Microsoft: Sysrv botnet targets Windows, Linux servers with new exploits
MS는 최근 Sysrv 봇넷이 Spring Framework 및 WordPress의 취약점을 이용하여 취약한 윈도우 및 리눅스 서버에 크립토마이닝 악성코드를 유포하고 있다고 밝혔습니다.
Redmond는 취약한 WordPress 및 Spring 스캐닝 기능이 포함된 새로운 변종(Sysrv-K라 불림)을 발견했습니다.
MS 보안인텔리전스팀은 "우리가 Sysrv-K라고 명명한 새로운 변종은 추가 공격을 지원하고 다양한 취약점을 악용하여 웹 서버를 제어할 수 있습니다"라고 밝혔습니다.
"악용중인 취약점에는 WordPress 플러그인의 오래된 취약점과 CVE-2022-22947과 같은 새로운 취약점이 포함됩니다."라고 말했습니다.
CVE-2022-22947은 패치되지 않은 호스트에서 원격 코드 실행에 악용될 수 있는 Spring Cloud Gateway 라이브러리의 코드 인젝션 취약점입니다.
Sysrv-K에는 WordPress 구성 파일과 해당 백업을 검색하여 나중에 웹 서버를 인수하는 데 사용되는 데이터베이스 자격 증명을 탈취할 수 있는 기능이 추가됬습니다.
해당 악성코드는 2020년 12월부터 활동을 시작하였으며, 21년 2월, Alibaba Cloud(Aliyun) 보안 연구원에 의해 처음 발견되었습니다. 3월에는 Lacework Labs와 Juniper Threat Labs의 보안 연구원도 해당 악성코드를 탐지하였습니다.
▶ Sysrv-hello 봇넷, 공격에 14개의 취약점 추가적으로 악용해
Sysrv는 취약한 윈도우 및 리눅스 엔터프라이즈 서버에 대해 검색을 하고, Monero 마이너와 자기 확산이 가능한 악성코드 페이로드로 감염시킵니다.
웹 서버를 해킹하기 위하여 봇넷은 PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic 및 Apache Struts와 같은 웹 앱 및 데이터베이스의 취약점을 악용합니다.
경쟁관계에 있는 가상화폐 마이너를 종료하고 자체 페이로드를 배포한 후 Sysrv는 감염된 서버의 다양한 위치(예: bash 기록, ssh 구성 및 known_hosts 파일)에서 수집한 SSH 개인 키를 사용하여 무차별 대입 공격을 통해 네트워크를 통해 자동으로 확산됩니다.
공격자는 모네로 마이닝 봇에 추가할만한 취약한 윈도우 및 리눅스 시스템을 적극적으로 검색합니다.
Sysrv는 원격 코드 인젝션 또는 원격 코드실행 취약점이 존재하여 악성코드를 원격에서 실행가능한 대상을 공격 대상으로 삼습니다.
출처 :
애플, MAC 및 애플 워치 해킹에 사용되는 제로데이 취약점 긴급 패치해 (0) | 2022.05.17 |
---|---|
CISA, 도메인 컨트롤러에 5월 윈도우 업데이트 설치 금지 경고해 (0) | 2022.05.17 |
SonicWall, SSLVPN SMA1000 기기의 취약점 패치해 (0) | 2022.05.16 |
새로운 Saitama 백도어, 요르단 외무부 관계자 노려 (0) | 2022.05.16 |
스틸러, 마이너, 웜, 랜섬웨어 툴을 제공하는 Eternity 악성코드 키트 발견 (0) | 2022.05.13 |
댓글 영역