CapoaeマルウェアはWordPressサイトにバックドアプラグインをインストールします
アカマイの専門家 書く CapoaeマルウェアがWordPressサイトに侵入すること, バックドア付きのプラグインをインストールします, 次に、システムを使用して暗号通貨をマイニングします.
エキスパート ラリー・キャッシュダラー 警告 そのようなマルウェアの主な戦術は脆弱なシステム全体に広がっていること, 信頼できない管理者の資格情報を解読するだけでなく. Keshdollarという名前のマルウェアの調査サンプル カポエ.
このマルウェアは、バックドア付きのダウンロードモニタープラグインを介してWordPressを実行しているホストに配信されます, 総当たり攻撃に成功した後、どのサイバー犯罪者がサイトにインストールするか.
攻撃には、展開も含まれます Golangのバイナリ, これにより、難読化されたペイロードがGETリクエストを介して取得されます, 悪意のあるプラグインが攻撃者のドメインに作成する.
マルウェアは他のペイロードを復号化して実行することもできます: 基本的に, Golangバイナリは、さまざまなRCEの脆弱性を悪用します。 オラクル WebLogic Server (CVE-2020-14882), NoneCms (CVE-2018-20062) とジェンキンス (CVE-2019-1003029 そして CVE-2019-1003030) 総当たり攻撃を行い、システムに侵入して最終的に起動するだけではありません。 XMRig 鉱夫.
攻撃者は気づかれずに行動する必要があることを忘れないでください. これをする, 実際のシステムファイルが見つかるディスクとディレクトリで最も疑わしいパスを使用します, また、ランダムな6桁の名前でファイルを作成します, その後、別の場所にコピーされます (実行後にマルウェアを削除する前).
Capoaeキャンペーンでの複数の脆弱性と戦術の使用は、オペレーターがどれほど真剣に取り組んでいるかを強調しています [このマルウェアの] できるだけ多くのシステムで足場を築くつもりです. 幸いなことに、ほとんどの組織に推奨されているのと同じセキュリティ方法が引き続きここで機能します。. そこにデプロイされているサーバーまたはアプリケーションに弱いクレデンシャルまたはデフォルトのクレデンシャルを使用しないでください. アプリケーションを最新のセキュリティ修正で最新の状態に保ち、時々チェックしてください専門家は要約します.
私もそう書いたことを思い出させてください 研究者は新しいDarkRadiationランサムウェアについて警告しました.
