Microsoft memperingatkan varian baru dari srv botnet yang mengeksploitasi beberapa kelemahan keamanan dalam aplikasi web dan database untuk menginstal penambang koin pada sistem Windows dan Linux.
Raksasa teknologi, yang menyebut versi baru Sysrv-K, dikatakan mempersenjatai berbagai eksploitasi untuk mendapatkan kendali atas server web. Botnet cryptojacking pertama kali muncul pada Desember 2020.
“Sysrv-K memindai internet untuk menemukan server web dengan berbagai kerentanan untuk menginstal sendiri,” perusahaan dikatakan dalam serangkaian tweet. “Kerentanan berkisar dari jalur traversal dan pengungkapan file jarak jauh hingga unduhan file arbitrer dan kerentanan eksekusi kode jarak jauh.”
Ini juga termasuk CVE-2022-22947 (skor CVSS: 10,0), kerentanan injeksi kode di Spring Cloud Gateway yang dapat dieksploitasi untuk memungkinkan eksekusi jarak jauh sewenang-wenang pada host jarak jauh melalui permintaan yang dibuat dengan jahat.
Perlu dicatat bahwa penyalahgunaan CVE-2022-22947 telah mendorong Badan Keamanan Cybersecurity dan Infrastruktur AS untuk menambahkan cacat ke Katalog Kerentanan yang Diketahui yang Dieksploitasi.
Pembeda utama adalah Sysrv-K memindai file konfigurasi WordPress dan cadangannya untuk mengambil kredensial basis data, yang kemudian digunakan untuk membajak server web. Itu juga dikatakan telah meningkatkan fungsi komunikasi perintah-dan-kontrolnya untuk menggunakan Bot Telegram.
Setelah terinfeksi, pergerakan lateral difasilitasi melalui kunci SSH yang tersedia di mesin korban untuk menyebarkan salinan malware ke sistem lain dan memperbesar ukuran botnet, yang secara efektif membahayakan seluruh jaringan.
“Malware Sysrv memanfaatkan kerentanan yang diketahui untuk menyebarkan malware Cryptojacking mereka,” catat peneliti Lacework Labs tahun lalu. “Memastikan aplikasi yang menghadap publik tetap up to date dengan patch keamanan terbaru sangat penting untuk menghindari musuh oportunistik dari sistem kompromi.”
Selain mengamankan server yang terpapar internet, Microsoft juga menyarankan organisasi untuk menerapkan pembaruan keamanan secara tepat waktu dan membangun kebersihan kredensial untuk mengurangi risiko.