En ny stamme av skadelig programvare, skrevet i Go, har blitt oppdaget i cyberangrep som ble lansert mot WordPress- og Linux -systemer.
Torsdag sa Larry Cashdollar, senior sikkerhetsforsker ved Akamai at skadelig programvare, kalt Capoae, er skrevet på Golang-programmeringsspråket-blir raskt en fast favoritt blant trusselaktører på grunn av sine plattformfunksjoner-og sprer seg gjennom kjente feil og svak administrativ legitimasjon.
Sårbarheter som Capoae utnytter inkluderer CVE-2020-14882, en feil ved kjøring av ekstern kode (RCE) i Oracle WebLogic Server og CVE-2018-20062, en annen RCE i ThinkPHP.
Skadelig programvare ble oppdaget etter at en prøve var rettet mot en Akamai honninggryte. En PHP malware-prøve kom gjennom en bakdør knyttet til et WordPress-plugin kalt Download-monitor, installert etter at honningspottens slappe legitimasjon var oppnådd gjennom et brutalt angrep.
Denne pluginen ble deretter brukt som en kanal for å distribuere hoved Capoae nyttelast til /tmp, en 3MB UPX pakket binær, som deretter ble avkodet. XMRig blir deretter installert for å gruve for Monero (XMR) kryptovaluta.
Ved siden av kryptovaluta -gruvearbeideren er det også installert flere nettskall, hvorav den ene kan laste opp filer som er stjålet fra det kompromitterte systemet. I tillegg har en portskanner blitt satt sammen med gruvearbeideren for å finne åpne porter for videre utnyttelse.
“Etter at Capoae -skadelig programvare er utført, har den en ganske smart måte å utholde på,” sier Cashdollar. “Skadelig programvare velger først en legitim systembane fra en liten liste over steder på en disk der du sannsynligvis vil finne systembinarier. Den genererer deretter et tilfeldig filnavn på seks tegn, og bruker disse to delene til å kopiere seg inn i det nye plassering på disken og sletter seg selv. Når dette er gjort, injiserer/oppdaterer den en Crontab -oppføring som vil utløse utførelsen av denne nyopprettede binæren. ”
Capoae vil prøve å brute-force angripe WordPress-installasjoner for å spre seg og kan også bruke CVE-2019-1003029 og CVE-2019-1003030, som begge er RCE-feil som påvirker Jenkins, og infeksjoner har blitt sporet til Linux -servere.
Cashdollar sa at Capoae -kampanjen fremhever “akkurat hvor engasjert disse operatørene er med å få fotfeste på så mange maskiner som mulig.”
Store tegn på infeksjon inkluderer høy systemressursbruk, uventede eller ugjenkjennelige systemprosesser i drift og merkelige loggoppføringer eller artefakter, for eksempel filer og SSH -nøkler.
“Den gode nyheten er at de samme teknikkene vi anbefaler for de fleste organisasjoner for å holde systemer og nettverk sikre fortsatt gjelder her,” kommenterte Cashdollar. “Ikke bruk svake eller standard legitimasjon for servere eller distribuerte applikasjoner. Sørg for at du holder de distribuerte programmene oppdatert med de nyeste sikkerhetsoppdateringene og sjekk inn på dem fra tid til annen.”
I et annet blogginnlegg har Akamai også undersøkt utviklingen av Kinsing, skadelig programvare som bruker kjente sårbarheter i upatchede systemer for å betjene og spre et botnett for gruvedrift i kryptovaluta.
I følge forsker Evyatar Saias ble Kinsing først oppdaget i februar av Akamai og først målrettet Linux. Imidlertid har en nylig oppgradering gjort at botnettet også kan treffe Windows -systemer over hele Amerika, Asia og Europa.
Tidligere og relatert dekning
170 Android -gruppesvindel -apper for kryptovaluta stjeler 350 000 dollar fra brukere
Tusenvis av PS4 -er som ble beslaglagt i Ukraina i ulovlig kryptovaluta -gruvedrift – Påvirker nettkriminalitet kryptovaluta -prisene? Forskere finner ut
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Blockchain Security TV Data Management CXO Data Centers