行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
僵尸网络目标锁定Windows和Linux系统
2022-05-30 14:38:15 【

Sysrv僵尸网络背后的网络犯罪分子正在利用Spring Framework和WordPress插件中未修补的漏洞来瞄准Linux和Windows系统。据研究人员称,网络威胁者的目标是用加密恶意软件来感染系统。


微软安全情报研究人员称该僵尸网络的变体为Sysrv-K,他们在推特上发布了一个帖子,揭示了僵尸网络变体的详细信息。


研究人员表示,Sysrv-K背后的犯罪分子已经通过编程他们的机器人军队扫描了WordPress插件中的缺陷以及Spring Cloud


Gateway(CVE-2022-22947)中最近的远程代码执行(RCE)缺陷。


微软安全情报部门也发现了该僵尸网络变体,他们在推特上表示:这些漏洞都已通过安全更新解决,包括WordPress插件中的旧漏洞,以及CVE-2022-22947等较新的漏洞。一旦在设备上运行,Sysrv-K就会部署加密货币矿工。


我们遇到了Sysrv僵尸网络的新变体,其通过利用Web应用程序和数据库中的漏洞在Windows和Linux系统上安装硬币矿工而闻名。该新变体,我们称之为Sysrv-K,具有额外的漏洞,可以控制Web服务器。


—微软安全情报(@MsftSecIntel)2022年5月13日


Spring Cloud是一个开源库,可以简化为云开发JVM应用程序的过程,Spring Cloud


Gateway为Spring和Java构建API网关提供了一个库。而CVE-2022-22947是Spring Cloud


Gateway库中的存在漏洞的代码。通过该漏洞攻击者可以在未修补的主机上执行远程代码执行(RCE)。这一缺陷影响了VMware和Oracle产品,并被两家供应商标记为关键。


Sysrv-K的工作

微软安全情报团队警告说,Sysrv-K可以通过扫描互联网以安装各种漏洞来控制网络服务器。漏洞范围从RCE到任意文件下载,路径遍历到远程文件披露。


Lacework Labs和Juniper Threat


Labs的安全研究人员观察到了恶意软件的两个主要组成部分,即在2021年3月活动激增后,通过扫描互联网上寻找易受攻击的系统和安装XMRig加密货币矿工(用于挖掘Monero)来传播到网络。


Sysrv-K的新功能是扫描WordPress配置文件及其备份,以窃取凭据并访问Web服务器。除此之外,“Sysvr-K还更新了通信功能,包括使用电报机器人的能力”。


“与较旧的变体一样,Sysrv-K扫描SSH密钥、IP地址和主机名,然后尝试通过SSH连接到网络中的其他系统以部署自己的副本。微软安全情报团队报告称,这可能会使网络的其余部分面临成为Sysrv-K僵尸网络的一部分的风险。”


微软建议各组织保护面向互联网的Linux或Windows系统,及时应用安全更新,并保护凭据。他们补充说:“Microsoft Defender for


Endpoint检测Sysrv-K和较旧的Sysrv变体,以及相关行为和有效负载。”


微软在2022年1月面临关键的RCE、蠕虫和6个零日,包括(CVE-2022-22947)。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇字节跳动数据库的过去、现状与未来 下一篇为什么当前的网络安全事件响应工..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800