Les opérateurs du botnet Sysrv exploitent des vulnérabilités dans WordPress et le Spring Framework pour lancer des attaques contre Linux et fenêtres les serveursa prévenu Microsoft.
Dans un Fil Twitterdes chercheurs de l’équipe Microsoft Security Intelligence ont expliqué qu’une nouvelle variante du botnet, baptisée Sysrv-K, est utilisée pour déployer des cryptomineurs et d’autres malware sur les systèmes cibles.
L’exploit repose sur une chaîne de vulnérabilités (dont CVE-2022-22947 et CVE-2022-22947) qui ont déjà été corrigées, mais qui sont toujours présentes dans des systèmes qui n’ont pas encore été mis à jour.
Nouvelles capacités de botnet
La récente vague d’attaques a été rendue possible par de nouvelles fonctionnalités introduites dans le botnet Sysrv qui aident à traquer activement les serveurs vulnérables et à éliminer tout logiciel malveillant concurrent présent sur un système cible.
Une fois à l’intérieur, Sysrv-K se propage également sur un réseau en utilisant une combinaison d’informations d’identification volées et de force brute. le mot de passe attaques de bourrage, dit Microsoft.
« Comme les anciennes variantes, Sysrv-K recherche les clés SSH, les adresses IP et les noms d’hôte, puis tente de se connecter à d’autres systèmes du réseau via SSH pour déployer des copies de lui-même. Cela pourrait exposer le reste du réseau au risque de faire partie du botnet Sysrv-K », a expliqué l’équipe de renseignement sur les menaces.
« Un nouveau comportement observé dans Sysrv-K est qu’il recherche les fichiers de configuration WordPress et leur sauvegardes à récupérer base de données informations d’identification, qu’il utilise pour prendre le contrôle du serveur Web.
La meilleure façon de se protéger contre les attaques lancées via le botnet Sysrv est d’établir un gestion des correctifs politique qui permet aux systèmes vulnérables d’être mis à jour aussi rapidement que possible et de garantir que des informations d’identification de compte solides et une authentification à deux facteurs sont en place à tous les niveaux.
« Nous recommandons vivement aux organisations de sécuriser les systèmes accessibles sur Internet, y compris l’application en temps opportun des mises à jour de sécurité et l’hygiène des informations d’identification du bâtiment », a écrit Microsoft, avant de saisir l’opportunité de brancher les siens logiciel de protection des terminauxqui est censé protéger contre toutes les variantes de Sysrv.