Microsoft warnt vor neuer Botnet-Variante, die auf Windows- und Linux-Systeme abzielt

Microsoft hat Unternehmen gewarnt, dass seine Sicherheitsexperten auf eine neue Variante des Sysrv-Botnetzes gestoßen sind, das zusätzliche Exploits unterstützt und die Kontrolle über Webserver erlangen kann.

Die Botnet-Familie wird seit 2020 beobachtet und ist dafür bekannt, Windows- und Linux-Systeme anzugreifen und Monero-Kryptowährungs-Miner zu installieren.

Die neue Variante mit dem Namen Sysrv-K ist wurmfähig und durchsucht das Internet nach Schwachstellen in Web-Apps und Datenbanken, um sie auszunutzen und sich selbst zu installieren, sagte Microsoft in einem Twitter-Thread.

Sysrv-K funktioniert ähnlich wie ältere Varianten, indem es nach Secure Shell (SSH)-Schlüsseln, IP-Adressen und Hostnamen sucht, bevor es versucht, Kopien von sich selbst im gesamten Netzwerk zu verbreiten.

Die Wurmfähigkeit Sysrv-K ist ein Problem für Unternehmen, die entweder Windows oder Linux auf mit dem Internet verbundenen Systemen ausführen. Microsoft hat jedem geraten, alle mit dem Internet verbundenen Systeme zu sichern und bekannte Sicherheitslücken zu patchen.

Die von Sysrv-K verwendeten Schwachstellen sind eine Mischung aus älteren und neueren Bedrohungen und umfassen unzählige Arten, darunter Pfaddurchquerung, Offenlegung von Remote-Dateien, willkürliches Herunterladen von Dateien und Remote-Code-Ausführung.

Eines der neuen Verhaltensweisen, die in Sysrv-K und nicht in früheren Varianten beobachtet wurden, ist das Scannen von WordPress-Konfigurationsdateien und deren Backups, um Datenbankanmeldeinformationen abzurufen.

Sysrv-K verwendet dann diese gesammelten Anmeldeinformationen, um die Kontrolle über den Webserver zu erlangen, wo es seine aktualisierten Kommunikationstools verwenden kann, wie z. B. den Zugriff auf einen Telegram-Bot.

Die Sysrv-Familie

Die Sysrv-Botnet-Familie gibt es seit Dezember 2020, aber ihre Aktivität stieg erstmals im März 2021 deutlich an, was Cybersicherheitsunternehmen wie Juniper dazu veranlasste, die Angriffe zu analysieren.

Seit seiner Einführung gab es mehrere Verbesserungen an Sysrv, wie z. B. das Kompilieren sowohl des Wurms als auch des Monero-Miners in einer einzigen Binärdatei im letzten Jahr.

Juniper sagte, die Kombination der beiden würde dem Bedrohungsakteur eine „bessere Kontrolle und Verwaltung“ ermöglichen, da die Binärdatei ständig aktualisiert wird.

Als Teil des Loader-Skripts wurden die in der neuesten Variante verwendeten SSH-Schlüssel auch erst letztes Jahr hinzugefügt, bevor die Aktivität zu steigen begann. Forscher sagten, dies sei eine weitere Initiative, die verwendet wird, um eine größere Persistenz auf Zielcomputern zu erreichen, was zu ausgeklügelteren Angriffen führen könnte als das Schürfen von Kryptowährungen.

Eine NHS Digital-Analyse von Sysrv kam zu dem Schluss, dass die Binärdatei in Go geschrieben ist, einer plattformübergreifenden Entwicklungssprache, die bei Cyberkriminellen immer beliebter wird.

Sysrv bereitet das infizierte System vor, indem alle derzeit installierten Kryptowährungs-Miner entfernt werden, bevor Dienste beendet und die Firewall des Systems geändert werden.

Es installiert dann den Monero-Miner – der Typ des Miners kann von der Variante abhängen, die eine Maschine infiziert – und sucht nach Möglichkeiten, sich seitlich zu bewegen und zu verbreiten, während das Miner-Programm läuft.