Cryptomining : le botnet Sysrv-K cible les serveurs Windows et Linux

Microsoft a fait la découverte d'un nouveau variant du botnet Sysrv qui exploite des vulnérabilités de WordPress et de Spring Framework pour compromettre de nouvelles machines. Son objectif : déployer un logiciel malveillant de cryptomining sur des serveurs Windows et Linux.

Ce nouveau variant, surnommé Sysrv-K par Microsoft, est une évolution du botnet Sysrv qui intègre des capacités supplémentaires, notamment pour détecter les sites vulnérables à des failles de sécurité WordPress et Spring. Grâce à ses nouvelles capacités lui permettant la prise en charge d'exploits supplémentaires, il peut compromettre des serveurs, notamment des serveurs Web, aussi bien sous Linux que sous Windows. Microsoft a mis en ligne plusieurs tweets à son sujet.

En ce qui concerne les sites WordPress, le botnet Sysrv-K est capable d'exploiter des vulnérabilités au sein d'extensions, que ce soit des failles de sécurité anciennes ou récentes. Il va également scanner les sites WordPress à la recherche de fichiers de configuration, de backups, etc... Afin de récupérer les identifiants de connexion à la base de données.

Ensuite, pour la partie Spring Framework, il s'intéresse à la vulnérabilité CVE-2022-22947 permettant une injection de code malveillant à distance dans la librairie Spring Cloud Gateway. Pour rappel, Spring appartient à VMware et ce framework est utilisé au sein de certains produits VMware comme VMware Tanzu. Tout cela vient s'ajouter à ses capacités de détection existantes liés à PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, et Apache Struts.

Relativement agressif sur Internet, ce botnet serait actif au moins depuis décembre 2020. Une fois qu'un hôte est compromis, il est infecté avec le logiciel de cryptomining Monero (XMRig). A partir d'une machine infectée, il va chercher à infecter d'autres hôtes, notamment en regardant l'historique de bash sur la machine, ainsi que la configuration SSH et le fichier known_host, dans le cas d'un hôte Linux.

Une belle piqûre de rappel quant à la nécessité de maintenir à jour ses applications et services !

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3872 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.