Вредоносное ПО Capoae нацелено на веб-серверы и WordPress
Киберпреступники продолжают активно экспериментировать с вредоносным ПО, использующим язык программирования Golang. Такой подход имеет множество преимуществ, но есть два основных, которые делают его столь привлекательным для киберпреступников. Поскольку Golang - довольно новый язык, некоторые инструменты безопасности еще не достаточно хороши для обнаружения и удаления вредоносного кода. В дополнение к этому, Golang предлагает отличную кросс-платформенную совместимость, не требуя предварительных условий, которые, например, требует JAVA. Другие семейства вредоносных программ Golang - это RustyBuer и Klingon RAT . Capoae Malware - один из последних проектов Golang. Этот конкретный образец следует за веб-серверами и пытается использовать несколько известных уязвимостей для получения учетных данных и разрешений.
Последняя кампания Capoae Malware нацелена на две основные уязвимости:
- CVE-2020-14882 - влияет на устаревшие версии Oracle WebLogic Server и приводит к удаленному выполнению кода (RCE).
- CVE-2018-20062 - влияет на ThinkPHP, а также позволяет злоумышленникам выполнять удаленный код.
Помимо этих известных эксплойтов, преступники, стоящие за Capoae Malware, также используют грубую силу для нацеливания на серверы с ненадежными учетными данными. В одной из уязвимых систем полезная нагрузка доставлялась с помощью вредоносного плагина, который злоумышленники установили благодаря украденным учетным данным. Неисправное дополнение, получившее название Download-monitor, влияет на установку WordPress.
Возможности Capoae Malware
Цель этой угрозы - развернуть полезную нагрузку, которая приносит модифицированную копию майнера криптовалюты XMRig. Это конкретное программное обеспечение является фаворитом № 1 среди киберпреступников, которые стремятся выполнить операции по криптоджекингу. Он использует ресурсы зараженного сервера для добычи криптовалюты Monero.
Однако сброс майнера - это еще не конец атаки. Capoae Malware также развертывает веб-оболочки, которые предоставляют злоумышленнику больший контроль над сервером. Преступники могут использовать зараженные веб-серверы и установки WordPress для сканирования Интернета в поисках новых потенциальных жертв.
Чтобы защитить себя от вредоносного ПО Capoae, необходимо использовать надежные функции безопасности, а также надежные учетные данные. Конечно, установка последних обновлений для всего программного обеспечения, подключенного к Интернету, также является обязательным для снижения риска атак.