Capoae 恶意软件在 WordPress 网站上安装后门插件
Akamai 专家 写 Capoae 恶意软件渗透到 WordPress 网站, 安装一个带有后门的插件, 然后使用系统挖掘加密货币.
专家 拉里·卡什多拉 警告 此类恶意软件的主要策略是通过易受攻击的系统进行传播, 以及破解不可靠的管理员凭据. 恶意软件 Keshdollar 的研究样本名为 卡波埃.
该恶意软件通过带有后门的下载监控插件传送给运行 WordPress 的主机, 成功暴力破解凭据后,哪些网络犯罪分子会在网站上安装.
攻击还涉及部署一个 二进制转 Golang, 通过 GET 请求检索混淆的有效负载, 恶意插件对攻击者域的影响.
恶意软件还可以解密和执行其他有效载荷: 基本上, Golang 二进制文件利用了各种 RCE 漏洞 甲骨文 网络逻辑服务器 (CVE-2020-14882), 无Cms (CVE-2018-20062) 和詹金斯 (CVE-2019-1003029 和 CVE-2019-1003030) 为了暴力破解,不仅要进入系统并最终启动 XMRig 矿工.
攻击者不会忘记他们需要在不被注意的情况下采取行动. 去做这个, 他们使用磁盘上最可疑的路径和可以找到真实系统文件的目录, 并创建一个随机六位数名称的文件, 然后复制到另一个位置 (在执行后删除恶意软件之前).
在 Capoae 活动中使用多个漏洞和策略强调了操作员的认真程度 [这个恶意软件] 打算在尽可能多的系统中立足. 好消息是,我们为大多数组织推荐的相同安全方法在这里仍然有效. 不要对部署在那里的服务器或应用程序使用弱凭据或默认凭据. 确保使用最新的安全修复程序使您的应用程序保持最新状态并不时检查它们专家总结.
让我提醒你,我也写过 研究人员警告新的 DarkRadiation 勒索软件.