Een nieuwe vorm van malware, geschreven in Go, is ontdekt in cyberaanvallen die zijn gelanceerd tegen WordPress- en Linux-systemen.
Donderdag zei Larry Cashdollar, senior beveiligingsonderzoeker bij Akamai dat de malware, Capoae genaamd, is geschreven in de programmeertaal Golang – snel een vaste favoriet aan het worden bij bedreigingsactoren vanwege de platformonafhankelijke mogelijkheden – en zich verspreidt via bekende bugs en zwakke administratieve referenties.
Kwetsbaarheden die door Capoae worden uitgebuit, zijn onder meer CVE-2020-14882, een remote code execution (RCE)-fout in Oracle WebLogic Server, en CVE-2018-20062, een andere RCE in ThinkPHP.
De malware werd ontdekt nadat een monster gericht was op een Akamai-honingpot. Een PHP-malwarevoorbeeld arriveerde via een achterdeur die was gekoppeld aan een WordPress-plug-in genaamd Download-monitor, geïnstalleerd nadat de lakse inloggegevens van de honeypot waren verkregen via een brute-force-aanval.
Deze plug-in werd vervolgens gebruikt als een kanaal om de belangrijkste Capoae-payload te implementeren in /tmp, een binair bestand van 3 MB met UPX, dat vervolgens werd gedecodeerd. XMRig wordt vervolgens geïnstalleerd om te minen voor de Monero (XMR) cryptocurrency.
Naast de cryptocurrency-mijnwerker zijn er ook verschillende webshells geïnstalleerd, waarvan er één bestanden kan uploaden die zijn gestolen van het gecompromitteerde systeem. Daarnaast is er een poortscanner meegeleverd met de miner om open poorten te vinden voor verdere exploitatie.
“Nadat de Capoae-malware is uitgevoerd, heeft het een behoorlijk slimme manier van persistentie”, zegt Cashdollar. “De malware kiest eerst een legitiem ogend systeempad uit een kleine lijst met locaties op een schijf waar u waarschijnlijk binaire bestanden van het systeem zou vinden. Vervolgens genereert het een willekeurige bestandsnaam van zes tekens en gebruikt deze twee stukken om zichzelf naar de nieuwe locatie op de schijf en verwijdert zichzelf. Zodra dit is gebeurd, injecteert/werkt het een Crontab-item bij dat de uitvoering van dit nieuw gemaakte binaire bestand activeert.”
Capoae zal proberen WordPress-installaties met brute kracht aan te vallen om zich te verspreiden en kan ook gebruik maken van CVE-2019-1003029 en CVE-2019-1003030, beide RCE-fouten die van invloed zijn op Jenkins, en infecties zijn terug te voeren op Linux-servers.
Cashdollar zei dat de Capoae-campagne benadrukt “hoe vastbesloten deze operators zijn om op zoveel mogelijk machines voet aan de grond te krijgen.”
Belangrijke tekenen van infectie zijn onder meer een hoog gebruik van systeembronnen, onverwachte of onherkenbare systeemprocessen in werking en vreemde log-items of artefacten, zoals bestanden en SSH-sleutels.
“Het goede nieuws is dat dezelfde technieken die we de meeste organisaties aanbevelen om systemen en netwerken veilig te houden, hier nog steeds van toepassing zijn”, aldus Cashdollar. “Gebruik geen zwakke of standaardreferenties voor servers of geïmplementeerde applicaties. Zorg ervoor dat u die geïmplementeerde applicaties up-to-date houdt met de nieuwste beveiligingspatches en controleer ze van tijd tot tijd.”
In een tweede blogpost heeft Akamai ook de evolutie onderzocht van Kinsing, malware die gebruik maakt van bekende kwetsbaarheden in niet-gepatchte systemen om een cryptocurrency mining-botnet te bedienen en te verspreiden.
Volgens onderzoeker Evyatar Saias werd Kinsing in februari voor het eerst opgemerkt door Akamai en richtte hij zich aanvankelijk alleen op Linux. Dankzij een recente upgrade kan het botnet echter ook Windows-systemen treffen in Noord- en Zuid-Amerika, Azië en Europa.
Eerdere en gerelateerde berichtgeving
170 Android-zwendel-apps voor cryptocurrency-mining stelen $ 350 000 van gebruikers
Duizenden PS4's in beslag genomen in Oekraïne in illegale cryptocurrency-mining-steek
Heeft cybercriminaliteit invloed op de prijzen van cryptocurrency? Onderzoekers komen erachter
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Blockchain Security TV Data Management CXO Datacenters 