Capoae Malware

Nowa odmiana złośliwego oprogramowania jest wykorzystywana w aktywnych kampaniach ataków, aby dostarczać ładunki wydobywające kryptowaluty do zaatakowanych systemów. Zagrożenie nazwano Capoae i zgodnie z ustaleniami, Capoae jest napisane w języku Go, który staje się popularnym wyborem w kręgach cyberprzestępców ze względu na jego możliwości międzyplatformowe.

Jako początkowe wektory włamań cyberprzestępcy wykorzystują ataki siłowe na systemy o słabych danych uwierzytelniających, wykorzystując jednocześnie kilka znanych luk w zabezpieczeniach. Mówiąc dokładniej, Capoae opiera się na CVE-2020-14882, błędzie zdalnego wykonania kodu (RCE) w Oracle WebLogic Server, CVE-2018-20062, innym RCE, tym razem w ThinkPHP. Zagrożenie może również wykorzystywać dwie luki RCE w Jenkins, które są śledzone jako CVE-2019-1003029 i CVE-2019-1003030.

Zdolności grożące

W związku z tym Capoae jest w stanie infekować instalacje WordPress i systemy Linux. Ostateczny ładunek dostarczony do złamanych systemów to wariant XMRig, który przejmie zasoby ofiary w celu wydobycia monet Monero, jednej z bardziej popularnych kryptowalut.Jednak oprócz górnika wdrażane są również różne inne powłoki sieciowe. Rozszerzają nikczemne działania dostępne dla cyberprzestępców. Jednym z nich jest na przykład zbieranie plików z zainfekowanych systemów. Następnie inicjowany jest skaner portów, który szuka otwartych portów, aby ułatwić dalszą proliferację złośliwego oprogramowania Capoae.

Aby zapewnić jego ciągłą obecność, zagrożenie jest wyposażone w nowatorski mechanizm trwałości. Po pierwsze, Capoae wybierze pozornie uzasadnioną ścieżkę systemową z listy potencjalnych lokalizacji. Następnie wygeneruje nową nazwę pliku składającą się z sześciu losowych znaków i skopiuje się do wybranej lokalizacji. Stare pliki binarne złośliwego oprogramowania są następnie usuwane. Ostatnim krokiem jest wstrzyknięcie nowego lub zaktualizowanie istniejącego wpisu Crontab, który uruchomi nowo wygenerowany plik.

Typowe objawy infekcji Capoae obejmują nieprawidłowe wykorzystanie zasobów systemowych, dziwne lub nieoczekiwane procesy systemowe działające w tle lub nieznane artefakty pozostawione w systemie, takie jak klucze SSH lub małe pliki.