Capoae 恶意软件

一种新的恶意软件被用于主动攻击活动，以将加密挖掘有效载荷传送到受感染的系统上。该威胁被命名为 Capoae，根据调查结果，Capoae 是使用 Go 语言编写的，由于其跨平台功能，Go 语言正成为网络犯罪圈的流行选择。

作为入侵的初始载体，威胁行为者再次使用具有弱凭据的系统进行暴力攻击，同时还利用了几个已知漏洞。更具体地说，Capoae 依赖 CVE-2020-14882，这是 Oracle WebLogic Server 中的一个远程代码执行 (RCE) 缺陷，CVE-2018-20062，另一个 RCE，但这次是在 ThinkPHP 中。该威胁可能还利用了 Jenkins 中的两个 RCE 漏洞，它们被跟踪为 CVE-2019-1003029 和 CVE-2019-1003030。

威胁能力

因此，Capoae 能够感染 WordPress 安装和 Linux 系统。交付到受攻击系统的最终有效载荷是 XMRig 变体，它将劫持受害者的资源以挖掘门罗币，这是一种更流行的加密货币。然而，除了矿工之外，还部署了各种其他 web shell。它们扩大了威胁行为者可用的恶意行为。例如，一个任务是从受感染的系统中收集文件。然后启动端口扫描程序并寻找开放端口以促进 Capoae 恶意软件的进一步扩散。

为确保其持续存在，该威胁配备了一种新颖的持久性机制。首先，Capoae 将从潜在位置列表中选择一条看似合法的系统路径。然后，它将生成一个由六个随机字符组成的新文件名，并将其自身复制到所选位置。然后删除恶意软件的旧二进制文件。最后一步是注入新的或更新将执行新生成的文件的现有 Crontab 条目。

Capoae 感染的典型症状包括系统资源的异常使用、在后台运行的奇怪或意外的系统进程，或者系统上留下不熟悉的工件，例如 SSH 密钥或小文件。