最新的安全研究发现,新型的capoae恶意程序通过渗透wordpress网站的管理后台权限,安装带有后门程序的插件,进行非法的加密货币挖掘活动。根据网络安全行业门户极牛网jikenb.com的梳理,该恶意软件的主要策略是利用易受攻击的系统和薄弱的管理后台的登录凭据进行渗透传播。一旦成功控制这些系统,就部署挖矿程序。
这个恶意程序是由php编程语言编写的,代号为“capoae”(“сканирование”的缩写,俄语“扫描”一词),据说是通过一个名为“下载监视器”的 wordpress 插件的后门添加到主机上的,该插件已安装在成功强制使用 wordpress 管理员凭据。这些攻击还涉及部署具有解密功能的golang 二进制文件,通过利用木马插件从参与者控制的域发出 get 请求来检索混淆的有效载荷。
还包括解密和执行额外攻击载荷的功能,而 golang 二进制文件利用了 oracle weblogic server ( cve-2020-14882 )、nonecms ( cve-2018-20062 ) 和 jenkins ( cve-2019-1003029和cve-2019-1003030 ) 强行进入运行 ssh 的系统并最终启动 xmrig 挖矿软件。
更重要的是,攻击链以其持久性技巧而引人注目,其中包括在可能找到系统二进制文件的磁盘上选择一个看起来合法的系统路径,以及生成一个随机的六个字符的文件名,然后用于复制自身在执行时删除恶意软件之前进入系统上的新位置。
根据网络安全行业门户极牛网jikenb.com的梳理,capoae 活动使用了多种漏洞和策略,这凸显了这些运营商希望在尽可能多的机器上立足的意图。不要对服务器或已部署的应用程序使用弱密码或默认密码,确保您使用最新的安全补丁使那些部署的应用程序保持最新状态,并不时检查它们。留意高于正常的系统资源消耗、奇怪的运行进程、可疑文件和可疑访问日志条目等,将帮助您潜在地识别受感染的机器。