Capoae 惡意軟件在 WordPress 網站上安裝後門插件
Akamai 專家 寫 Capoae 惡意軟件滲透到 WordPress 網站, 安裝一個帶有後門的插件, 然後使用系統挖掘加密貨幣.
專家 拉里·卡什多拉 警告 此類惡意軟件的主要策略是通過易受攻擊的系統進行傳播, 以及破解不可靠的管理員憑據. 惡意軟件 Keshdollar 的研究樣本名為 卡波埃.
該惡意軟件通過帶有後門的下載監控插件傳送給運行 WordPress 的主機, 成功暴力破解憑據後,哪些網絡犯罪分子會在網站上安裝.
攻擊還涉及部署一個 二進制轉 Golang, 通過 GET 請求檢索混淆的有效負載, 惡意插件對攻擊者域的影響.
惡意軟件還可以解密和執行其他有效載荷: 基本上, Golang 二進製文件利用了各種 RCE 漏洞 甲骨文 網絡邏輯服務器 (CVE-2020-14882), 無Cms (CVE-2018-20062) 和詹金斯 (CVE-2019-1003029 和 CVE-2019-1003030) 為了暴力破解,不僅要進入系統並最終啟動 XMRig 礦工.
攻擊者不會忘記他們需要在不被注意的情況下採取行動. 去做這個, 他們使用磁盤上最可疑的路徑和可以找到真實係統文件的目錄, 並創建一個隨機六位數名稱的文件, 然後復製到另一個位置 (在執行後刪除惡意軟件之前).
在 Capoae 活動中使用多個漏洞和策略強調了操作員的認真程度 [這個惡意軟件] 打算在盡可能多的系統中立足. 好消息是,我們為大多數組織推薦的相同安全方法在這裡仍然有效. 不要對部署在那裡的服務器或應用程序使用弱憑據或默認憑據. 確保使用最新的安全修復程序使您的應用程序保持最新狀態並不時檢查它們專家總結.
讓我提醒你,我也寫過 研究人員警告新的 DarkRadiation 勒索軟件.