- 17 5 月, 2022
- Posted by: admin
- Category: 教學資訊
微軟安全情報團隊5月13日在推特上表示,
Sysrv 殭屍網絡的新變種——Sysrv-K,
正在利用 Spring Framework 和 WordPress 中的漏洞,
在易受攻擊的 Windows 和 Linux 服務器上和部署加密惡意軟件。
作為新變種,Sysrv-K,具有更加強大的功能,
能夠掃描互聯網以查找具有各種漏洞的 Web 服務器並自動進行安裝,
比如,它會掃描 WordPress 配置文件及其備份以檢索數據庫憑證,
從而獲得對 Web 服務器的控制權。與舊版本一樣,
Sysrv-K 掃描 SSH 密鑰、IP 地址和主機名,
然後嘗試通過 SSH 連接到網絡中的其他系統以部署自身的副本,
這可能會導致網絡的其他部分面臨成為 Sysrv-K 殭屍網絡一部分的風險。
此外,微軟專家還觀察到Sysrv-K支持新的通信功能,
包括能夠使用 Telegram 機器人。
目前這些能夠被利用的漏洞已通過安全更新進行了修復,
包括 WordPress 插件中的舊漏洞,以及 CVE-2022-22947 等較新的漏洞。
CVE-2022-22947 是 Spring Cloud Gateway 庫中的一個代碼注入漏洞,
可被濫用在未打補丁的主機上執行遠程代碼。
Sysrv殭屍網絡從2020年12月起開始活躍,並被阿里雲首次發現。
隨後Sysrv活動的激增也引起起了
Lacework Labs 和Juniper Threat Labs網絡威脅實驗室安全研究人員的注意。
為了侵入這些 Web 服務器,Sysrv利用了 Web 應用程序和數據庫中的缺陷,
例如 PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、
Oracle WebLogic 和 Apache Struts。