Capoaeマルウェア

侵害されたシステムに暗号マイニングペイロードを配信するために、アクティブな攻撃キャンペーンで新しいマルウェア株が使用されています。脅威はCapoaeと名付けられ、調査結果によると、CapoaeはGo言語を使用して記述されています。これは、クロスプラットフォーム機能によりサイバー犯罪者の間で人気のある選択肢になりつつあります。

侵害の最初のベクトルとして、攻撃者は、いくつかの既知の脆弱性を悪用しながら、弱い資格情報を持つシステムを再びブルートフォース攻撃で使用します。具体的には、Capoaeは、Oracle WebLogic Serverのリモートコード実行（RCE）の欠陥であるCVE-2020-14882、別のRCEであるCVE-2018-20062に依存していますが、今回はThinkPHPにあります。この脅威は、CVE-2019-1003029およびCVE-2019-1003030として追跡されているJenkinsの2つのRCE脆弱性を利用している可能性があります。

脅迫能力

そのため、CapoaeはWordPressのインストールやLinuxシステムに感染する可能性があります。侵害されたシステムに配信される最終的なペイロードは、被害者のリソースを乗っ取って、最も人気のある暗号通貨の1つであるMoneroコインをマイニングするXMRigバリアントです。ただし、マイナーと並んで、他のさまざまなWebシェルも展開されます。それらは、脅威アクターが利用できる不正なアクションを拡張します。たとえば、1つは、感染したシステムからファイルを収集するタスクです。次に、ポートスキャナーが開始され、開いているポートを探して、Capoaeマルウェアのさらなる拡散を促進します。

その継続的な存在を確実にするために、脅威は新しい永続化メカニズムを備えています。まず、Capoaeは、潜在的な場所のリストから、一見正当なシステムパスを選択します。次に、6つのランダムな文字で構成される新しいファイル名を生成し、選択した場所に自分自身をコピーします。その後、マルウェアの古いバイナリが削除されます。最後のステップは、新しく生成されたファイルを実行する新しいCrontabエントリを挿入するか、既存のCrontabエントリを更新することです。

Capoae感染の典型的な症状には、システムリソースの異常な使用、バックグラウンドで実行されている奇妙なまたは予期しないシステムプロセス、SSHキーや小さなファイルなどのシステムに残された見慣れないアーティファクトが含まれます。