카포에 악성코드

새로운 맬웨어 변종은 손상된 시스템에 크립토 마이닝 페이로드를 전달하기 위해 적극적인 공격 캠페인에 사용되고 있습니다. 위협의 이름은 Capoae로 지정되었으며 조사 결과에 따르면 Capoae는 Go 언어를 사용하여 작성되었으며 크로스 플랫폼 기능으로 인해 사이버 범죄자들에게 인기 있는 선택이 되고 있습니다.

초기 침해 벡터로 위협 행위자는 약한 자격 증명을 가진 시스템에 무차별 대입 공격을 다시 사용하는 동시에 몇 가지 알려진 취약성을 악용합니다. 보다 구체적으로, Capoae는 Oracle WebLogic Server의 원격 코드 실행(RCE) 결함인 CVE-2020-14882, CVE-2018-20062, ThinkPHP의 또 다른 RCE에 의존합니다. 위협은 CVE-2019-1003029 및 CVE-2019-1003030으로 추적되는 Jenkins의 두 가지 RCE 취약성을 활용하고 있을 수 있습니다.

위협적인 능력

따라서 Capoae는 WordPress 설치 및 Linux 시스템을 감염시킬 수 있습니다. 침해된 시스템에 전달된 최종 페이로드는 피해자의 리소스를 하이재킹하여 가장 인기 있는 암호화폐 중 하나인 Monero 코인을 채굴 하는 XMRig 변종입니다.그러나 광부와 함께 다양한 다른 웹 셸도 배포됩니다. 위협 행위자가 사용할 수 있는 사악한 행동을 확장합니다. 예를 들어 하나는 감염된 시스템에서 파일을 수집하는 작업입니다. 그런 다음 포트 스캐너가 시작되고 Capoae 악성코드의 추가 확산을 촉진하기 위해 열린 포트를 찾습니다.

지속적인 존재를 보장하기 위해 위협은 새로운 지속성 메커니즘을 갖추고 있습니다. 첫째, Capoae는 잠재적 위치 목록에서 겉보기에 합법적인 시스템 경로를 선택합니다. 그런 다음 6개의 임의 문자로 구성된 새 파일 이름을 생성하고 선택한 위치에 자신을 복사합니다. 그런 다음 맬웨어의 이전 바이너리가 삭제됩니다. 마지막 단계는 새로 생성된 파일을 실행할 기존 Crontab 항목을 새로 삽입하거나 업데이트하는 것입니다.

Capoae 감염의 일반적인 증상으로는 시스템 리소스의 비정상적인 사용, 백그라운드에서 실행 중인 이상하거나 예기치 않은 시스템 프로세스, SSH 키 또는 작은 파일과 같이 시스템에 남아 있는 익숙하지 않은 아티팩트 등이 있습니다.