Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Botnets Sysrv-hello Botnet

Sysrv-hello Botnet

Par Mezo en Botnets
Se traduisent par :
Français

Le botnet Sysrv-hello est un botnet récemment découvert qui recherche des serveurs d'entreprise Linux et Windows vulnérables à ajouter à ses machines esclaves de crypto-mining. Parmi les victimes de la menace figurent Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype et Apache Struts. Comme la plupart des botnets de crypto-mining, Sysrv-hello déploie également une version du mineur XMRig qui pirate les ressources matérielles du système infecté pour générer des pièces Monero.

Bien qu'il s'agisse d'une menace relativement nouvelle, le botnet Sysrv-hello a déjà connu plusieurs mises à jour et modifications importantes. Initialement, la menace était de nature modulaire avec des composants séparés d'extraction et de propagation (ver). Les derniers exemples, cependant, contiennent un seul binaire capable d'exécuter les deux fonctionnalités.

Vecteurs de compromis initiaux

Les vulnérabilités exploitées par Sysrv-hello pour se propager ont également été mises à jour. Les dernières variantes de la menace reposent sur six vulnérabilités particulières pour obtenir un accès initial aux systèmes ciblés:

  • Mongo Express RCE (CVE-2019-10758)
  • XML-RPC (CVE-2017-11610)
  • Saltstack RCE (CVE-2020-16846)
  • Drupal Ajax RCE (CVE-2018-7600)
  • ThinkPHP RCE (pas de CVE)
  • XXL-JOB Unauth RCE (pas de CVE)

Après avoir pris pied sur le serveur, Sysrv-hello tue tous les crypto-mineurs concurrents s'ils sont présents, lance son propre mineur et se propage sur le réseau compromis. Pour se déplacer latéralement, le botnet collecte les clés SSH privées des serveurs infectés et les utilise pour lancer des attaques par force brute.

Les chercheurs d'Infosec ont réussi à identifier l'un des crypto-portefeuilles utilisés pour contenir les pièces Monero générées par le botnet Sysrv-hello. Bien que la somme stockée là-bas ne soit pas si impressionnante - un peu plus de 12 XMR (Monero), soit environ 4000 $, il convient de noter que les botnets de crypto-minage utilisent généralement plusieurs de ces portefeuilles, de sorte que les gains totaux des pirates pourraient être considérablement plus élevés.

Tendance

Le plus regardé

Chargement...