Capoae Malware

Une nouvelle souche de malware est utilisée dans des campagnes d'attaques actives pour fournir des charges utiles de crypto-mining sur des systèmes compromis. La menace a été nommée Capoae, et, selon les résultats, Capoae est écrit en utilisant le langage Go, qui devient un choix populaire dans les cercles cybercriminels en raison de ses capacités multiplateformes.

En tant que vecteurs initiaux de compromission, les acteurs de la menace recourent à des attaques par force brute contre des systèmes avec des informations d'identification faibles, tout en exploitant également plusieurs vulnérabilités connues. Plus précisément, Capoae s'appuie sur CVE-2020-14882, une faille d'exécution de code à distance (RCE) dans Oracle WebLogic Server, CVE-2018-20062, une autre RCE mais cette fois dans ThinkPHP. La menace peut également utiliser deux vulnérabilités RCE dans Jenkins qui sont suivies comme CVE-2019-1003029 et CVE-2019-1003030.

Capacités menaçantes

En tant que tel, Capoae est capable d'infecter les installations WordPress et les systèmes Linux. La charge utile finale livrée aux systèmes violés est une variante XMRig qui détournera les ressources de la victime pour extraire des pièces Monero, l'une des crypto-monnaies les plus populaires.Cependant, à côté du mineur, divers autres shells Web sont également déployés. Ils élargissent les actions néfastes disponibles pour les acteurs de la menace. L'un, par exemple, est chargé de collecter les fichiers des systèmes infectés. Un scanner de ports est ensuite lancé et recherche les ports ouverts pour faciliter la prolifération du malware Capoae.

Pour assurer sa présence continue, la menace est équipée d'un nouveau mécanisme de persistance. Tout d'abord, Capoae choisira un chemin système apparemment légitime dans une liste d'emplacements potentiels. Ensuite, il générera un nouveau nom de fichier composé de six caractères aléatoires et se copiera à l'emplacement sélectionné. Les anciens binaires du malware sont alors supprimés. La dernière étape consiste à injecter une nouvelle entrée ou à mettre à jour une entrée Crontab existante qui exécutera le fichier nouvellement généré.

Les symptômes typiques d'une infection Capoae incluent une utilisation anormale des ressources système, des processus système étranges ou inattendus s'exécutant en arrière-plan ou des artefacts inconnus laissés sur le système tels que des clés SSH ou de petits fichiers.