Die New Go-Malware Capoae zielt auf WordPress-Installationen und Linux-Systeme ab

Bei einem Cyberangriff auf WordPress- und Linux-Systeme wurde eine neue Art von Malware entdeckt, die in Go geschrieben wurde.

Donnerstag, sagte Larry Cash Dollar Malware, Senior Security Researcher bei Akamai, geschrieben in der Programmiersprache Golang, genannt Capoe-fast Become a solid favorite.

Zu den von Capoae ausgenutzten Schwachstellen gehören: CVE-2020-14882, Oracle WebLogic Server Remote Code Execution (RCE)-Fehler und CVE-2018-20062, ein weiterer RCE von ThinkPHP.

Malware wurde entdeckt, nachdem die Probe auf den Honeypot von Akamai檚 abzielte. Beispiele für PHP-Malware stammten von einer Hintertür, die mit einem WordPress-Plugin namens Download Monitor verknüpft war. Es wurde installiert, nachdem ein Brute-Force-Angriff lose Zugangsdaten für einen Honeypot erhalten hatte.

Ich habe dieses Plugin dann als Conduit verwendet, um die Hauptnutzlast von Capoae in die 3 MB UPX-Paket-Binärdatei / tmp zu implementieren und zu decodieren. Als nächstes wird XMRig installiert, um die Kryptowährung Monero (XMR) zu minen.

Neben Kryptowährungs-Minern werden auch mehrere Web-Shells installiert, von denen eine von einem kompromittierten System gestohlene Dateien hochladen kann. Darüber hinaus werden Portscanner mit Minern gebündelt, damit Sie offene Ports für die weitere Verwendung finden können.

Nachdem die Capoae-Malware ausgeführt wurde, hat sie eine ziemlich clevere Art zu bestehen, sagt Cashdollar. Die Malware wählt zuerst einen legitim aussehenden Systempfad aus einer kleinen Liste von Speicherorten auf der Festplatte aus, wo die Systembinärdateien gefunden werden können. Dann generiert es einen zufälligen 6-stelligen Dateinamen und diese beiden Teile. Verwenden Sie zum Kopieren auf eine neue. Identifizieren Sie den Speicherort auf der Festplatte und löschen Sie sich selbst. Wenn dies abgeschlossen ist, fügen Sie den Crontab-Eintrag ein / aktualisieren Sie ihn, der die Ausführung dieser neu erstellten Binärdatei auslöst.

Capoae versucht, die WordPress-Installation durch Brute-Force-Angriffe zu verbreiten, CVE-2019-1003029 Bei CVE-2019-1003030 handelt es sich bei beiden um RCE-Fehler, die Jenkins betreffen, und die Infektion geht auf Linux-Server zurück.

Cashdollar sagte, die Capoae-Kampagne habe betont, dass diese Betreiber begeistert sind, auf so vielen Maschinen wie möglich Fuß zu fassen.

Zu den wichtigsten Anzeichen einer Infektion zählen die starke Nutzung der Systemressourcen, unerwartete oder nicht erkannte Systemprozesse im Betrieb und seltsame Protokolleinträge oder Artefakte wie Dateien und SSH-Schlüssel.

淔Glücklicherweise gelten hier die gleichen Techniken, die die meisten Unternehmen empfehlen, um Systeme und Netzwerke sicher zu halten, kommentierte Cashdollar. on檛 verwenden Sie schwache oder Standard-Anmeldeinformationen für Ihren Server oder Ihre bereitgestellten Anwendungen. Halten Sie diese bereitgestellten Anwendungen mit den neuesten Sicherheitspatches auf dem neuesten Stand und checken Sie von Zeit zu Zeit ein.

in a moment Blog postAkamai untersuchte auch die Entwicklung von Kinsing, einer Malware, die bekannte Schwachstellen in ungepatchten Systemen ausnutzt, um Botnets für das Mining von Kryptowährungen zu manipulieren und zu verbreiten.

Laut dem Forscher Evyatar Saias wurde Kinsing erstmals im Februar von Akamai entdeckt und war zunächst nur auf Linux ausgerichtet. Jüngste Upgrades haben es Botnets jedoch ermöglicht, Angriffe auf Windows-Systeme in Amerika, Asien und Europa zu starten.

Haben Sie Hinweise? Sicherer Kontakt über WhatsApp | +447713 025 499 oder schlüsselbasiertes Signal: charlie0

Moderna Booster FDA-Zulassung erhalten: Was Sie wissen müssenSenatsausschuss empfiehlt neue ASIC-Marktlizenz für digitalen GeldwechselApple wird angeblich von ungeimpften Mitarbeitern verlangen, auf COVID-19 zu testenDas zukünftige Engagement der NASA in der Raumfahrt ist eine wilde Science-Fiction-Fahrt

Leave a Comment