Capoae Malware

Aktif saldırı kampanyalarında, güvenliği ihlal edilmiş sistemlere kripto madenciliği yükleri sağlamak için yeni bir kötü amaçlı yazılım türü kullanılıyor. Tehdide Capoae adı verildi ve bulgulara göre Capoae, platformlar arası yetenekleri nedeniyle siber suç çevrelerinde popüler bir seçim haline gelen Go dili kullanılarak yazıldı.

İlk uzlaşma vektörleri olarak, tehdit aktörleri, zayıf kimlik bilgilerine sahip sistemlere yeniden kaba kuvvet saldırıları uygularken, aynı zamanda bilinen birkaç güvenlik açığından da yararlanır. Daha spesifik olarak, Capoae, Oracle WebLogic Server'daki bir uzaktan kod yürütme (RCE) kusuru olan CVE-2020-14882'ye, CVE-2018-20062, başka bir RCE'ye, ancak bu sefer ThinkPHP'ye güveniyor. Tehdit, Jenkins'te CVE-2019-1003029 ve CVE-2019-1003030 olarak izlenen iki RCE güvenlik açığını da kullanıyor olabilir.

Tehdit Edici Yetenekler

Bu nedenle Capoae, WordPress kurulumlarına ve Linux sistemlerine bulaşabilir. İhlal edilen sistemlere teslim edilen son yük, daha popüler kripto para birimlerinden biri olan Monero madeni paraları için kurbanın kaynaklarını ele geçirecek bir XMRig çeşididir.Bununla birlikte, madencinin yanı sıra, çeşitli diğer web kabukları da konuşlandırılır. Tehdit aktörleri için mevcut olan hain eylemleri genişletirler. Örneğin biri, virüslü sistemlerden dosya toplamakla görevlendirilmiştir. Ardından bir bağlantı noktası tarayıcısı başlatılır ve Capoae kötü amaçlı yazılımının daha da yayılmasını kolaylaştırmak için açık bağlantı noktaları arar.

Devamlı varlığını sağlamak için, tehdit yeni bir kalıcılık mekanizması ile donatılmıştır. İlk olarak, Capoae, olası konumlar listesinden görünüşte meşru bir sistem yolu seçecektir. Ardından, rastgele altı karakterden oluşan yeni bir dosya adı oluşturacak ve kendisini seçilen konuma kopyalayacaktır. Kötü amaçlı yazılımın eski ikili dosyaları daha sonra silinir. Son adım, yeni oluşturulan dosyayı yürütecek yeni bir Crontab girişi eklemek veya mevcut bir Crontab girişini güncellemektir.

Bir Capoae enfeksiyonunun tipik belirtileri arasında sistem kaynaklarının anormal kullanımı, arka planda çalışan garip veya beklenmeyen sistem işlemleri veya sistemde SSH anahtarları veya küçük dosyalar gibi bilinmeyen yapay nesneler bulunur.