Capoae恶意软件使用多个漏洞攻击Linux系统和Web应用程序
安全研究员于上周四检测到名为Capoae的恶意软件,该恶意软件利用多个漏洞攻击 Linux系统和多个Web应用程序。
Capoae恶意软件是用Golang编程语言编写的,由于它具有跨平台功能,因此很快成为公司的最爱。
此外,它还通过已确认的漏洞和薄弱的官方凭据进行传播。但是,Capoae利用的漏洞附加:
CVE-2020-14882:这是 Oracle WebLogic Server 中的远程代码执行 (RCE) 缺陷。
CVE-2018-20062:这是ThinkPHP中的另一个 RCE 缺陷。
恶意软件的主要动机是利用我们上面所暗示的脆弱系统和薄弱的管理凭证来传播。
除了传播加密挖矿恶意软件攻击,网络安全分析师还发现,SIRT“蜜罐”还受到PHP恶意软件的影响,这些恶意软件是通过一个名为“Download-monitor”的WordPress插件的扩展后门出现的。
现在要将主Capoae有效负载部署到/tmp,这个插件被用作一个通道,一旦完成,一个3MB的UPX打包二进制文件就被解码了。所有这些步骤都是为了安装XMRig来挖掘Monero (XMR)加密货币。
二进制中有什么?
检测到恶意软件后,网络安全当局展开了强有力的调查,以了解有关这些漏洞的所有详细信息。为此,他们将恶意软件与“upx -d”一起解压缩,以正确查看实际的二进制结构。
研究人员发现了更多关于漏洞的关键细节,他们注意到,主要结构揭示了它的功能是针对少数知名的漏洞,并具有内容管理框架。
Golang恶意软件可以在VirusTotal中找到,其起源日期为2021年8月9日:
$ ./redress -compiler Capoae
编译器版本:go1.15.4 (2020-11-05T21:21:32Z)
然而,Capoae活动在攻击期间使用了几个漏洞和不同的方法,这突显出这些威胁行为者的意图是如何在尽可能多的机器上获得立足点。
软件系统的安全漏洞成为网络犯罪分子发动攻击的“辅助工具”。尤其网络犯罪分子通过升级或更新恶意软件的攻击手段,在受害者未知的情况下潜入系统并发起网络攻击,这就为病毒监测系统带来很大困扰。因此在软件开发过程中加强安全性建设,提高底层代码质量,是帮助软件抵御网络攻击的有效手段。尤其超6成安全漏洞与代码有关,因此在编码时使用静态代码检测工具辅助开发人员第一时间查找并修正代码缺陷和不足,可以大大提高软件自身安全性。在网络攻击日益多样化的今天,提高软件安全性已成为继杀毒软件防火墙等防御措施之后的又一有效手段。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
https://www.woocoom.com/b021.html?id=c1af3fe71865431780acd92c5040346e
https://gbhackers.com/capoae-malware/