Neue Sysrv-Botnet-Variante

Microsoft warnt vor neuer Windows- und Linux-Bedrohung

20.05.2022 von Julia Mutzbauer
Microsoft schlägt wegen einer neuen Variante des Sysrv-Botnets Alarm. Sie zielt auf Windows- und Linux-Server ab. Ziel der Angreifer ist es, Kryptowährungen zu schürfen.
Die neue Variante des Sysrv-Botnets hat es auf Sicherheitslücken im Spring Framework und WordPress abgesehen.
Foto: Skorzewiak - shutterstock.com

Das Security-Intelligence-Team von Microsoft hat herausgefunden, dass die Drahtzieher des Sysrv-Botnets jetzt Sicherheitslücken im Spring Framework und WordPress ausnutzen, um Windows- und Linux-Server zu kompromittieren. "Die neue Variante, die wir Sysrv-K nennen, verwendet zusätzliche Exploits und kann die Kontrolle über Webserver erlangen", warnen die Forscher in ihrem Tweet.

So funktioniert das Sysrv-Botnet

Nach Angaben der Sicherheitsspezialisten ist das Sysrv-Botnet dafür bekannt, gezielt nach Schwachstellen in Web-Apps und Datenbanken zu suchen, um Windows- und Linux-Systeme mit Cryptomining-Malware zu infizieren. Wie ältere Varianten scannt Sysrv-K das Internet nach SSH-Schlüsseln, IP-Adressen und Hostnamen, um sich mit weiteren Systemen zu verbinden und Kopien von sich selbst zu installieren, erklären die Microsoft-Forscher. Dadurch bestehe die Gefahr, dass auch der Rest eines Netzes Teil des Sysrv-K-Botnets wird.

Die dabei ausgenutzten Sicherheitslücken reichen, so die Security-Eperten, von Path Traversal und Remote File Disclosure bis hin zu Arbitrary File Download und Remote-Code-Execution-Schwachstellen. Ferner würden die Angreifer nun auch speziell nach WordPress-Konfigurationsdateien und deren Sicherungen suchen, um die Anmeldeinformationen der Datenbanken abzurufen. Zudem verfüge die neue Botnet-Version über aktualisierte Kommunikationsfunktionen. Dazu gehöre etwa die Möglichkeit, einen Telegram-Bot zu verwenden.

Die Microsoft-Security-Experten raten Unternehmen dringend, ihre Systeme mit Internetzugang zügig mit Sicherheits-Updates zu versorgen. Zudem sollten sie ihre Zugriffe sichern.