Το κακόβουλο λογισμικό Capoae στοχεύει διακομιστές ιστού και WordPress

Οι εγκληματίες στον κυβερνοχώρο συνεχίζουν να πειραματίζονται ενεργά με κακόβουλο λογισμικό που χρησιμοποιεί τη γλώσσα προγραμματισμού Golang. Αυτή η προσέγγιση έχει πολλά πλεονεκτήματα, αλλά υπάρχουν δύο κύρια που την καθιστούν τόσο ελκυστική για τους εγκληματίες στον κυβερνοχώρο. Επειδή το Golang είναι μια αρκετά νέα γλώσσα, ορισμένα εργαλεία ασφαλείας δεν είναι ακόμα αρκετά καλά για να εντοπίσουν και να τερματίσουν τον κακόβουλο κώδικα. Εκτός από αυτό, το Golang προσφέρει μεγάλη συμβατότητα μεταξύ πλατφορμών χωρίς να ζητά τις προϋποθέσεις που απαιτεί, για παράδειγμα, η JAVA. Άλλες οικογένειες κακόβουλου λογισμικού Golang είναι οι RustyBuer και Klingon RAT . Το Capoae Malware είναι ένα από τα τελευταία έργα Golang. Το συγκεκριμένο δείγμα ακολουθεί διακομιστές Ιστού και επιχειρεί να χρησιμοποιήσει πολλές γνωστές ευπάθειες για να λάβει διαπιστευτήρια και δικαιώματα.

Η τελευταία καμπάνια του Capoae Malware στοχεύει σε δύο βασικά τρωτά σημεία:

• CVE-2020-14882-επηρεάζει τις ξεπερασμένες εκδόσεις του Oracle WebLogic Server και οδηγεί σε απομακρυσμένη εκτέλεση κώδικα (RCE.)
• CVE-2018-20062-επηρεάζει το ThinkPHP και επιτρέπει επίσης στους επιτιθέμενους να εκτελούν απομακρυσμένο κώδικα.

Πέρα από αυτές τις γνωστές εκμεταλλεύσεις, οι εγκληματίες πίσω από το κακόβουλο λογισμικό Capoae χρησιμοποιούν επίσης ωμή δύναμη για να στοχεύσουν διακομιστές με χαλαρά διαπιστευτήρια σύνδεσης. Ένα από τα επηρεαζόμενα συστήματα είχε το ωφέλιμο φορτίο μέσω της χρήσης ενός κακόβουλου plug-in που οι επιτιθέμενοι εγκατέστησαν χάρη στα κλεμμένα διαπιστευτήρια. Το ελαττωματικό πρόσθετο, που ονομάστηκε Download-monitor, επηρεάζει τις εγκαταστάσεις του WordPress.

Χαρακτηριστικά κακόβουλου λογισμικού Capoae

Ο σκοπός αυτής της απειλής είναι να αναπτύξει ένα ωφέλιμο φορτίο, το οποίο φέρνει ένα τροποποιημένο αντίγραφο του εξορύκτη κρυπτονομισμάτων XMRig. Το συγκεκριμένο λογισμικό είναι το #1 αγαπημένο των εγκληματιών στον κυβερνοχώρο που προσπαθούν να εκτελέσουν λειτουργίες κρυπτογραφίας. Χρησιμοποιεί τους πόρους του μολυσμένου διακομιστή για εξόρυξη του κρυπτονομίσματος Monero.

Ωστόσο, η απόρριψη του ανθρακωρύχου δεν είναι το τέλος της επίθεσης. Το κακόβουλο λογισμικό Capoae αναπτύσσει επίσης κελύφη ιστού, τα οποία παρέχουν στον εισβολέα μεγαλύτερο έλεγχο του διακομιστή. Οι εγκληματίες μπορούν να χρησιμοποιήσουν τους μολυσμένους διακομιστές Ιστού και εγκαταστάσεις WordPress για να σαρώσουν το Διαδίκτυο για περισσότερα πιθανά θύματα.

Η προστασία του εαυτού σας από το κακόβουλο λογισμικό Capoae απαιτεί τη χρήση ισχυρών λειτουργιών ασφαλείας, καθώς και ισχυρά διαπιστευτήρια σύνδεσης. Φυσικά, η εφαρμογή των πιο πρόσφατων ενημερώσεων σε όλο το λογισμικό που είναι συνδεδεμένο στο Διαδίκτυο είναι επίσης υποχρεωτική για τη μείωση του κινδύνου επιθέσεων.