Capoae Malware

En ny malware-stamme bruges i aktive angrebskampagner til at levere nyttelast fra kryptomining til kompromitterede systemer. Truslen blev navngivet Capoae, og ifølge resultaterne er Capoae skrevet ved hjælp af Go-sproget, som er ved at blive et populært valg i cyberkriminelle kredse på grund af dets cross-platform kapaciteter.

Som indledende kompromisvektorer anvender trusselsaktørerne brute-force-angreb igen systemer med svage legitimationsoplysninger, samtidig med at de udnytter flere kendte sårbarheder. Mere specifikt er Capoae afhængig af CVE-2020-14882, en fejl i kodeudførelse (RCE) i Oracle WebLogic Server, CVE-2018-20062, en anden RCE, men denne gang i ThinkPHP. Truslen kan også være at udnytte to RCE-sårbarheder i Jenkins, der spores som CVE-2019-1003029 og CVE-2019-1003030.

Truende muligheder

Som sådan er Capoae i stand til at inficere WordPress -installationer og Linux -systemer. Den endelige nyttelast, der leveres til de overtrådte systemer, er en XMRig -variant, der vil kapre offerets ressourcer til at udvinde Monero -mønter, en af de mere populære kryptokurver.Men ved siden af minearbejderen er der også implementeret forskellige andre webskaller. De udvider de frygtelige handlinger, der er tilgængelige for trusselsaktørerne. Den ene har for eksempel til opgave at indsamle filer fra inficerede systemer. En portscanner startes derefter og leder efter åbne porte for at lette den yderligere spredning af Capoae -malware.

For at sikre dens fortsatte tilstedeværelse er truslen udstyret med en ny persistensmekanisme. For det første vil Capoae vælge en tilsyneladende legitim systemsti fra en liste over potentielle placeringer. Derefter vil det generere et nyt filnavn bestående af seks tilfældige tegn og kopiere sig selv til det valgte sted. De gamle binærfiler i malware slettes derefter. Det sidste trin er enten at injicere en ny eller opdatere en eksisterende Crontab -post, der vil udføre den nyoprettede fil.

Typiske symptomer på en Capoae -infektion omfatter unormal brug af systemressourcer, mærkelige eller uventede systemprocesser, der kører i baggrunden, eller ukendte artefakter, der er tilbage på systemet, såsom SSH -nøgler eller små filer.