Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Malware Capoae-malware

Capoae-malware

Tegen Mezo in Malware
Vertalen naar:
Nederlands

Een nieuwe malwarestam wordt gebruikt in actieve aanvalscampagnes om cryptomining-payloads op gecompromitteerde systemen te leveren. De dreiging heette Capoae en volgens de bevindingen is Capoae geschreven in de Go-taal, die een populaire keuze wordt in cybercriminele kringen vanwege de platformonafhankelijke mogelijkheden.

Als eerste vectoren van compromis gebruiken de dreigingsactoren opnieuw brute-force-aanvallen op systemen met zwakke referenties, terwijl ze ook verschillende bekende kwetsbaarheden uitbuiten. Meer specifiek vertrouwt Capoae op CVE-2020-14882, een remote code execution (RCE)-fout in Oracle WebLogic Server, CVE-2018-20062, een andere RCE maar deze keer in ThinkPHP. De dreiging maakt mogelijk ook gebruik van twee RCE-kwetsbaarheden in Jenkins die worden gevolgd als CVE-2019-1003029 en CVE-2019-1003030.

Dreigende mogelijkheden

Als zodanig is Capoae in staat om WordPress-installaties en Linux-systemen te infecteren. De laatste lading die aan de gehackte systemen wordt geleverd, is een XMRig- variant die de bronnen van het slachtoffer zal kapen om te minen voor Monero-munten, een van de meer populaire cryptocurrencies.Naast de miner worden echter ook verschillende andere webshells ingezet. Ze breiden de snode acties uit die beschikbaar zijn voor de dreigingsactoren. Een daarvan is bijvoorbeeld belast met het verzamelen van bestanden van geïnfecteerde systemen. Een poortscanner wordt vervolgens gestart en zoekt naar open poorten om de verdere verspreiding van de Capoae-malware te vergemakkelijken.

Om zijn voortdurende aanwezigheid te verzekeren, is de dreiging uitgerust met een nieuw persistentiemechanisme. Eerst kiest Capoae een schijnbaar legitiem systeempad uit een lijst met mogelijke locaties. Vervolgens genereert het een nieuwe bestandsnaam bestaande uit zes willekeurige tekens en kopieert het zichzelf naar de geselecteerde locatie. De oude binaire bestanden van de malware worden vervolgens verwijderd. De laatste stap is om ofwel een nieuwe te injecteren of een bestaande Crontab-vermelding bij te werken die het nieuw gegenereerde bestand zal uitvoeren.

Typische symptomen van een Capoae-infectie zijn onder meer abnormaal gebruik van systeembronnen, vreemde of onverwachte systeemprocessen die op de achtergrond worden uitgevoerd of onbekende artefacten die op het systeem achterblijven, zoals SSH-sleutels of kleine bestanden.

Trending

Meest bekeken

Bezig met laden...