Nový malvér Capoae preniká na stránky WordPress a inštaluje backdoored Plugin

Nedávno objavená vlna malvérových útokov bola spozorovaná pomocou rôznych taktík na zotročenie náchylných strojov s ľahko uhádnuteľnými administratívnymi povereniami na ich kooptovanie do siete s cieľom nelegálne ťažiť kryptomenu.

“Primárnou taktikou malvéru je šíriť sa využívaním zraniteľných systémov a slabých administratívnych poverení. Po infikovaní sa tieto systémy použijú na ťažbu kryptomien,” uviedol výskumník z Akamai Larry Cashdollar vo svojom príspevku zverejnenom minulý týždeň. .

Malvér PHP – s kódovým označením „Capoae“ (skratka pre „Сканирование“, ruské slovo pre „Skenovanie“) – sa údajne doručuje hostiteľom prostredníctvom doplnkového doplnku WordPress s názvom „download-monitor“, ktorý sa nainštaluje. po úspešnom brutálnom vynútení poverení správcu WordPress. Útoky zahŕňajú aj nasadenie golangovskej binárky s funkciou dešifrovania, pričom zahmlené užitočné údaje sa získavajú pomocou trojanizovaného doplnku na odoslanie požiadavky GET z domény kontrolovanej aktérom.

Zahrnutá je aj funkcia na dešifrovanie a spúšťanie dodatočných dát, zatiaľ čo binárny Golang využíva exploity pre viaceré chyby vzdialeného spúšťania kódu v serveroch Oracle WebLogic Server (CVE-2020-14882), NoneCms (CVE-2018-20062) a Jenkins ( CVE-2019-1003029 a CVE-2019-1003030), aby sa hrubou silou presadili do systémov so systémom SSH a nakoniec spustili ťažobný softvér XMRig.

A čo viac, reťazec útokov vyniká svojimi trikmi pretrvávania, ktoré zahŕňajú výber legitímne vyzerajúcej systémovej cesty na disku, kde sa pravdepodobne nachádzajú systémové binárne súbory, ako aj generovanie náhodného šesťznakového súboru, ktorý sa následne použije na skopírovanie seba samého. do nového umiestnenia v systéme pred odstránením škodlivého softvéru po spustení.

“Používanie viacerých zraniteľností a taktík v kampani Capoae poukazuje na to, aký majú títo operátori v úmysle získať oporu na čo najväčšom počte strojov,” povedal Cashdollar. “Dobrou správou je, že stále platia rovnaké techniky, ktoré odporúčame väčšine organizácií na udržanie bezpečnosti systémov a sietí.”

“Nepoužívajte slabé alebo predvolené prihlasovacie údaje pre servery alebo nasadené aplikácie,” dodal Cashdollar. “Uistite sa, že tieto nasadené aplikácie aktualizujete pomocou najnovších bezpečnostných záplat a z času na čas ich kontrolujte. Dávajte pozor na vyššiu spotrebu systémových prostriedkov, ako je bežné, čudné/neočakávané spustené procesy, podozrivé artefakty a podozrivý prístup.” záznamy denníka atď. vám pomôžu potenciálne identifikovať napadnuté počítače.”