ผู้ให้บริการบ็อตเน็ต Sysrv ใช้ช่องโหว่ใน WordPress และ Spring Framework เพื่อโจมตีเซิร์ฟเวอร์ Linux และ Windows Microsoft เตือน
ในกระทู้ Twitter นักวิจัยจากทีม Microsoft Security Intelligence อธิบายว่าบอตเน็ตรุ่นใหม่ชื่อ Sysrv-K ใช้เพื่อปรับใช้ cryptominers และมัลแวร์อื่น ๆ บนระบบเป้าหมาย
การเอารัดเอาเปรียบนี้ขึ้นอยู่กับกลุ่มของช่องโหว่ (รวมถึง CVE-2022-22947 และ CVE-2022-22947) ที่ได้รับการแก้ไขแล้ว แต่ยังคงมีอยู่ในระบบที่ยังไม่ได้อัปเดต
ความสามารถใหม่ของบ็อตเน็ต
การโจมตีระลอกล่าสุดเกิดขึ้นได้ด้วยคุณลักษณะใหม่ที่นำมาใช้กับบ็อตเน็ต Sysrv ที่ช่วยติดตามเซิร์ฟเวอร์ที่มีช่องโหว่และกำจัดมัลแวร์ที่แข่งขันกันที่มีอยู่ในระบบเป้าหมาย
เมื่อเข้าไปข้างในแล้ว Sysrv-K ยังแพร่กระจายผ่านเครือข่ายโดยใช้ข้อมูลประจำตัวที่ขโมยมาและการโจมตีด้วยรหัสผ่านที่ดุร้าย Microsoft กล่าว
“เช่นเดียวกับรุ่นก่อนๆ Sysrv-K ค้นหาคีย์ SSH, ที่อยู่ IP และชื่อโฮสต์ จากนั้นพยายามเชื่อมต่อกับระบบอื่นๆ บนเครือข่ายผ่าน SSH เพื่อปรับใช้สำเนาของตัวเอง ซึ่งอาจทำให้ส่วนที่เหลือของเครือข่ายมีความเสี่ยงที่จะกลายเป็นส่วนหนึ่ง ของบ็อตเน็ต Sysrv-K” ทีมข่าวกรองภัยคุกคามอธิบาย
“พฤติกรรมใหม่ที่เห็นใน Sysrv-K คือการค้นหาไฟล์การกำหนดค่า WordPress และข้อมูลสำรองเพื่อดึงข้อมูลรับรองฐานข้อมูล ซึ่งใช้เพื่อควบคุมเว็บเซิร์ฟเวอร์”
วิธีที่ดีที่สุดในการป้องกันการโจมตีที่เปิดตัวผ่าน Sysrv botnet คือการกำหนดนโยบายการจัดการโปรแกรมแก้ไขที่มีประสิทธิภาพซึ่งช่วยให้ระบบที่มีช่องโหว่สามารถอัปเดตได้โดยเร็วที่สุด และเพื่อให้มั่นใจว่าระบบบัญชีที่แข็งแกร่งและการตรวจสอบผู้ใช้อยู่ในสถานที่ ปัจจัยสองประการที่มี ข้อมูลประจำตัวที่เหมาะสม ทุกระดับ .
“เราขอเรียกร้องให้องค์กรต่างๆ ปกป้องระบบที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต รวมถึงการประยุกต์ใช้การอัปเดตความปลอดภัยและสุขอนามัยของข้อมูลรับรองอาคารอย่างทันท่วงที” ไมโครซอฟต์เขียน ก่อนที่จะใช้โอกาสในการเชื่อมต่อซอฟต์แวร์ป้องกันจุดสุดท้ายของตนเอง ซึ่งควรจะป้องกันตัวแปร Sysrv ทั้งหมด .