Mobilné Správy, Gadgety, Blogy's Secenziami

Nový malware Capoae preniká do stránok WordPress a inštaluje backdoorový doplnok

Nový malware Capoae preniká do stránok WordPress a inštaluje backdoorový doplnok 1

Nedávno objavená vlna malwarových útokov bola zaznamenaná pomocou rôznych taktík na zotročenie citlivých počítačov pomocou ľahko uhádnuteľných administratívnych poverení na ich kooptovanie do siete s cieľom nezákonne ťažiť kryptomenu.

“Primárnou taktikou malvéru je šíriť sa pomocou zraniteľných systémov a slabých administratívnych poverení. Keď sa tieto systémy nakazia, použijú sa na ťažbu kryptomeny,” uviedol výskumník bezpečnosti Akamai Larry Cashdollar v dokumente zverejnenom minulý týždeň. .

Malvér PHP-kódové označenie „Capoae“ (skratka z „Сканирование“, ruské označenie „skenovanie“)-sa údajne dodáva hostiteľom prostredníctvom backdoored doplnku k doplnku WordPress s názvom „download-monitor“, ktorý sa nainštaluje. po úspešnom vynútení brutálneho vynútenia poverení správcu WordPress. Útoky tiež zahrnujú nasadenie binárneho súboru Golang s dešifrovacou funkciou, pričom zmätené užitočné zaťaženie sa získa využitím trojanizovaného pluginu na odoslanie požiadavky GET z domény ovládanej hercom.

Nový malware Capoae preniká do stránok WordPress a inštaluje backdoorový doplnok 2

Zahrnutá je aj funkcia na dešifrovanie a spustenie ďalších užitočných dát, zatiaľ čo binárny súbor Golang využíva výhody viacerých chybného spustenia kódu na diaľku na serveroch Oracle WebLogic Server (CVE-2020-14882), NoneCms (CVE-2018-20062) a Jenkins ( CVE-2019-1003029 a CVE-2019-1003030), aby sa brutálne dostali do systémov so systémom SSH a v konečnom dôsledku spustili softvér na ťažbu XMRig.

Predchádzajte útokom Ransomware

Útočný reťazec navyše vyniká svojimi trikami vytrvalosti, ktoré zahŕňajú výber legitímne vyzerajúcej systémovej cesty na disku, kde sa pravdepodobne nachádzajú binárne súbory systému, ako aj generovanie náhodného šesťznakového názvu súboru, ktorý sa následne použije na kopírovanie samotného do nového umiestnenia v systéme pred odstránením škodlivého softvéru po spustení.

„Využitie viacerých zraniteľností a taktík v rámci kampane Capoae poukazuje na to, ako sa títo operátori zameriavajú na to, aby sa presadili na čo najväčšom počte strojov,“ povedal Cashdollar. „Dobrou správou je, že tu stále platia rovnaké techniky, ktoré odporúčame väčšine organizácií na zaistenie bezpečnosti systémov a sietí.“

„Nepoužívajte slabé alebo predvolené poverenia pre servery alebo nasadené aplikácie,“ dodal Cashdollar. “Zaistite, aby boli vaše nasadené aplikácie aktuálne s najnovšími opravami zabezpečenia a z času na čas ich skontrolovali. Dávajte si pozor na vyššiu ako normálnu spotrebu systémových zdrojov, zvláštne/neočakávané spustené procesy, podozrivé artefakty a podozrivý prístup.” záznamy v denníkoch atď. vám pomôžu potenciálne identifikovať počítače, ktoré sú ohrozené. “