Sysrv僵尸網絡背后的網絡犯罪分子正在利用Spring Framework和WordPress插件中未修補的漏洞來瞄準Linux和Windows系統。據研究人員稱，網絡威脅者的目標是用加密惡意軟件來感染系統。

微軟安全情報研究人員稱該僵尸網絡的變體為Sysrv-K，他們在推特上發布了一個帖子，揭示了僵尸網絡變體的詳細信息。

研究人員表示，Sysrv-K背后的犯罪分子已經通過編程他們的機器人軍隊掃描了WordPress插件中的缺陷以及Spring Cloud

Gateway(CVE-2022-22947)中最近的遠程代碼執行(RCE)缺陷。

微軟安全情報部門也發現了該僵尸網絡變體，他們在推特上表示：這些漏洞都已通過安全更新解決，包括WordPress插件中的舊漏洞，以及CVE-2022-22947等較新的漏洞。一旦在設備上運行，Sysrv-K就會部署加密貨幣礦工。

我們遇到了Sysrv僵尸網絡的新變體，其通過利用Web應用程序和數據庫中的漏洞在Windows和Linux系統上安裝硬幣礦工而聞名。該新變體，我們稱之為Sysrv-K，具有額外的漏洞，可以控制Web服務器。

—微軟安全情報(@MsftSecIntel)2022年5月13日

Spring Cloud是一個開源庫，可以簡化為云開發JVM應用程序的過程，Spring Cloud

Gateway為Spring和Java構建API網關提供了一個庫。而CVE-2022-22947是Spring Cloud

Gateway庫中的存在漏洞的代碼。通過該漏洞攻擊者可以在未修補的主機上執行遠程代碼執行(RCE)。這一缺陷影響了VMware和Oracle產品，并被兩家供應商標記為關鍵。

Sysrv-K的工作

微軟安全情報團隊警告說，Sysrv-K可以通過掃描互聯網以安裝各種漏洞來控制網絡服務器。漏洞范圍從RCE到任意文件下載，路徑遍歷到遠程文件披露。

Lacework Labs和Juniper Threat

Labs的安全研究人員觀察到了惡意軟件的兩個主要組成部分，即在2021年3月活動激增后，通過掃描互聯網上尋找易受攻擊的系統和安裝XMRig加密貨幣礦工(用于挖掘Monero)來傳播到網絡。

Sysrv-K的新功能是掃描WordPress配置文件及其備份，以竊取憑據并訪問Web服務器。除此之外，“Sysvr-K還更新了通信功能，包括使用電報機器人的能力”。

“與較舊的變體一樣，Sysrv-K掃描SSH密鑰、IP地址和主機名，然后嘗試通過SSH連接到網絡中的其他系統以部署自己的副本。微軟安全情報團隊報告稱，這可能會使網絡的其余部分面臨成為Sysrv-K僵尸網絡的一部分的風險。”

微軟建議各組織保護面向互聯網的Linux或Windows系統，及時應用安全更新，并保護憑據。他們補充說：“Microsoft Defender for

Endpoint檢測Sysrv-K和較舊的Sysrv變體，以及相關行為和有效負載。”

微軟在2022年1月面臨關鍵的RCE、蠕蟲和6個零日，包括(CVE-2022-22947)。

本文翻譯自：https://threatpost.com/sysrv-k-botnet-targets-windows-linux/179646/如若轉載，請注明原文地址。