【安全资讯】Sysrv-hello僵尸网络最新版新增5种攻击能力

近日，研究人员监测到Sysrv-hello僵尸网络近期十分活跃，该僵尸网络具备木马、后门、蠕虫等多种恶意软件的综合攻击能力。Sysrv-hello僵尸网络于2020年12月首次披露，腾讯安全曾在今年1月发现该团伙使用Weblogic远程代码执行漏洞（CVE-2020-14882）攻击传播，本月该团伙再次升级攻击手法：新增5种攻击能力，已观察到失陷主机数量呈上升趋势。其入侵方式覆盖到多数政企单位。

Sysrv-hello僵尸网络木马当前版本更新较大：更新基础设施，新增端口反调试；

l  传统攻击手法保留：Mysql爆破、Tomcat爆破、Weblogic漏洞利用、Nexus弱口令命令执行漏洞利用；

l  新增5种攻击方式：Jupyter弱口令爆破、WordPress 弱口令爆破、Jenkins弱口令爆破、Redis未授权写入计划任务、Apache Solr命令执行漏洞攻击。

l  入侵成功后拉取sysrv蠕虫扩散模块，每5分钟随机扫描探测新攻击目标；

l  投递载荷：门罗币挖矿木马kthreaddi。

Sysrv-hello僵尸网络攻击目标同时覆盖Linux和Windows操作系统，最终利用失陷主机挖矿，会大量消耗主机CPU资源，严重影响主机正常服务运行，该僵尸网络还会利用已失陷主机继续扫描攻击其他目标。感染流程如下：