Sysrv-Kボットネットが被害者のデバイスで暗号をマイニングしようとします
Sysrvボットネットはしばらく前から存在していますが、セキュリティ研究者は、悪意のあるツールの新しい更新された株を特定しました。新しいバージョンはSysrv-Kと呼ばれ、WindowsシステムとLinuxシステムの両方、およびWebサーバーハードウェアを対象としています。
新しいバージョンのSysrvは、パッチが適用されていない脆弱性を持つソフトウェアをまだ実行している公開Webサーバーをスキャンし、それらのセキュリティ上の欠陥を悪用します。マルウェアが侵入先のデバイスに侵入すると、クリプトマイナーの悪意のあるツールを起動し、被害者のデバイスのリソースを悪用してMonero暗号通貨をマイニングし始めます。
デプロイされたcryptominerツールに加えて、Sysrv-KはWordPress構成ファイルにアクセスし、それらからログイン資格情報を抽出できます。クレデンシャルは、ボットネットを操作する脅威アクターが標的のWebサーバーを制御できるようにするために使用されます。
Sysrvボットネットの新種は、侵害されたデバイス上のIPアドレス、SSHキー、およびホスト名をスキャンし、この情報を使用してSSH経由でボットネットを伝播することができます。サーバーの所有者は、感染やシステムリソースの乱用を避けるために、関連するすべてのソフトウェアとアプリケーションをできるだけ早く更新することをお勧めします。
Sysrvは2年近く前から存在しており、2020年後半に研究者によって最初に詳細が説明されました。それ以来、マルウェアは複数の更新を受け取りました。この新しいバージョンは、Sysrvの背後にいる脅威アクターがボットネットをロングショットで処理していないことを示しています。