新的Capoae恶意软件渗入WordPress网站并安装后门插件

最近发现的一波恶意软件攻击已被发现，他们使用各种策略奴役易受影响的机器，并使用易于猜测的管理凭据将其加入网络，目的是非法挖掘加密货币

“恶意软件的主要策略是利用易受攻击的系统和薄弱的管理凭据进行传播。一旦被感染，这些系统就会被用来挖掘加密货币，”Akamai安全研究员拉里·卡什杜拉在上周发布的一篇文章中说

PHP恶意软件—；代号为“Capoae”（俄语单词“Scanning”的缩写“Сааааааааааааааа；据说是通过一个名为“下载监视器”的WordPress插件的后门添加到主机上的，该插件是在成功强制WordPress管理员凭据后安装的。这些攻击还涉及部署一个具有解密功能的Golang二进制文件，通过利用特洛伊木马插件从参与者控制的域发出GET请求来检索模糊的有效载荷

还包括解密和执行额外有效载荷的功能，而Golang二进制文件利用Oracle WebLogic Server（CVE-2020-14882）、NoneCms（CVE-2018-20062）中的多个远程代码执行漏洞进行攻击，Jenkins（CVE-2019-1003029和CVE-2019-1003030）强行进入运行SSH的系统，并最终启动XMRig挖掘软件

更重要的是，攻击链以其持久性技巧脱颖而出，这包括在可能找到系统二进制文件的磁盘上选择一个看起来合法的系统路径，以及生成一个随机的六字符文件名，然后在执行恶意软件之前将其自身复制到系统上的新位置

“Capoae运动对多个漏洞和策略的使用突显了这些运营商在尽可能多的机器上站稳脚跟的意图，”Cashdollar说。“好消息是，我们为大多数组织推荐的保持系统和网络安全的技术仍然适用于这里。”

“不要对服务器或已部署的应用程序使用弱凭据或默认凭据，”Cashdollar补充道。“确保已部署的应用程序使用最新的安全补丁保持最新，并随时检查它们。留意高于正常的系统资源消耗、奇怪/意外的运行进程、可疑的工件和可疑的访问日志条目等，将有助于您识别潜在的危害机器。"