Microsoft Security Intelligence ha comunicato di aver scoperto la vulnerabilità CVE-2022-22947, una variante della botnet Sysrv denominata Sysrv-K in grado di sfruttare Spring Framework e WordPress per installare malware di crypto mining su server Windows e Linux.

La nuova vulnerabilità è capace di mettere a rischio intere reti. Microsoft spiega che Sysrv-K può cercare chiavi SSH, indirizzi IP e nomi host per tentare di connettersi ad altri server in rete, e proprio come la botnet Sysrv "originale" è in grado di individuare server Windows e Linux vulnerabili così da infettarli tramite miner di Monero e malware a diffusione automatica.

Per farsi largo tra i server, la botnet sfrutta vulnerabilità nelle app e nei database come PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic e Apache Struts.

Raccomandiamo di proteggere i sistemi connessi a internet installando tempestivamente gli aggiornamenti di sicurezza e curando le credenziali. Microsoft Defender for Endpoint è in grado di rilevare Sysrv-K e le varianti Sysrv precedenti, così come i loro meccanismi di azione e i payload.

Con la guerra in Ucraina gli attacchi di questo tipo hanno subito un'impennata. A marzo alcuni router Asus sono stati colpiti dalla botnet Cyclops Blink, ad aprile è stato l'FBI a svelarne i retroscena, con l'origine del malware attribuita a Sandworm, gruppo hacker che opera per conto del Glavnoe razvedyvatel'noe upravlenie dello Stato Maggiore delle forze armate russe. Ulteriori dettagli su Sysrv-K disponibili al link in FONTE.