Microsoft memperingatkan varian botnet baru yang menargetkan sistem Windows dan Linux

Microsoft telah memperingatkan bisnis bahwa pakar keamanannya telah menemukan varian baru botnet Sysrv yang mendukung eksploitasi tambahan dan dapat mengontrol server web.

Keluarga botnet telah diamati sejak tahun 2020 dan diketahui menargetkan sistem Windows dan Linux, menginstal penambang cryptocurrency Monero.

Varian baru, yang dijuluki Sysrv-K, dapat di-worm dan memindai internet untuk mencari kerentanan dalam aplikasi web dan database untuk mengeksploitasi dan menginstalnya sendiri, kata Microsoft dalam utas Twitter.

Sysrv-K bekerja mirip dengan varian lama karena memindai kunci secure shell (SSH), alamat IP, dan nama host, sebelum mencoba menyebarkan salinannya sendiri ke seluruh jaringan.

Sifat wormable Sysrv-K menjadi perhatian bagi bisnis yang menjalankan Windows atau Linux pada sistem yang menghadap internet. Microsoft menyarankan semua orang untuk mengamankan semua sistem yang terhubung ke internet dan menambal kerentanan keamanan yang diketahui.

Kerentanan yang digunakan oleh Sysrv-K adalah campuran dari ancaman yang lebih lama dan yang lebih baru dan mencakup berbagai jenis termasuk jalur traversal, pengungkapan file jarak jauh, unduhan file arbitrer, dan eksekusi kode jarak jauh.

Salah satu perilaku baru yang diamati di Sysrv-K, dan bukan varian sebelumnya, adalah pemindaian file konfigurasi WordPress dan cadangannya untuk mengambil kredensial database.

Sysrv-K kemudian menggunakan kredensial yang dikumpulkan ini untuk mendapatkan kendali atas server web tempat ia dapat menggunakan alat komunikasi yang ditingkatkan, seperti akses ke bot Telegram.

Keluarga Sysrv

Keluarga botnet Sysrv telah ada sejak Desember 2020, tetapi aktivitasnya pertama kali melonjak sekitar Maret 2021, mendorong perusahaan keamanan siber seperti Juniper untuk menganalisis serangan tersebut.

Sejak pertama kali diluncurkan, ada beberapa peningkatan pada Sysrv, seperti mengkompilasi worm dan penambang Monero ke dalam satu biner tahun lalu.

Juniper mengatakan menggabungkan keduanya akan memberi aktor ancaman "kontrol dan manajemen yang lebih baik" karena biner terus diperbarui.

Sebagai bagian dari skrip pemuat, kunci SSH yang digunakan dalam varian terbaru juga hanya ditambahkan tahun lalu sebelum aktivitas mulai melonjak. Para peneliti mengatakan ini adalah inisiatif lain yang digunakan untuk mendapatkan ketekunan yang lebih besar pada mesin target yang dapat menyebabkan serangan yang lebih canggih daripada penambangan cryptocurrency.

Analisis NHS Digital dari Sysrv menyimpulkan bahwa biner ditulis dalam Go, bahasa pengembangan lintas platform yang menjadi semakin populer di kalangan penjahat dunia maya.

Sysrv mempersiapkan sistem yang terinfeksi dengan menghapus penambang mata uang kripto yang terpasang saat ini sebelum menghentikan layanan dan memodifikasi firewall sistem.

Ia kemudian menginstal penambang Monero - jenis penambang mungkin bergantung pada varian yang menginfeksi mesin - dan mencari cara untuk bergerak dan menyebar ke samping saat program penambang berjalan.