Threat Database Malware Capoae 惡意軟件

Capoae 惡意軟件

一種新的惡意軟件被用於主動攻擊活動,以將加密挖掘有效載荷傳送到受感染的系統上。該威脅被命名為 Capoae,根據調查結果,Capoae 是使用 Go 語言編寫的,由於其跨平台功能,Go 語言正成為網絡犯罪圈的熱門選擇。

作為入侵的初始載體,威脅行為者再次使用具有弱憑據的系統進行暴力攻擊,同時還利用了幾個已知漏洞。更具體地說,Capoae 依賴 CVE-2020-14882,這是 Oracle WebLogic Server 中的一個遠程代碼執行 (RCE) 缺陷,CVE-2018-20062,另一個 RCE,但這次是在 ThinkPHP 中。該威脅可能還利用了 Jenkins 中的兩個 RCE 漏洞,它們被跟踪為 CVE-2019-1003029 和 CVE-2019-1003030。

威脅能力

因此,Capoae 能夠感染 WordPress 安裝和 Linux 系統。傳送到受攻擊系統的最終有效載荷是 XMRig 變體,它將劫持受害者的資源以挖掘門羅幣,這是一種更流行的加密貨幣。然而,除了礦工之外,還部署了各種其他 web shell。它們擴大了威脅行為者可用的惡意行為。例如,一個任務是從受感染的系統中收集文件。然後啟動端口掃描程序並尋找開放端口以促進 Capoae 惡意軟件的進一步擴散。

為確保其持續存在,該威脅配備了一種新穎的持久性機制。首先,Capoae 將從潛在位置列表中選擇一條看似合法的系統路徑。然後,它將生成一個由六個隨機字符組成的新文件名,並將其自身複製到所選位置。然後刪除惡意軟件的舊二進製文件。最後一步是注入新的或更新將執行新生成的文件的現有 Crontab 條目。

Capoae 感染的典型症狀包括系統資源的異常使用、在後台運行的奇怪或意外的系統進程,或者係統上留下不熟悉的工件,例如 SSH 密鑰或小文件。

熱門

最受關注

加載中...