Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향새로운 익스플로잇으로 Windows, Linux 서버를 대상으로 하는 Sysrv 봇넷
작성일 2022-05-16 조회 5126

 

 

 

 

 

 

 

 

 

 

 

 

Microsoft는 Sysrv 봇넷이 현재 Spring Framework 및 WordPress의 취약점을 이용하여 취약한 Windows 및 Linux 서버에 크립토마이닝 악성코드를 설치하고 배포하고 있다고 밝혔다.

 

Redmond는 패치되지 않은 WordPress와 Spring 배포를 검색하는 등 더 많은 기능으로 업그레이드된 Sysrv-K로 추적되는 새로운 변종을 발견했다.

 

Microsoft 시큐리티 인텔리전스 팀은 트위터를 통해 "우리가 Sysrv-K라고 부르는 이 새로운 변종은 다양한 취약점을 악용해 추가적인 공격력을 발휘하고 웹 서버를 장악할 수 있다"고 말했다.

 

보안 업데이트로 모두 해결된 이러한 취약점에는 WordPress 플러그인의 오래된 취약성뿐만 아니라 CVE-2022-22947과 같은 새로운 취약점이 포함되어 있다.

 

CVE-2022-22947은 Spring Cloud Gateway 라이브러리의 코드 주입 취약점으로, 패치되지 않은 호스트에서 원격 코드를 실행하는 데 악용될 수 있다.

 

새로 추가된 기능의 일부로 Sysrv-K는 WordPress 구성 파일과 데이터베이스 자격 증명을 도용하기 위한 백업을 검색하고 나중에 웹 서버를 인수하는 데 사용되었다.

 


[그림 1. Microsoft 시큐리티 인텔리전스 팀의 트윗]

 


Alibaba Cloud(Aliyun) 보안 연구원이 2020년 12월 이후 활동하다 지난 2월 처음 발견한 이 악성코드는 지난 3월 활동이 급증한 데 이어 Lacework Labs과 Juniper Threat Labs의 보안 연구진에게도 탐지되었다.

 

그들이 관찰한 바와 같이 Sysrv는 취약한 Windows 및 Linux 기업용 서버에 대해 검색하고 Monero(XMRig) 광부 및 자체 확산 악성 프로그램 페이로드로 감염시킨다.

 

이러한 웹 서버에 침입하기 위해 봇넷은 PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, Apache Struts와 같은 웹 앱 및 데이터베이스의 결함을 이용한다.

 

경쟁 암호화폐 채굴자를 죽이고 자체 페이로드를 구축한 후, Sysrv는 감염된 서버의 다양한 위치에서 수집된 SSH 개인 키(예: bash history, ssh config, alked_hosts 파일)를 사용하여 무차별 대입 공격을 통해 네트워크를 통해 자동으로 확산된다.

 

봇넷 전파자 구성 요소는 Monero 채굴 봇 군대에 추가할 더 취약한 Windows 및 Linux 시스템에 대해 인터넷을 공격적으로 스캔할 것이다.

 

Sysrv는 원격 코드 주입 또는 악의적인 코드를 원격으로 실행할 수 있는 실행 취약점을 목표로 하는 공격을 사용하여 이들을 완전히 손상시킨다.

 

 

 

출처
https://www.bleepingcomputer.com/news/security/microsoft-sysrv-botnet-targets-windows-linux-servers-with-new-exploits/

첨부파일 첨부파일이 없습니다.
태그 Sysrv  Sysrv-K  CVE-2022-22947  Monero