Threat Database Malware Kobalos Malware

Kobalos Malware

O Kobalos Malware é um backdoor ameaçador do Linux que pode infectar uma ampla gama de sistemas operacionais, incluindo Linux, BSD, Solaris e, potencialmente, AIX e Windows. A pesquisa que analisou a ameaça descobriu que ela exibia um pacote sofisticado de recursos de ameaça e anti-detecção. Parece que os principais alvos da campanha de ataque envolvendo o Kobalos Malware são clusters de computação de alto desempenho (HPC), localizados principalmente na Europa. A ameaça também comprometeu um fornecedor de software de segurança de endpoint nos Estados Unidos e um grande provedor de serviços de Internet da Ásia.

O Kobalos Malware é capaz de realizar todas as funções de ameaça genéricas associadas a uma ameaça de backdoor, o que torna muito mais difícil determinar o propósito real da campanha. Uma vez estabelecida dentro do alvo infectado, a ameaça pode manipular o sistema de arquivos, gerar sessões de terminal e iniciar conexões proxy para outros sistemas infectados. Para acessar sua ferramenta de malware, os hackers podem usar vários métodos diferentes. Na maioria dos casos, o Kobalos Malware está embutido no executável do servidor OpenSSH (sshd) e, para acionar a funcionalidade backdoor, a conexão de entrada deve vir de uma porta de origem TCP específica. Se uma variante independente não incorporada ao sshd for implantada, ela pode tentar acessar um servidor Command-and-Control (C2, C&C) ou aguardar uma conexão em uma determinada porta TCP.

Um aspecto único do Kabalos descoberto pelos pesquisadores da infosec é que a ameaça carrega consigo o código necessário para executar um servidor C&C. Na prática, isso significa que qualquer servidor comprometido pode ser transformado em um servidor C&C para a campanha ameaçadora com um único comando dos atacantes.

O verdadeiro objetivo dos hackers é impossível de discernir, já que nenhuma outra carga de malware foi lançada nas máquinas infectadas, exceto um coletor de credenciais que modifica o cliente SSH das vítimas. Este coletor de dados é bastante básico em design e longe do nível de sofisticação encontrado em Kabalos. As versões anteriores incluíam cadeias de caracteres não criptografadas, enquanto todas as credenciais de conta inadequadas eram depositadas em um arquivo armazenado no disco. Os hackers parecem estar melhorando ativamente essa ferramenta de seu arsenal, e as versões mais recentes agora incluem alguma ofuscação e são capazes de exfiltrar os nomes de usuário e senhas coletados. Todas as credenciais obtidas pelo agente da ameaça podem ser usadas para disseminar ainda mais o Kobalos Malware.

Tendendo

Mais visto

Carregando...