Kobalos malware

Kobalos Malware er en truende Linux-bagdør, der kan inficere en bred vifte af operativsystemer, herunder Linux, BSD, Solaris og potentielt AIX og Windows. Forskningen, der analyserede truslen, opdagede, at den udviste en sofistikeret pakke med truende og antidetektionsfunktioner. Det ser ud til, at de vigtigste mål for angrebskampagnen, der involverer Kobalos Malware, er high-performance computing (HPC) klynger, primært placeret i Europa. Truslen har også kompromitteret en slutpunktssikkerhedssoftwareleverandør i USA og en stor internetudbyder fra Asien.

Kobalos Malware er i stand til at udføre alle de generiske truende funktioner forbundet med en bagdørstrussel, hvilket gør det meget sværere at bestemme det virkelige formål med kampagnen. Når den er etableret inden for det inficerede mål, kan truslen manipulere filsystemet, gyde terminalsessioner og starte proxied forbindelser til andre inficerede systemer. For at nå deres malware-værktøj kan hackerne bruge flere forskellige metoder. I de fleste tilfælde er Kobalos Malware integreret i den eksekverbare OpenSSH-server (sshd), og for at udløse bagdørfunktionaliteten skal den indgående forbindelse komme fra en bestemt TCP-kildeport. Hvis en uafhængig variant, der ikke er integreret i sshd, implementeres, kan den forsøge at nå en Command-and-Control (C2, C&C) server eller vente på en forbindelse på en given TCP-port.

Et unikt aspekt af Kabalos opdaget af infosec-forskerne er, at truslen bærer den nødvendige kode for at køre en C&C-server. I praksis betyder det, at enhver kompromitteret server kan omdannes til en C & C-server til den truende kampagne med en enkelt kommando fra angriberne.

Hackernes sande mål er umuligt at skelne, da ingen andre malware-nyttelast er blevet droppet på de inficerede maskiner, undtagen en legitimationssamler, der ændrer ofrenes SSH-klient. Denne dataindsamler er ret grundlæggende i design og ikke i nærheden af det niveau af sofistikering, der findes i Kabalos. Tidligere versioner omfattede ukrypterede strenge, mens alle de misbrugte legitimationsoplysninger for kontoen blev deponeret i en fil, der er gemt på disken. Hackerne ser dog ud til at forbedre dette værktøj i deres arsenal aktivt, og nyere versioner inkluderer nu en del tilsløring og er i stand til at exfiltrere de indsamlede brugernavne og adgangskoder. Alle legitimationsoplysninger opnået af trusselsaktøren kunne derefter bruges til at sprede Kobalos Malware yderligere.