Malware Kobalos

Il Kobalos Malware è una minacciosa backdoor Linux che può infettare un'ampia gamma di sistemi operativi, inclusi Linux, BSD, Solaris e potenzialmente AIX e Windows. La ricerca che ha analizzato la minaccia ha scoperto che mostrava un sofisticato pacchetto di funzionalità minacciose e anti-rilevamento. Sembra che i principali obiettivi della campagna di attacco che coinvolge il malware Kobalos siano i cluster di calcolo ad alte prestazioni (HPC), situati principalmente in Europa. La minaccia ha anche compromesso un fornitore di software per la sicurezza degli endpoint negli Stati Uniti e un grande provider di servizi Internet dall'Asia.

Il malware Kobalos è in grado di svolgere tutte le funzioni minacciose generiche associate a una minaccia backdoor, il che rende molto più difficile determinare il vero scopo della campagna. Una volta stabilita all'interno della destinazione infetta, la minaccia può manipolare il file system, generare sessioni terminali e avviare connessioni proxy ad altri sistemi infetti. Per raggiungere il loro strumento malware, gli hacker possono utilizzare diversi metodi. Nella maggior parte dei casi, Kobalos Malware è incorporato nell'eseguibile del server OpenSSH (sshd) e, per attivare la funzionalità backdoor, la connessione in entrata deve provenire da una specifica porta TCP sorgente. Se viene distribuita una variante standalone non incorporata in sshd, può tentare di raggiungere un server Command-and-Control (C2, C&C) o attendere una connessione su una determinata porta TCP.

Un aspetto unico di Kobalos scoperto dai ricercatori di infosec è che la minaccia porta con sé il codice necessario per eseguire un server C&C. In pratica, questo significa che qualsiasi server compromesso può essere trasformato in un server C&C per la campagna minacciosa con un solo comando degli aggressori.

Il vero obiettivo degli hacker è impossibile da discernere, poiché nessun altro payload di malware è stato rilasciato sulle macchine infette, tranne un raccoglitore di credenziali che modifica il client SSH delle vittime. Questo raccoglitore di dati è piuttosto semplice nel design e per niente vicino al livello di sofisticazione trovato a Kobalos. Le versioni precedenti includevano stringhe non crittografate, mentre tutte le credenziali dell'account sottratte erano depositate in un file archiviato sul disco. Tuttavia, sembra che gli hacker stiano migliorando attivamente questo strumento del loro arsenale e le versioni più recenti ora includono un po 'di offuscamento e sono in grado di esfiltrare i nomi utente e le password raccolti. Qualsiasi credenziale ottenuta dall'attore della minaccia potrebbe quindi essere utilizzata per diffondere ulteriormente il malware Kobalos.