Capoae 恶意软件在 WordPress 网站上安装后门插件

Akamai 专家 Capoae 恶意软件渗透到 WordPress 网站, 安装一个带有后门的插件, 然后使用系统挖掘加密货币.

专家 拉里·卡什多拉 警告 此类恶意软件的主要策略是通过易受攻击的系统进行传播, 以及破解不可靠的管理员凭据. 恶意软件 Keshdollar 的研究样本名为 卡波埃.

ASCII码

下载监控

该恶意软件通过带有后门的下载监控插件传送给运行 WordPress 的主机, 成功暴力破解凭据后,哪些网络犯罪分子会在网站上安装.

攻击还涉及部署一个 二进制转 Golang, 通过 GET 请求检索混淆的有效负载, 恶意插件对攻击者域的影响.

恶意软件还可以解密和执行其他有效载荷: 基本上, Golang 二进制文件利用了各种 RCE 漏洞 甲骨文 网络逻辑服务器 (CVE-2020-14882), 无Cms (CVE-2018-20062) 和詹金斯 (CVE-2019-1003029CVE-2019-1003030) 为了暴力破解,不仅要进入系统并最终启动 XMRig 矿工.

攻击者不会忘记他们需要在不被注意的情况下采取行动. 去做这个, 他们使用磁盘上最可疑的路径和可以找到真实系统文件的目录, 并创建一个随机六位数名称的文件, 然后复制到另一个位置 (在执行后删除恶意软件之前).

在 Capoae 活动中使用多个漏洞和策略强调了操作员的认真程度 [这个恶意软件] 打算在尽可能多的系统中立足. 好消息是,我们为大多数组织推荐的相同安全方法在这里仍然有效. 不要对部署在那里的服务器或应用程序使用弱凭据或默认凭据. 确保使用最新的安全修复程序使您的应用程序保持最新状态并不时检查它们专家总结.

让我提醒你,我也写过 研究人员警告新的 DarkRadiation 勒索软件.

赫尔加·史密斯

我一直对计算机科学感兴趣, 特别是数据安全和主题, 现在被称为 "数据科学", 从我十几岁起. 在加入病毒清除团队担任主编之前, 我曾在多家公司担任网络安全专家, 包括亚马逊的一名承包商. 另一种体验: 我在雅顿大学和雷丁大学任教.

发表评论

本网站使用的Akismet,以减少垃圾邮件. 了解您的意见如何处理数据.

返回顶部按钮