Un nuovo malware, scritto in Go, è stato individuato negli attacchi informatici lanciati contro i sistemi WordPress e Linux.
Giovedì, Larry Cashdollar, ricercatore senior per la sicurezza presso Akamai, ha affermato che il malware , soprannominato Capoae, è scritto nel linguaggio di programmazione Golang - diventando rapidamente uno dei preferiti dagli attori delle minacce grazie alle sue capacità multipiattaforma - e si diffonde attraverso bug noti e credenziali amministrative deboli.
Le vulnerabilità sfruttate da Capoae includono CVE-2020-14882 , un difetto di esecuzione del codice remoto (RCE) in Oracle WebLogic Server e CVE-2018-20062 , un altro RCE in ThinkPHP.
Il malware è stato individuato dopo che un campione ha preso di mira un honeypot di Akamai. Un campione di malware PHP è arrivato attraverso una backdoor collegata a un plug-in di WordPress chiamato Download-monitor, installato dopo che le credenziali lassiste dell'honeypot erano state ottenute tramite un attacco di forza bruta.
Questo plugin è stato quindi utilizzato come condotto per distribuire il payload Capoae principale su /tmp, un binario compresso UPX da 3 MB, che è stato quindi decodificato. XMRig viene quindi installato per estrarre la criptovaluta Monero (XMR).
Accanto al miner di criptovalute, sono installate anche diverse web shell, una delle quali è in grado di caricare file rubati dal sistema compromesso. Inoltre, uno scanner di porte è stato fornito in bundle con il minatore per trovare porte aperte per un ulteriore sfruttamento.
"Una volta eseguito, il malware Capoae dispone di un mezzo di persistenza piuttosto intelligente", afferma Cashdollar. "Il malware prima sceglie un percorso di sistema dall'aspetto legittimo da un piccolo elenco di posizioni su un disco in cui è probabile che si trovino i file binari di sistema. Quindi genera un nome di file di sei caratteri casuale e utilizza questi due pezzi per copiarsi nel nuovo posizione sul disco e si cancella. Una volta fatto, inietta/aggiorna una voce Crontab che attiverà l'esecuzione di questo binario appena creato."
Capoae tenterà di attaccare con la forza bruta le installazioni di WordPress per diffondersi e potrebbe anche utilizzare CVE-2019-1003029 e CVE-2019-1003030 , entrambi difetti RCE che hanno un impatto su Jenkins e le infezioni sono state rintracciate nei server Linux.
Cashdollar ha affermato che la campagna Capoae evidenzia "quanto siano intenti questi operatori a ottenere un punto d'appoggio sul maggior numero possibile di macchine".
I principali segni di infezione includono un elevato utilizzo delle risorse di sistema, processi di sistema imprevisti o irriconoscibili in funzione e strane voci di registro o artefatti, come file e chiavi SSH.
"La buona notizia è che le stesse tecniche che raccomandiamo alla maggior parte delle organizzazioni per proteggere i sistemi e le reti sono ancora valide qui", ha commentato Cashdollar. "Non utilizzare credenziali deboli o predefinite per server o applicazioni distribuite. Assicurati di mantenere aggiornate le applicazioni distribuite con le ultime patch di sicurezza e controllale di tanto in tanto."
In un secondo post sul blog , Akamai ha anche esaminato l'evoluzione di Kinsing, malware che utilizza vulnerabilità note in sistemi privi di patch per gestire e diffondere una botnet di mining di criptovaluta.
Secondo il ricercatore Evyatar Saias, Kinsing è stato individuato per la prima volta a febbraio da Akamai e, all'inizio, aveva preso di mira solo Linux. Tuttavia, un recente aggiornamento ha consentito alla botnet di colpire anche i sistemi Windows nelle Americhe, in Asia e in Europa.
Giovedì, Larry Cashdollar, ricercatore senior per la sicurezza presso Akamai, ha affermato che il malware , soprannominato Capoae, è scritto nel linguaggio di programmazione Golang - diventando rapidamente uno dei preferiti dagli attori delle minacce grazie alle sue capacità multipiattaforma - e si diffonde attraverso bug noti e credenziali amministrative deboli.
Le vulnerabilità sfruttate da Capoae includono CVE-2020-14882 , un difetto di esecuzione del codice remoto (RCE) in Oracle WebLogic Server e CVE-2018-20062 , un altro RCE in ThinkPHP.
Il malware è stato individuato dopo che un campione ha preso di mira un honeypot di Akamai. Un campione di malware PHP è arrivato attraverso una backdoor collegata a un plug-in di WordPress chiamato Download-monitor, installato dopo che le credenziali lassiste dell'honeypot erano state ottenute tramite un attacco di forza bruta.
Questo plugin è stato quindi utilizzato come condotto per distribuire il payload Capoae principale su /tmp, un binario compresso UPX da 3 MB, che è stato quindi decodificato. XMRig viene quindi installato per estrarre la criptovaluta Monero (XMR).
Accanto al miner di criptovalute, sono installate anche diverse web shell, una delle quali è in grado di caricare file rubati dal sistema compromesso. Inoltre, uno scanner di porte è stato fornito in bundle con il minatore per trovare porte aperte per un ulteriore sfruttamento.
"Una volta eseguito, il malware Capoae dispone di un mezzo di persistenza piuttosto intelligente", afferma Cashdollar. "Il malware prima sceglie un percorso di sistema dall'aspetto legittimo da un piccolo elenco di posizioni su un disco in cui è probabile che si trovino i file binari di sistema. Quindi genera un nome di file di sei caratteri casuale e utilizza questi due pezzi per copiarsi nel nuovo posizione sul disco e si cancella. Una volta fatto, inietta/aggiorna una voce Crontab che attiverà l'esecuzione di questo binario appena creato."
Capoae tenterà di attaccare con la forza bruta le installazioni di WordPress per diffondersi e potrebbe anche utilizzare CVE-2019-1003029 e CVE-2019-1003030 , entrambi difetti RCE che hanno un impatto su Jenkins e le infezioni sono state rintracciate nei server Linux.
Cashdollar ha affermato che la campagna Capoae evidenzia "quanto siano intenti questi operatori a ottenere un punto d'appoggio sul maggior numero possibile di macchine".
I principali segni di infezione includono un elevato utilizzo delle risorse di sistema, processi di sistema imprevisti o irriconoscibili in funzione e strane voci di registro o artefatti, come file e chiavi SSH.
"La buona notizia è che le stesse tecniche che raccomandiamo alla maggior parte delle organizzazioni per proteggere i sistemi e le reti sono ancora valide qui", ha commentato Cashdollar. "Non utilizzare credenziali deboli o predefinite per server o applicazioni distribuite. Assicurati di mantenere aggiornate le applicazioni distribuite con le ultime patch di sicurezza e controllale di tanto in tanto."
In un secondo post sul blog , Akamai ha anche esaminato l'evoluzione di Kinsing, malware che utilizza vulnerabilità note in sistemi privi di patch per gestire e diffondere una botnet di mining di criptovaluta.
Secondo il ricercatore Evyatar Saias, Kinsing è stato individuato per la prima volta a febbraio da Akamai e, all'inizio, aveva preso di mira solo Linux. Tuttavia, un recente aggiornamento ha consentito alla botnet di colpire anche i sistemi Windows nelle Americhe, in Asia e in Europa.
Commenti
Posta un commento