Sysrv-こんにちはボットネット

Sysrv-helloボットネットは、最近発見されたボットネットであり、暗号マイニングスレーブマシンに追加する脆弱なLinuxおよびWindowsエンタープライズサーバーを探しています。脅威の犠牲者には、Jira、Oracle WebLogic、PHPUnit、Apache Solar、Confluence、JBoss、Laravel、Sonatype、ApacheStrutsがあります。ほとんどの暗号マイニングボットネットと同様に、Sysrv-helloは、感染したシステムのハードウェアリソースをハイジャックしてMoneroコインを生成するバージョンのXMRigマイナーも展開します。

比較的新しい脅威であるにもかかわらず、Sysrv-helloボットネットにはすでにいくつかの重要な更新と変更があります。当初、脅威は、個別のマイニングおよび伝播（ワーム）コンポーネントを備えたモジュール式の性質を持っていました。ただし、最新のサンプルには、両方の機能を実行できる単一のバイナリが含まれています。

初期の妥協ベクトル

Sysrv-helloが自分自身を拡散するために悪用した脆弱性もアップグレードされました。脅威の最新の亜種は、標的となるシステムへの初期アクセスを取得するために、6つの特定の脆弱性に依存しています。

• Mongo Express RCE（CVE-2019-10758）
• XML-RPC（CVE-2017-11610）
• ソルトスタックRCE（CVE-2020-16846）
• Drupal Ajax RCE（CVE-2018-7600）
• ThinkPHP RCE（CVEなし）
• XXL-JOB Unauth RCE（CVEなし）

サーバーに足場を築いた後、Sysrv-helloは、競合するクリプトマイナーが存在する場合はそれを強制終了し、独自のマイナーを開始して、侵害されたネットワーク全体に拡散します。横方向に移動するために、ボットネットは感染したサーバーから秘密のSSHキーを収集し、それらを使用してブルートフォース攻撃を開始します。

Infosecの研究者は、Sysrv-helloボットネットによって生成されたMoneroコインを保持するために使用される暗号ウォレットの1つを特定することができました。そこに保存されている合計はそれほど印象的ではありません-12XMR（Monero）を少し超える、または約4000ドルですが、暗号マイニングボットネットは通常複数のそのようなウォレットを採用しているため、ハッカーの総利益は大幅に高くなる可能性があります。