Threat Database Malware Logiciel malveillant Kobalos

Logiciel malveillant Kobalos

Le logiciel malveillant Kobalos est une porte dérobée Linux menaçante qui peut infecter un large éventail de systèmes d'exploitation, y compris Linux, BSD, Solaris et potentiellement AIX et Windows. La recherche qui a analysé la menace a révélé qu'elle présentait un ensemble sophistiqué de fonctionnalités de menace et anti-détection. Il semble que les principales cibles de la campagne d'attaque impliquant le logiciel malveillant Kobalos soient des clusters de calcul haute performance (HPC), principalement situés en Europe. La menace a également compromis un fournisseur de logiciels de sécurité des terminaux aux États-Unis et un grand fournisseur de services Internet d'Asie.

Le logiciel malveillant Kobalos est capable d'exécuter toutes les fonctions de menace génériques associées à une menace de porte dérobée, ce qui rend la détermination du véritable objectif de la campagne encore plus difficile. Une fois établie à l'intérieur de la cible infectée, la menace peut manipuler le système de fichiers, générer des sessions de terminal et initier des connexions proxy vers d'autres systèmes infectés. Pour accéder à leur outil malveillant, les pirates peuvent utiliser plusieurs méthodes différentes. Dans la plupart des cas, le logiciel malveillant Kobalos est intégré dans l'exécutable du serveur OpenSSH (sshd) et, pour déclencher la fonctionnalité de porte dérobée, la connexion entrante doit provenir d'un port source TCP spécifique. Si une variante autonome non intégrée dans le sshd est déployée, elle peut tenter d'atteindre un serveur Command-and-Control (C2, C&C) ou attendre une connexion sur un port TCP donné.

Un aspect unique de Kobalos découvert par les chercheurs d'Infosec est que la menace porte avec elle le code nécessaire pour exécuter un serveur C&C. En pratique, cela signifie que tout serveur compromis peut être transformé en serveur C&C pour la campagne menaçante avec une seule commande des attaquants.

Le véritable objectif des hackers est impossible à discerner, car aucune autre charge utile de malware n'a été déposée sur les machines infectées, à l'exception d'un collecteur d'informations d'identification qui modifie le client SSH des victimes. Ce collecteur de données est plutôt basique dans sa conception et loin du niveau de sophistication trouvé dans Kobalos. Les versions antérieures incluaient des chaînes non chiffrées, tandis que toutes les informations d'identification de compte détournées étaient déposées dans un fichier stocké sur le disque. Les pirates semblent cependant améliorer activement cet outil de leur arsenal, et les versions plus récentes incluent désormais une certaine obscurcissement et sont capables d'exfiltrer les noms d'utilisateur et les mots de passe collectés. Toutes les informations d'identification obtenues par l'acteur menaçant pourraient ensuite être utilisées pour propager davantage le logiciel malveillant Kobalos.

Tendance

Le plus regardé

Chargement...