Το κακόβουλο λογισμικό Capoae εγκαθιστά ένα πρόσθετο backdoor σε ιστότοπους WordPress

Ειδικοί Akamai γράφω ότι το κακόβουλο λογισμικό Capoae διεισδύει σε ιστότοπους WordPress, εγκαθιστά ένα plugin με μια πίσω πόρτα πάνω τους, και στη συνέχεια χρησιμοποιεί το σύστημα για εξόρυξη κρυπτονομίσματος.

Ειδικός Λάρι Κάσντολαρ προειδοποιεί ότι η κύρια τακτική ενός τέτοιου κακόβουλου λογισμικού εξαπλώνεται μέσω ευάλωτων συστημάτων, καθώς και το σπάσιμο αναξιόπιστων διαπιστευτηρίων διαχειριστή. Το μελετημένο δείγμα του κακόβουλου λογισμικού που ονομάζεται Keshdollar Capoae.

ASCII

λήψη-οθόνη

Αυτό το κακόβουλο λογισμικό παραδίδεται σε κεντρικούς υπολογιστές με WordPress μέσω της προσθήκης λήψης-οθόνης με μια πίσω πόρτα, που εγκληματίες στον κυβερνοχώρο εγκαθιστούν σε ιστότοπους μετά από επιτυχημένα διαπιστευτήρια βίαιης επιβολής.

Η επίθεση περιλαμβάνει επίσης την ανάπτυξη ενός δυαδικό στο Golang, μέσω του οποίου το ασαφές ωφέλιμο φορτίο ανακτάται μέσω αιτήματος GET, που κάνει το κακόβουλο πρόσθετο στον τομέα του εισβολέα.

Το κακόβουλο λογισμικό μπορεί επίσης να αποκρυπτογραφήσει και να εκτελέσει άλλα ωφέλιμα φορτία: βασικα, το δυαδικό Golang εκμεταλλεύεται διάφορες ευπάθειες RCE στο Μαντείο Διακομιστής WebLogic (CVE-2020-14882), NoneCms (CVE-2018-20062) και Τζένκινς (CVE-2019-1003029 και CVE-2019-1003030) προκειμένου να ωθήσει τη δύναμη και όχι μόνο να εισέλθει στο σύστημα και τελικά να ξεκινήσει το σύστημα XMRig μεταλλωρύχος.

Οι επιτιθέμενοι δεν ξεχνούν ότι πρέπει να ενεργήσουν απαρατήρητοι. Για να το κάνω αυτό, χρησιμοποιούν τις πιο ύποπτες διαδρομές στο δίσκο και καταλόγους όπου μπορούν να βρεθούν πραγματικά αρχεία συστήματος, και επίσης να δημιουργήσετε ένα αρχείο με τυχαίο εξαψήφιο όνομα, το οποίο στη συνέχεια αντιγράφεται σε άλλη θέση (πριν διαγράψετε το κακόβουλο λογισμικό μετά την εκτέλεση).

Η χρήση πολλαπλών τρωτών σημείων και τακτικών στην καμπάνια Capoae υπογραμμίζει πόσο σοβαρά είναι οι χειριστές [αυτού του κακόβουλου λογισμικού] σκοπεύουν να αποκτήσουν βάση σε όσο το δυνατόν περισσότερα συστήματα. Τα καλά νέα είναι ότι οι ίδιες μέθοδοι ασφάλειας που προτείνουμε για τους περισσότερους οργανισμούς εξακολουθούν να λειτουργούν εδώ. Μην χρησιμοποιείτε αδύναμα ή προεπιλεγμένα διαπιστευτήρια για διακομιστές ή εφαρμογές που αναπτύσσονται εκεί. Βεβαιωθείτε ότι έχετε ενημερωμένες τις εφαρμογές σας με τις πιο πρόσφατες επιδιορθώσεις ασφαλείας και ελέγξτε τις κατά καιρούςσυνοψίζει ο ειδικός.

Επιτρέψτε μου να σας υπενθυμίσω ότι το έγραψα και αυτό Οι ερευνητές προειδοποίησαν για νέο ransomware DarkRadiation.

Helga Smith

Ενδιαφέρομαι πάντα για τις επιστήμες των υπολογιστών, ειδικά την ασφάλεια δεδομένων και το θέμα, που ονομάζεται σήμερα "επιστημονικά δεδομένα", από τα πρώτα μου χρόνια. Πριν μπείτε στην ομάδα κατάργησης ιών ως αρχισυντάκτης, Εργάστηκα ως ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο σε πολλές εταιρείες, συμπεριλαμβανομένου ενός από τους εργολάβους της Amazon. Μια άλλη εμπειρία: Έχω διδάξει σε πανεπιστήμια Arden και Reading.

Αφήστε μια απάντηση

Αυτό το site χρησιμοποιεί Akismet να μειώσει το spam. Μάθετε πώς γίνεται επεξεργασία των δεδομένων σας σχόλιο.

Κουμπί Επιστροφή στην κορυφή