idNSA.id - Peneliti Akamai melihat jenis malware baru yang ditulis dalam bahasa pemrograman Golang, dijuluki Capoae, yang terlibat dalam serangan yang ditujukan untuk instalasi WordPress dan sistem Linux.
Malware menyebar melalui serangan yang mengeksploitasi kerentanan yang diketahui (yaitu CVE-2020-14882 Oracle WebLogic Server RCE, dan CVE-2018-20062 ThinkPHP RCE) dan menargetkan situs dan sistem yang dilindungi dengan kredensial administratif yang lemah. Setelah menginfeksi sistem, malware menyalahgunakan sumber dayanya untuk menambang cryptocurrency.
Para peneliti menemukan ancaman tersebut setelah sampel malware menargetkan satu honeypot Akamai. Para penyerang menjatuhkan sampel malware PHP melalui pintu belakang yang ditautkan ke plugin WordPress yang disebut Download-monitor, yang dipasang setelah honeypot diakses.
“Saat berita menyebar tentang serangan malware penambangan kripto ini, honeypots SIRT terinfeksi malware PHP yang datang melalui tambahan backdoor ke plugin WordPress bernama download-monitor.” kata peneliti Akamai Larry Cashdollar. “ Download-monitor telah diinstal setelah kredensial admin WordPress honeypot yang lemah telah ditebak. Biner Golang yang dikemas dengan UPX 3MB juga diunduh ke /tmp. Setelah diperiksa, jelas malware tersebut memiliki beberapa fungsi dekripsi dan file terenkripsi yang disimpan di direktori lain.”
Para peneliti juga memperhatikan bahwa penyerang memasang beberapa web shell untuk melakukan aktivitas jahat seperti mengunggah file curian ke server jarak jauh yang dikendalikan oleh penyerang. Analisis biner mengungkapkan keberadaan pemindai port yang digunakan untuk menargetkan alamat IP yang dibuat secara acak dan memeriksa port yang akan ditargetkan dengan eksploitasi yang diketahui.
Untuk mendeteksi infeksi, Cashdollar merekomendasikan untuk memperhatikan konsumsi sumber daya sistem, proses yang berjalan aneh/tidak terduga, artefak yang mencurigakan (file, entri crontab, kunci SSH, dll.), dan entri log akses yang mencurigakan, dll. Peneliti juga membagikan daftar Indikator Kompromi (IoCs) untuk ancaman ini.
“Penggunaan beberapa kerentanan dan taktik kampanye Capoae menyoroti betapa niatnya para operator ini untuk mendapatkan pijakan pada mesin sebanyak mungkin. Kabar baiknya adalah, teknik yang sama yang disarankan untuk sebagian besar organisasi untuk menjaga keamanan sistem dan jaringan tetap berlaku di sini.” kesimpulan analisis.
