Kobalos Malware

De Kobalos-malware is een bedreigende Linux-achterdeur die een breed scala aan besturingssystemen kan infecteren, waaronder Linux, BSD, Solaris en mogelijk AIX en Windows. Het onderzoek dat de dreiging analyseerde, ontdekte dat het een geavanceerd pakket van bedreigende en anti-detectiefuncties vertoonde. Het lijkt erop dat de belangrijkste doelwitten van de aanvalscampagne waarbij de Kobalos Malware betrokken is, high-performance computing (HPC) -clusters zijn, voornamelijk in Europa. De dreiging heeft ook een leverancier van eindpuntbeveiligingssoftware in de VS en een grote internetserviceprovider uit Azië in gevaar gebracht.

De Kobalos Malware is in staat om alle algemene bedreigende functies uit te voeren die verband houden met een achterdeurbedreiging, wat het bepalen van het werkelijke doel van de campagne zo veel moeilijker maakt. Eenmaal vastgesteld in het geïnfecteerde doelwit, kan de dreiging het bestandssysteem manipuleren, terminalsessies voortbrengen en proxy-verbindingen met andere geïnfecteerde systemen initiëren. Om hun malwaretool te bereiken, kunnen de hackers verschillende methoden gebruiken. In de meeste gevallen is de Kobalos-malware ingebed in het OpenSSH-serveruitvoerbare bestand (sshd) en om de achterdeurfunctionaliteit te activeren, moet de inkomende verbinding afkomstig zijn van een specifieke TCP-bronpoort. Als een zelfstandige variant die niet in de sshd is ingebed, wordt geïmplementeerd, kan deze proberen een Command-and-Control-server (C2, C&C) te bereiken of wacht op een verbinding op een bepaalde TCP-poort.

Een uniek aspect van Kobalos dat door de infosec-onderzoekers is ontdekt, is dat de dreiging de nodige code met zich meedraagt om een C & C-server te laten draaien. In de praktijk betekent dit dat elke gecompromitteerde server kan worden omgezet in een C & C-server voor de dreigende campagne met een enkel commando van de aanvallers.

Het echte doel van de hackers is onmogelijk te achterhalen, aangezien er geen andere malware-payloads op de geïnfecteerde machines zijn geplaatst, behalve een inloggegevensverzamelaar die de SSH-client van de slachtoffers wijzigt. Deze gegevensverzamelaar is vrij eenvoudig van ontwerp en lang niet het niveau van verfijning dat in Kobalos wordt gevonden. Eerdere versies bevatten niet-versleutelde strings, terwijl alle verduisterde accountreferenties werden gedeponeerd in een bestand dat op de schijf was opgeslagen. De hackers lijken deze tool van hun arsenaal echter actief te verbeteren, en recentere versies bevatten nu enige verduistering en zijn in staat om de verzamelde gebruikersnamen en wachtwoorden te achterhalen. Alle inloggegevens die door de bedreigingsacteur zijn verkregen, kunnen vervolgens worden gebruikt om de Kobalos-malware verder te verspreiden.