Capoae Malware

Un nuovo ceppo di malware viene utilizzato nelle campagne di attacco attivo per fornire payload di cripto-mining su sistemi compromessi. La minaccia si chiamava Capoae e, secondo i risultati, Capoae è scritto utilizzando il linguaggio Go, che sta diventando una scelta popolare nei circoli dei criminali informatici grazie alle sue capacità multipiattaforma.

Come vettori iniziali di compromissione, gli attori delle minacce utilizzano nuovamente attacchi di forza bruta sistemi con credenziali deboli, sfruttando anche diverse vulnerabilità note. Più specificamente, Capoae si basa su CVE-2020-14882, un difetto di esecuzione del codice remoto (RCE) in Oracle WebLogic Server, CVE-2018-20062, un altro RCE ma questa volta in ThinkPHP. La minaccia potrebbe utilizzare anche due vulnerabilità RCE in Jenkins, tracciate come CVE-2019-1003029 e CVE-2019-1003030.

Capacità minacciose

In quanto tale, Capoae è in grado di infettare installazioni WordPress e sistemi Linux. Il payload finale consegnato ai sistemi violati è una variante XMRig che dirotterà le risorse della vittima per estrarre monete Monero, una delle criptovalute più popolari.Tuttavia, oltre al miner, vengono distribuite anche varie altre web shell. Espandono le azioni nefaste a disposizione degli attori della minaccia. Uno, ad esempio, ha il compito di raccogliere file da sistemi infetti. Viene quindi avviato un port scanner e cerca le porte aperte per facilitare l'ulteriore proliferazione del malware Capoae.

Per garantire la sua continua presenza, la minaccia è dotata di un nuovo meccanismo di persistenza. Primo, Capoae sceglierà un percorso di sistema apparentemente legittimo da un elenco di potenziali posizioni. Quindi, genererà un nuovo nome file composto da sei caratteri casuali e si copierà nella posizione selezionata. I vecchi binari del malware vengono quindi eliminati. Il passaggio finale consiste nell'iniettare un nuovo o aggiornare una voce Crontab esistente che eseguirà il file appena generato.

I sintomi tipici di un'infezione da Capoae includono l'utilizzo anomalo delle risorse di sistema, processi di sistema strani o imprevisti in esecuzione in background o artefatti non familiari lasciati sul sistema come chiavi SSH o piccoli file.