Capoae惡意軟件使用多個(gè)漏洞攻擊Linux系統(tǒng)和Web應(yīng)用程序

安全研究員于上周四檢測到名為Capoae的惡意軟件，該惡意軟件利用多個(gè)漏洞攻擊 Linux系統(tǒng)和多個(gè)Web應(yīng)用程序。

Capoae惡意軟件是用Golang編程語言編寫的，由于它具有跨平臺(tái)功能，因此很快成為公司的最愛。

此外，它還通過已確認(rèn)的漏洞和薄弱的官方憑據(jù)進(jìn)行傳播。但是，Capoae利用的漏洞附加：

CVE-2020-14882：這是 Oracle WebLogic Server 中的遠(yuǎn)程代碼執(zhí)行 (RCE) 缺陷。

CVE-2018-20062：這是ThinkPHP中的另一個(gè) RCE 缺陷。

惡意軟件的主要?jiǎng)訖C(jī)是利用我們上面所暗示的脆弱系統(tǒng)和薄弱的管理憑證來傳播。

除了傳播加密挖礦惡意軟件攻擊，網(wǎng)絡(luò)安全分析師還發(fā)現(xiàn)，SIRT“蜜罐”還受到PHP惡意軟件的影響，這些惡意軟件是通過一個(gè)名為“Download-monitor”的WordPress插件的擴(kuò)展后門出現(xiàn)的。

現(xiàn)在要將主Capoae有效負(fù)載部署到/tmp，這個(gè)插件被用作一個(gè)通道，一旦完成，一個(gè)3MB的UPX打包二進(jìn)制文件就被解碼了。所有這些步驟都是為了安裝XMRig來挖掘Monero (XMR)加密貨幣。

二進(jìn)制中有什么?

檢測到惡意軟件后，網(wǎng)絡(luò)安全當(dāng)局展開了強(qiáng)有力的調(diào)查，以了解有關(guān)這些漏洞的所有詳細(xì)信息。為此，他們將惡意軟件與“upx -d”一起解壓縮，以正確查看實(shí)際的二進(jìn)制結(jié)構(gòu)。

研究人員發(fā)現(xiàn)了更多關(guān)于漏洞的關(guān)鍵細(xì)節(jié)，他們注意到，主要結(jié)構(gòu)揭示了它的功能是針對少數(shù)知名的漏洞，并具有內(nèi)容管理框架。

Golang惡意軟件可以在VirusTotal中找到，其起源日期為2021年8月9日：

$ ./redress -compiler Capoae

編譯器版本：go1.15.4 (2020-11-05T21:21:32Z)

然而，Capoae活動(dòng)在攻擊期間使用了幾個(gè)漏洞和不同的方法，這突顯出這些威脅行為者的意圖是如何在盡可能多的機(jī)器上獲得立足點(diǎn)。

軟件系統(tǒng)的安全漏洞成為網(wǎng)絡(luò)犯罪分子發(fā)動(dòng)攻擊的“輔助工具”。尤其網(wǎng)絡(luò)犯罪分子通過升級(jí)或更新惡意軟件的攻擊手段，在受害者未知的情況下潛入系統(tǒng)并發(fā)起網(wǎng)絡(luò)攻擊，這就為病毒監(jiān)測系統(tǒng)帶來很大困擾。因此在軟件開發(fā)過程中加強(qiáng)安全性建設(shè)，提高底層代碼質(zhì)量，是幫助軟件抵御網(wǎng)絡(luò)攻擊的有效手段。尤其超6成安全漏洞與代碼有關(guān)，因此在編碼時(shí)使用靜態(tài)代碼檢測工具輔助開發(fā)人員第一時(shí)間查找并修正代碼缺陷和不足，可以大大提高軟件自身安全性。在網(wǎng)絡(luò)攻擊日益多樣化的今天，提高軟件安全性已成為繼殺毒軟件防火墻等防御措施之后的又一有效手段。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=c1af3fe71865431780acd92c5040346e

https://gbhackers.com/capoae-malware/