Microsoft hat davor gewarnt, dass eine v auf eine kritische Schwachstelle im Spring Framework abzielt, um Malware zum Schürfen von Kryptowährungen auf Linux- und Windows-Systemen zu installieren. Forscher entdeckten die Sysrv-K genannte Variante, die das Internet nach WordPress-Plugins mit älteren Schwachstellen sowie einer kürzlich bekannt gewordenen Schwachstelle in der Spring Cloud Gateway-Software (CVE-2022-22947) für die Ausführung von Remotecode durchsucht.
Sysrv-K kann die Kontrolle über Webserver übernehmen, so Microsoft weiter. Das Botnet scannt das Internet, um anfällige Webserver zu finden, und nutzt dann verschiedene Schwachstellen aus, wie z. B. Path Traversal, Remote File Disclosure, Download beliebiger Dateien und Remote Code Execution. Sobald die Malware auf einem Windows- oder Linux-Gerät ausgeführt wird, setzt Sysrv-K einen Miner für Kryptowährungen ein.
Sysrv-K enthält neue Funktionen aus älteren Varianten. Juniper meldete im April 2021, dass Sysrv mit Exploits für sechs RCE-Schwachstellen gebündelt wurde, die Installationen der MongoDB-Administrationsoberfläche Mongo Express, des PHP-Frameworks ThinkPHP, des CMS Drupal, des VMware-eigenen SaltStack sowie der Projekte XXL-JOB und XML-RPC betreffen. Außerdem gab es Exploits für das PHP-Framework Laravel, Oracle Weblogic, Atlassian Confluence Server, Apache Solr, PHPUnit, Jboss Application Server, Apache Hadoop, Jenkins, Jupyter Notebook Server, Sonatupe Nexus Repository Manager, Tomcat Manager und WordPress.
Die beiden Funktionen der Malware bestehen darin, sich über das Netzwerk zu verbreiten und den Kryptowährungs-Miner XMRig zu installieren, um Monero zu schürfen. Microsoft weist darauf hin, dass der Schädling jetzt auch Datenbankanmeldeinformationen abfangen kann, um einen infizierten Webserver zu steuern.
„Ein neues Verhalten, das bei Sysrv-K beobachtet wurde, ist, dass es nach WordPress-Konfigurationsdateien und deren Backups sucht, um Datenbank-Anmeldeinformationen abzurufen, die es verwendet, um die Kontrolle über den Webserver zu erlangen. Sysvr-K verfügt über aktualisierte Kommunikationsfunktionen, einschließlich der Möglichkeit, einen Telegram-Bot zu verwenden“, so Microsoft Security Intelligence.
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…