CapoaeマルウェアはWebサーバーとWordPressを標的にします
サイバー犯罪者は、Golangプログラミング言語を使用するマルウェアを積極的に実験し続けています。このアプローチには複数の利点がありますが、サイバー犯罪者にとって非常に魅力的な2つの主な利点があります。 Golangはかなり新しい言語であるため、一部のセキュリティツールは、悪意のあるコードを見つけて終了するのにまだ十分ではありません。これに加えて、Golangは、たとえばJAVAが要求する前提条件を要求することなく、優れたクロスプラットフォーム互換性を提供します。その他GolangマルウェアファミリーはRustyBuerとクリンゴンRAT 。 Capoae Malwareは、最新のGolangプロジェクトの1つです。この特定のサンプルはWebサーバーを追跡し、いくつかの既知の脆弱性を使用して資格情報とアクセス許可を取得しようとします。
Capoae Malwareの最新のキャンペーンは、2つの主要な脆弱性を対象としています。
- CVE-2020-14882 –古いバージョンのOracle WebLogic Serverに影響を与え、リモートコード実行(RCE)を引き起こす
- CVE-2018-20062 – ThinkPHPに影響を与え、攻撃者がリモートコードを実行できるようにします。
これらの既知のエクスプロイトに加えて、Capoae Malwareの背後にいる犯罪者は、緩いログイン資格情報を持つサーバーを標的にするために強引に使用しています。影響を受けたシステムの1つは、盗まれた資格情報のおかげで攻撃者がインストールした悪意のあるプラグインを使用してペイロードを配信していました。ダウンロードモニターと呼ばれる障害のあるアドオンは、WordPressのインストールに影響します。
Capoaeマルウェアの機能
この脅威の目的は、XMRig暗号通貨マイナーの変更されたコピーをもたらすペイロードを展開することです。この特定のソフトウェアは、クリプトジャッキング操作を実行しようとするサイバー犯罪者の一番のお気に入りです。感染したサーバーのリソースを利用して、Monero暗号通貨をマイニングします。
ただし、鉱夫を落とすことは攻撃の終わりではありません。 Capoae Malwareは、攻撃者がサーバーをより細かく制御できるようにするWebシェルも展開します。犯罪者は、感染したWebサーバーとWordPressのインストールを利用して、インターネットをスキャンし、より多くの潜在的な被害者を探す可能性があります。
Capoaeマルウェアから身を守るには、強力なセキュリティ機能と強力なログイン資格情報を使用する必要があります。もちろん、攻撃のリスクを減らすために、インターネットに接続されているすべてのソフトウェアに最新の更新を適用することも必須です。