En ny stam av skadlig kod, skriven i Go, har upptäckts i cyberattacker som startats mot WordPress- och Linux -system.
I torsdags sa Larry Cashdollar, senior säkerhetsforskare vid Akamai att skadlig programvara, kallad Capoae, är skriven på Golang-programmeringsspråket-snabbt blir en fast favorit bland hotaktörer på grund av dess plattformsoberoende funktioner-och sprider sig genom kända buggar och svaga administrativa meriter.
Sårbarheter som utnyttjas av Capoae inkluderar CVE-2020-14882, en felkodkörning (RCE) -fel i Oracle WebLogic Server och CVE-2018-20062, en annan RCE i ThinkPHP.
Skadlig program upptäcktes efter att ett prov riktade sig mot en Akamai honungsgryta. Ett PHP-malwareprov anlände via en bakdörr kopplad till ett WordPress-plugin som heter Download-monitor, installerat efter att honeypotens slappa referenser hade erhållits genom en brutal kraftattack.
Denna plugin användes sedan som en kanal för att distribuera huvud Capoae nyttolast till /tmp, en 3MB UPX packad binär, som sedan avkodades. XMRig installeras sedan för att gruva för Monero (XMR) kryptovaluta.
Vid sidan av kryptovalutgruvarbetaren installeras också flera webbskal, varav en kan ladda upp filer som stulits från det komprometterade systemet. Dessutom har en portskanner samlats med gruvarbetaren för att hitta öppna portar för vidare exploatering.
“Efter att Capoae -skadlig programvara har körts har den en ganska smart metod för uthållighet”, säger Cashdollar. “Skadlig programvara väljer först en legitim systemväg från en liten lista med platser på en hårddisk där du sannolikt hittar systemfiler. Den genererar sedan ett slumpmässigt filnamn på sex tecken och använder dessa två delar för att kopiera sig in i det nya plats på disken och raderar sig själv. När detta är gjort injicerar/uppdaterar den en Crontab -post som kommer att utlösa körningen av denna nyskapade binär. ”
Capoae kommer att försöka brute-force attackera WordPress-installationer för att spridas och kan också använda CVE-2019-1003029 och CVE-2019-1003030, som båda är RCE-brister som påverkar Jenkins, och infektioner har spårats till Linux -servrar.
Cashdollar sa att Capoae -kampanjen belyser “hur avsiktliga dessa operatörer är att få fotfäste på så många maskiner som möjligt.”
Större tecken på infektion inkluderar hög systemresursanvändning, oväntade eller oigenkännliga systemprocesser i drift och konstiga loggposter eller artefakter, till exempel filer och SSH -nycklar.
“Den goda nyheten är att samma tekniker som vi rekommenderar för de flesta organisationer för att hålla system och nätverk säkra fortfarande gäller här”, kommenterade Cashdollar. “Använd inte svaga eller standarduppgifter för servrar eller distribuerade program. Se till att du håller de installerade programmen uppdaterade med de senaste säkerhetsuppdateringarna och checka in på dem då och då.”
I ett andra blogginlägg har Akamai också undersökt utvecklingen av Kinsing, skadlig kod som använder kända sårbarheter i opatchade system för att driva och sprida ett botnet för kryptovaluta -gruvdrift.
Enligt forskaren Evyatar Saias sågs Kinsing första gången i februari av Akamai och inledningsvis bara riktade Linux. En ny uppgradering har dock gjort det möjligt för botnätet att även träffa Windows -system i Amerika, Asien och Europa.
Tidigare och relaterad täckning
170 Android -gruvdrift -bluffappar stjäl 350 000 dollar från användare
Tusentals PS4: ar som beslagtagits i Ukraina i illegal kryptovaluta -gruvdrift – Påverkar cyberbrott kryptovalutapriser? Forskare får reda på
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Blockchain Security TV Data Management CXO Data Center