Threat Database Malware Capoae Malware

Capoae Malware

Новый штамм вредоносного ПО используется в кампаниях активных атак для доставки полезных данных крипто-майнинга на скомпрометированные системы. Угроза получила название Capoae, и, согласно выводам, Capoae написан на языке Go, который становится популярным в кругах киберпреступников из-за его кроссплатформенных возможностей.

В качестве начальных векторов компрометации злоумышленники снова используют системы грубой силы со слабыми учетными данными, а также используют несколько известных уязвимостей. В частности, Capoae полагается на CVE-2020-14882, ошибку удаленного выполнения кода (RCE) в Oracle WebLogic Server, CVE-2018-20062, еще один RCE, но на этот раз в ThinkPHP. Угроза также может использовать две уязвимости RCE в Jenkins, которые отслеживаются как CVE-2019-1003029 и CVE-2019-1003030.

Угрожающие возможности

Таким образом, Capoae может заражать установки WordPress и системы Linux. Последней полезной нагрузкой, доставленной в взломанные системы, является вариант XMRig, который захватывает ресурсы жертвы для добычи монет Monero, одной из наиболее популярных криптовалют.Однако наряду с майнером также развертываются различные другие веб-оболочки. Они расширяют гнусные действия, доступные злоумышленникам. Один, например, занимается сбором файлов из зараженных систем. Затем запускается сканер портов, который ищет открытые порты, чтобы способствовать дальнейшему распространению вредоносного ПО Capoae.

Чтобы обеспечить постоянное присутствие, угроза оснащена новым механизмом устойчивости. Во-первых, Capoae выберет кажущийся законным системный путь из списка потенциальных мест. Затем он сгенерирует новое имя файла, состоящее из шести случайных символов, и скопирует себя в выбранное место. Затем старые двоичные файлы вредоносного ПО удаляются. Последний шаг - либо внедрить новую, либо обновить существующую запись Crontab, которая будет выполнять только что сгенерированный файл.

Типичные симптомы заражения Capoae включают ненормальное использование системных ресурсов, странные или неожиданные системные процессы, работающие в фоновом режиме, или незнакомые артефакты, оставленные в системе, такие как ключи SSH или небольшие файлы.

В тренде

Наиболее просматриваемые

Загрузка...