Nov├Ż malware Capoae prenik├í do str├ínok WordPress a in┼ítaluje backdoorov├Ż doplnok

Ned├ívno objaven├í vlna malwarov├Żch ├║tokov bola zaznamenan├í pomocou r├┤znych takt├şk na zotro─Źenie citliv├Żch po─Ź├şta─Źov pomocou ─żahko uh├ídnute─żn├Żch administrat├şvnych poveren├ş na ich kooptovanie do siete s cie─żom nez├íkonne ┼ąa┼żi┼ą kryptomenu.

“Prim├írnou taktikou malv├ęru je ┼í├şri┼ą sa pomocou zranite─żn├Żch syst├ęmov a slab├Żch administrat├şvnych poveren├ş. Ke─Ć sa tieto syst├ęmy nakazia, pou┼żij├║ sa na ┼ąa┼żbu kryptomeny,” uviedol v├Żskumn├şk bezpe─Źnosti Akamai Larry Cashdollar v dokumente zverejnenom minul├Ż t├Ż┼żde┼ł. .

Malv├ęr PHP-k├│dov├ę ozna─Źenie ÔÇ×CapoaeÔÇť (skratka z ÔÇ×đíđ║đ░đŻđŞĐÇđżđ▓đ░đŻđŞđÁÔÇť, rusk├ę ozna─Źenie ÔÇ×skenovanieÔÇť)-sa ├║dajne dod├íva hostite─żom prostredn├şctvom backdoored doplnku k doplnku WordPress s n├ízvom ÔÇ×download-monitorÔÇť, ktor├Ż sa nain┼ítaluje. po ├║spe┼ínom vyn├║ten├ş brut├ílneho vyn├║tenia poveren├ş spr├ívcu WordPress. ├Ütoky tie┼ż zahrnuj├║ nasadenie bin├írneho s├║boru Golang s de┼íifrovacou funkciou, pri─Źom zm├Ąten├ę u┼żito─Źn├ę za┼ąa┼żenie sa z├şska vyu┼żit├şm trojanizovan├ęho pluginu na odoslanie po┼żiadavky GET z dom├ęny ovl├ídanej hercom.

Nov├Ż malware Capoae prenik├í do str├ínok WordPress a in┼ítaluje backdoorov├Ż doplnok 2

Zahrnut├í je aj funkcia na de┼íifrovanie a spustenie ─Ćal┼í├şch u┼żito─Źn├Żch d├ít, zatia─ż ─Źo bin├írny s├║bor Golang vyu┼ż├şva v├Żhody viacer├Żch chybn├ęho spustenia k├│du na dia─żku na serveroch Oracle WebLogic Server (CVE-2020-14882), NoneCms (CVE-2018-20062) a Jenkins ( CVE-2019-1003029 a CVE-2019-1003030), aby sa brut├ílne dostali do syst├ęmov so syst├ęmom SSH a v kone─Źnom d├┤sledku spustili softv├ęr na ┼ąa┼żbu XMRig.

Predchádzajte útokom Ransomware

├Üto─Źn├Ż re┼ąazec navy┼íe vynik├í svojimi trikami vytrvalosti, ktor├ę zah┼Ľ┼łaj├║ v├Żber legit├şmne vyzeraj├║cej syst├ęmovej cesty na disku, kde sa pravdepodobne nach├ídzaj├║ bin├írne s├║bory syst├ęmu, ako aj generovanie n├íhodn├ęho ┼íes┼ąznakov├ęho n├ízvu s├║boru, ktor├Ż sa n├ísledne pou┼żije na kop├şrovanie samotn├ęho do nov├ęho umiestnenia v syst├ęme pred odstr├ínen├şm ┼íkodliv├ęho softv├ęru po spusten├ş.

ÔÇ×Vyu┼żitie viacer├Żch zranite─żnost├ş a takt├şk v r├ímci kampane Capoae poukazuje na to, ako sa t├şto oper├ítori zameriavaj├║ na to, aby sa presadili na ─Źo najv├Ą─Ź┼íom po─Źte strojov,ÔÇť povedal Cashdollar. ÔÇ×Dobrou spr├ívou je, ┼że tu st├íle platia rovnak├ę techniky, ktor├ę odpor├║─Źame v├Ą─Ź┼íine organiz├íci├ş na zaistenie bezpe─Źnosti syst├ęmov a siet├ş.ÔÇť

ÔÇ×Nepou┼ż├şvajte slab├ę alebo predvolen├ę poverenia pre servery alebo nasaden├ę aplik├ície,ÔÇť dodal Cashdollar. “Zaistite, aby boli va┼íe nasaden├ę aplik├ície aktu├ílne s najnov┼í├şmi opravami zabezpe─Źenia a z ─Źasu na ─Źas ich skontrolovali. D├ívajte si pozor na vy┼í┼íiu ako norm├ílnu spotrebu syst├ęmov├Żch zdrojov, zvl├í┼ítne/neo─Źak├ívan├ę spusten├ę procesy, podozriv├ę artefakty a podozriv├Ż pr├şstup.” z├íznamy v denn├şkoch at─Ć. v├ím pom├┤┼żu potenci├ílne identifikova┼ą po─Ź├şta─Źe, ktor├ę s├║ ohrozen├ę. ÔÇť