o framework PHP Laravel, Oracle Weblogic, Atlassian Confluence Server, Apache Solr, PHPUnit, JBoss Application Server, Apache Hadoop, Jenkins, Jupyter Notebook Server, Sonatupe Nexus Repository Manager, Tomcat Manager e Wordpress.
As duas funções do malware eram se espalhar pelas redes, escaneando a Internet em busca de sistemas vulneráveis e instalando o minerador de criptomoeda XMRig para extrair o Monero. Mas a Microsoft alerta que agora também pode capturar credenciais de banco de dados para controlar um servidor web infectado.
"Um novo comportamento observado no Sysrv-K é que ele verifica arquivos de configuração do WordPress e seus backups para recuperar credenciais de banco de dados, que usa para obter controle do servidor web. Sysvr-K atualizou recursos de comunicação, incluindo a capacidade de usar um Bot do Telegram", disse o Microsoft Security Intelligence.
"Como as variantes mais antigas, o Sysrv-K procura chaves SSH, endereços IP e nomes de host e, em seguida, tenta se conectar a outros sistemas na rede via SSH para implantar cópias de si mesmo. Isso pode colocar o resto da rede em risco de tornando-se parte do botnet Sysrv-K", acrescentou.
A Microsoft alertou as organizações para protegerem os sistemas voltados para a Internet, aplicarem atualizações de segurança e protegerem as credenciais.