Capoae, Malware Baru Berbahasa Go Sasar Sistem WordPress dan Linux
Cyberthreat.id – Kerentanan pada sistem WordPress dan Linux diketahui tengah ditargetkan oleh operator peranti lunak jahat (malware) bernama “Capoae”. Malware baru ini ditulis dalam bahasa pemrograman Golang (Go).
Kerentanan yang dieksploitasi sebelumnya telah dilabeli sebagai CVE-2020-14882, kelemahan eksekusi kode jarak jauh (RCE) di Oracle WebLogic Server, dan CVE-2018-20062, dan RCE lain di ThinkPHP.
Peneliti keamanan siber di perusahaan TI Akamai, Larry Cashdollar, mengatakan, malware tersebut cepat terkena di kalangan peretas karena kemampuan lintas platformnya dan menyebar melalui bug yang telah dikenal serta menyasar kredensial administratif yang lemah.
“Malware itu terlihat setelah sampel menargetkan honeypot Akamai,” tulis ZDNet, Kamis (16 September 2021). Honeypot adalah sistem tiruan yang dirancang sama persis sesuai sistem aslinya sehingga ketika serangan terjadi, peretas terjebak di sistem perangkap atau tiruan tersebut.
Selanjutnya, sampel malware PHP muncul melalui “pintu belakang” (web shell) yang ditautkan ke plugin WordPress yang disebut “Download-monitor”, diinstal setelah kredensial lemah honeypot diperoleh melalui serangan brute-force.
Plugin tersebut kemudian digunakan sebagai saluran untuk menyebarkan muatan “Capoae” utama ke /tmp, biner paket UPX 3MB, yang kemudian di-decoded. Malware “XMRig” kemudian dipasang untuk menambang cryptocurrency Monero (XMR).
Di samping penambangan cryptocurrency, beberapa web shell juga dipasang, salah satunya dapat mengunggah file yang dicuri dari sistem yang disusupi. Selain itu, pemindai port telah dibundel dengan penambang untuk menemukan port terbuka untuk eksploitasi lebih lanjut.
"Setelah malware Capoae dieksekusi, ia memiliki cara persistensi (bertahan lama di perangkat terinfeksi) yang cukup pintar," kata Cashdollar.
Menurut dia, Capoae juga akan mencoba untuk secara paksa menyerang instalasi WordPress untuk menyebar dan juga dapat menggunakan CVE-2019-1003029 dan CVE-2019-1003030, keduanya merupakan kelemahan RCE yang berdampak pada Jenkins, dan infeksi telah dilacak ke server Linux.
Serangan Capoae memperlihatkan "betapa niat operator jahat tersebut mendapatkan pijakan pada mesin sebanyak mungkin."
Tanda-tanda utama infeksi perangkat, seperti penggunaan sumber daya sistem yang tinggi, proses sistem yang tidak terduga atau tidak dapat dikenali dalam operasi, dan entri atau artefak log yang aneh, seperti file dan kunci SSH.
Untuk mecegah serangan itu, ia menyarankan jangan menggunakan kredensial yang lemah atau default untuk server atau aplikasi yang diterapkan. “Pastikan Anda selalu memperbarui aplikasi yang diterapkan tersebut dengan patch keamanan terbaru dan memeriksanya dari waktu ke waktu," ujarnya.[]