Sysrv-K Botnet

Une nouvelle variante du botnet Sysrv a été révélée par les chercheurs de Microsoft. Suivie sous le nom de Sysrv-K, cette nouvelle menace est équipée d'un ensemble étendu de capacités menaçantes. Il parcourt Internet à la recherche de serveurs Web présentant divers problèmes de sécurité. La menace peut exploiter la traversée de chemin, la divulgation de fichiers à distance et les téléchargements de fichiers pour compromettre les systèmes ciblés. Les cybercriminels à l'origine de Sysrv-K ont également intégré de nouvelles vulnérabilités au répertoire du botnet, telles que CVE-2022-22947, une exécution de code à distance affectant le logiciel Spring Cloud Gateway.

Une fois déployé, Sysrv-K procède au déploiement d'une charge utile de crypto-mineur Monero. Les crypto-mineurs sont des menaces nuisibles conçues spécifiquement pour détourner les ressources matérielles de l'appareil piraté et les utiliser pour extraire une crypto-monnaie spécifique. De plus, le botnet Sysrv-K peut récupérer les informations d'identification de la base de données à partir des fichiers de configuration WordPress ou de leurs sauvegardes. Ensuite, la menace exploite les informations d'identification volées pour prendre le contrôle du serveur Web. Les capacités de communication de la menace ont également été améliorées avec l'inclusion de la possibilité d'utiliser Telegram comme canal de communication.

Dans le même temps, Sysrv-K a conservé la capacité de rechercher des clés SSH, des adresses IP ou des noms d'hôte sur les machines piratées. Ces informations sont nécessaires pour que la menace tente de se propager encore plus via les connexions SSH.