Af Charlie Osborne for Zero Day | 16. september 2021 – 13:00 GMT (14:00 BST) | Emne: Sikkerhed
En ny stamme af malware, skrevet i Go, er blevet opdaget i cyberangreb, der blev lanceret mod WordPress- og Linux -systemer.
Torsdag sagde Larry Cashdollar, senior sikkerhedsforsker ved Akamai, at malware, kaldet Capoae, er skrevet på Golang programmeringssprog-hurtigt ved at blive en fast favorit blandt trusselsaktører på grund af dens tværgående platforme-og spredes gennem kendte fejl og svage administrative legitimationsoplysninger.
Sårbarheder, som Capoae udnytter, omfatter CVE-2020-14882, en fejl i kodeudførelse (RCE) i Oracle WebLogic Server og CVE-2018-20062, en anden RCE i ThinkPHP.
Malwaren blev opdaget, efter at en prøve var rettet mod en Akamai honningkrukke. En PHP malware-prøve ankom via en bagdør, der er knyttet til et WordPress-plugin kaldet Download-monitor, installeret efter at honningspottens slap legitimationsoplysninger var blevet opnået gennem et brutalt kraftangreb.
Dette plugin blev derefter brugt som en kanal til at distribuere hoved Capoae nyttelast til /tmp, en 3MB UPX pakket binær, som derefter blev afkodet. XMRig installeres derefter for at mine til Monero (XMR) kryptokurrency.
Ved siden af minedatabasen kryptovaluta er der også installeret flere webskaller, hvoraf den ene kan uploade filer stjålet fra det kompromitterede system. Derudover er en portscanner blevet bundtet med minearbejderen for at finde åbne porte til yderligere udnyttelse.
“Efter at Capoae -malware er udført, har den et ret smart middel til vedholdenhed,” siger Cashdollar. “Malwaren vælger først en legitim udseende systemsti fra en lille liste over placeringer på en disk, hvor du sandsynligvis vil finde systembinarier. Den genererer derefter et tilfældigt filnavn på seks tegn og bruger disse to stykker til at kopiere sig selv ind i det nye placering på disken og sletter sig selv. Når dette er gjort, injicerer/opdaterer den en Crontab -post, der vil udløse udførelsen af denne nyoprettede binær. ”
Capoae vil forsøge at brute-force angribe WordPress-installationer for at sprede sig og kan også bruge CVE-2019-1003029 og CVE-2019-1003030, som begge er RCE-fejl, der påvirker Jenkins, og infektioner er blevet sporet til Linux servere.
Cashdollar sagde, at Capoae -kampagnen fremhæver “bare hvor målrettet disse operatører er om at få fodfæste på så mange maskiner som muligt.”
Store tegn på infektion omfatter høj systemressourceforbrug, uventede eller uigenkendelige systemprocesser i drift og mærkelige logposter eller artefakter, f.eks. filer og SSH -nøgler.
“Den gode nyhed er, at de samme teknikker, som vi anbefaler for de fleste organisationer for at holde systemer og netværk, stadig gælder her,” kommenterede Cashdollar. “Brug ikke svage eller standardoplysninger til servere eller implementerede applikationer. Sørg for at holde de implementerede applikationer opdaterede med de nyeste sikkerhedspatcher, og tjek dem ind imellem.”
I et andet blogindlæg har Akamai også undersøgt udviklingen af Kinsing, malware, der udnytter kendte sårbarheder i upatchede systemer til at betjene og sprede et botnet for minedrift med kryptovaluta.
Ifølge forsker Evyatar Saias blev Kinsing første gang opdaget i februar af Akamai og i første omgang kun målrettet Linux. En nylig opgradering har dog givet botnet mulighed for også at ramme Windows -systemer i hele Amerika, Asien og Europa.
Tidligere og relateret dækning
170 Android -minedrifts -scam -apps til kryptovaluta stjæler $ 350 000 fra brugere
Tusinder af PS4'er beslaglagt i Ukraine i ulovlig minedrift i kryptovaluta – påvirker cyberkriminalitet kryptokurrencypriser? Forskere finder ud af
Har du et tip? Kontakt sikkert via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Blockchain Security TV Data Management CXO Data Centers