พบ Sysrv botnet มุ่งเป้าโจมตีไปที่ Windows และ Linux Server !!

Microsoft เปิดเผยว่า Sysrv botnet ได้ใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อดักจับข้อมูล และ ติดตั้ง Cryptomining Malware บน Windows และ Linux Server ที่มีช่องโหว่  

Redmond ได้ค้นพบตัวแปรใหม่ เรียกว่า “Sysrv-K” ที่ได้รับการอัปเกรดให้มีความสามารถที่หลากหลาย  รวมไปถึงการสแกนหา WordPress และ Spring ที่ยังไม่ได้ทำการอัปเดตแพตซ์ และยังมีสามารถในการสแกนหาไฟล์การกำหนดค่า (Configuration) ของ WordPress และ การสำรองข้อมูลเพื่อขโมยข้อมูลประจำตัวจากฐานข้อมูล    เพื่อเข้าควบคุม Web Server 

ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้ว รวมไปถึงช่องโหว่เก่าใน Plugin WordPressเช่นเดียวกันกับช่องโหว่ CVE-2022-22947 ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถใช้การโจมตีด้วย code injection ในไลบรารี  Spring Cloud Gateway และ การโจมตีแบบ Remote Code Execution บนโฮสต์ที่ยังไม่ได้ทำการอัปเดตแพตซ์ 

Sysrv-K จะทำการสแกนหา SSH Key, IP Addresses และ Host Name จากนั้นจะทำการเชื่อมต่อกับระบบอื่น ๆ บนเครือข่ายผ่าน Secure Shell (SSH) เพื่อทำการแทรก copies of itself ซึ่งจะทำให้เครือข่าย เสี่ยงต่อการติด Sysrv-K botnet 

Botnet ดังกล่าวถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยของ Alibaba Cloud (Aliyun)ซึ่งได้สังเกตเห็นพฤติกรรมที่ผิดปกติของ Botnet ที่กำลังสแกนหาช่องโหว่บน Windows และ Linux จากนั้นจะทำการแพร่กระจาย Cryptomining Malware หรือ Monero (XMRig) miner และ malware payload ที่สามารถแพร่กระจายได้ด้วยตัวเอง เพื่อเจาะเข้าไปยัง Web Server โดยจะใช้ประโยชน์จากช่องโหว่ในเว็บแอปพลิเคชัน และ ฐานข้อมูล เช่น PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic และ Apache Struts หลังจากที่ทำการติดตั้ง Cryptomining Malware แล้ว Botnet ดังกล่าวจะทำการแพร่กระจายผ่านเครือข่ายผ่านการโจมตีแบบ brute force attack โดยใช้ SSH Key แบบ private ที่รวบรวมมาจากที่ต่าง ๆบน Server ที่ติดมัลแวร์  

คำแนะนำ 

  • ดำเนินการตรวจสอบ Software Patch, Operation System Patch, Application หรือ Service อื่น ๆ    ที่ใช้งานให้ทันสมัยอยู่เสมอ เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นจากช่องโหว่ที่มีอยู่ 
  • จำกัดการใช้งาน Port 22 เพื่อหลีกเลี่ยงความเสี่ยงต่อการถูกโจมตีแบบ brute force 

Ref : https://www.techaiapp.com/security/sysrv-botnet-targets-windows-linux-servers-with-new-exploits/ 

Share