Les opérateurs du botnet Sysrv exploitent les vulnérabilités de WordPress et du Spring Framework pour lancer des attaques contre les serveurs Linux et Windows, a averti Microsoft.
Dans un fil Twitter, des chercheurs de l'équipe Microsoft Security Intelligence ont expliqué qu'une nouvelle variante du botnet, baptisée Sysrv-K, est utilisée pour déployer des cryptomineurs et d'autres logiciels malveillants sur les systèmes cibles.
L'exploit est basé sur une chaîne de vulnérabilités (dont CVE-2022-22947 et CVE-2022-22947) qui ont déjà été corrigées, mais qui sont toujours présentes sur des systèmes qui n'ont pas encore été mis à jour.
Nouvelles capacités de botnet
La récente vague d'attaques a été rendue possible par de nouvelles fonctionnalités introduites dans le botnet Sysrv qui aident à rechercher activement les serveurs vulnérables et à supprimer tout logiciel malveillant concurrent présent sur un système ciblé.
Une fois à l'intérieur, Sysrv-K se propage également à travers un réseau en utilisant une combinaison d'informations d'identification volées et d'attaques de bourrage de mots de passe par force brute, explique Microsoft.
"Comme les variantes précédentes, Sysrv-K recherche les clés SSH, les adresses IP et les noms d'hôte, puis essaie de se connecter à d'autres systèmes sur le réseau via SSH pour déployer des copies de lui-même. Cela pourrait exposer le reste du réseau au risque d'en faire partie. du botnet Sysrv-K », a expliqué l'équipe de renseignement sur les menaces.
"Un nouveau comportement observé dans Sysrv-K est qu'il recherche les fichiers de configuration WordPress et leurs sauvegardes pour récupérer les informations d'identification de la base de données, qu'il utilise pour prendre le contrôle du serveur Web."
La meilleure façon de se protéger contre les attaques lancées via le botnet Sysrv est d'établir une politique de gestion des correctifs efficace qui permet de mettre à jour les systèmes vulnérables le plus rapidement possible, et de s'assurer que des systèmes de compte et d'authentification des utilisateurs solides sont en place. justificatifs d'identité appropriés. tous les niveaux. .
"Nous exhortons les organisations à protéger les systèmes accessibles via Internet, y compris l'application en temps opportun des mises à jour de sécurité et l'hygiène des informations d'identification de construction", a écrit Microsoft, avant de saisir l'opportunité de connecter son propre logiciel de protection des points finaux, qui est censé protéger contre toutes les variantes de Sysrv.