微软表示，Sysrv 僵尸网络现在正在利用 Spring Framework 和 WordPress 中的漏洞，在易受攻击的 Windows 和 Linux 服务器上诱捕和部署加密恶意软件。

Redmond 发现了一个新变体（跟踪为 Sysrv-K），该变体已升级为具有更多功能，包括扫描未修补的 WordPress 和 Spring 部署。

微软安全情报团队在 Twitter 线程中表示，“我们称之为 Sysrv-K 的新变种具有额外的漏洞，并且可以通过利用各种漏洞来控制 Web 服务器” 。

“这些漏洞都已通过安全更新解决，包括 WordPress 插件中的旧漏洞，以及 CVE-2022-22947 等较新的漏洞。”

CVE-2022-22947 是 Spring Cloud Gateway 库中的一个代码注入漏洞，可被滥用以在未打补丁的主机上远程执行代码。

作为这些新增功能的一部分，Sysrv-K 扫描 WordPress 配置文件及其备份以窃取数据库凭据，后来用于接管网络服务器。

与较旧的变体一样，Sysrv-K 扫描 SSH 密钥、IP 地址和主机名，然后尝试通过 SSH 连接到网络中的其他系统以部署自身的副本。这可能会使网络的其余部分面临成为 Sysrv-K 僵尸网络一部分的风险。

— 微软安全情报 (@MsftSecIntel) 2022 年 5 月 13 日
自 2020 年 12 月以来一直活跃，阿里云 (Aliyun) 安全研究人员于 2 月 首次发现 该恶意软件， 继 3 月活动激增后，该恶意软件也引起了Lacework Labs 和 瞻博网络威胁实验室安全研究人员的关注。

正如他们所观察到的，Sysrv 正在 互联网上扫描易受攻击的 Windows 和 Linux 企业服务器 ，并用 Monero (XMRig) 矿工和自我传播恶意软件有效负载感染它们。

为了侵入这些 Web 服务器，僵尸网络利用了 Web 应用程序和数据库中的缺陷，例如 PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、Oracle WebLogic 和 Apache Struts。

在杀死竞争的加密货币矿工并部署自己的有效负载后，Sysrv 还使用从受感染服务器上不同位置收集的 SSH 私钥（例如，bash 历史记录、ssh 配置和 known_hosts 文件）通过暴力攻击自动传播到网络上。

僵尸网络传播器组件将积极扫描互联网以寻找更易受攻击的 Windows 和 Linux 系统，以添加到其门罗币挖矿机器人大军中。
Sysrv 使用针对远程代码注入或执行漏洞的漏洞来完全破坏它们，从而使其能够远程执行恶意代码。