Kobalos Malware

Die Kobalos-Malware ist eine bedrohliche Linux-Hintertür, die eine Vielzahl von Betriebssystemen infizieren kann, darunter Linux, BSD, Solaris und möglicherweise AIX und Windows. Die Untersuchung, die die Bedrohung analysierte, ergab, dass sie ein ausgeklügeltes Paket von Bedrohungs- und Anti-Erkennungsfunktionen aufwies. Es scheint, dass die Hauptziele der Angriffskampagne mit der Kobalos-Malware HPC-Cluster (High Performance Computing) sind, die sich hauptsächlich in Europa befinden. Die Bedrohung hat auch einen Endpoint-Sicherheitssoftwareanbieter in den USA und einen großen Internetdienstanbieter aus Asien gefährdet.

Die Kobalos-Malware ist in der Lage, alle allgemeinen Bedrohungsfunktionen auszuführen, die mit einer Backdoor-Bedrohung verbunden sind, was die Bestimmung des eigentlichen Zwecks der Kampagne erheblich erschwert. Sobald die Bedrohung innerhalb des infizierten Ziels eingerichtet ist, kann sie das Dateisystem manipulieren, Terminalsitzungen erzeugen und Proxy-Verbindungen zu anderen infizierten Systemen herstellen. Um zu ihrem Malware-Tool zu gelangen, können die Hacker verschiedene Methoden anwenden. In den meisten Fällen ist die Kobalos-Malware in die ausführbare OpenSSH-Serverdatei (sshd) eingebettet. Um die Backdoor-Funktionalität auszulösen, muss die eingehende Verbindung von einem bestimmten TCP-Quellport stammen. Wenn eine eigenständige Variante bereitgestellt wird, die nicht in sshd eingebettet ist, kann sie versuchen, einen Command-and-Control-Server (C2, C & C) zu erreichen, oder auf eine Verbindung an einem bestimmten TCP-Port warten.

Ein einzigartiger Aspekt von Kobalos, der von den Infosec-Forschern entdeckt wurde, ist, dass die Bedrohung den notwendigen Code für den Betrieb eines C & C-Servers mit sich bringt. In der Praxis bedeutet dies, dass jeder gefährdete Server mit einem einzigen Befehl der Angreifer in einen C & C-Server für die Bedrohungskampagne umgewandelt werden kann.

Das wahre Ziel der Hacker ist nicht zu erkennen, da keine anderen Malware-Nutzdaten auf die infizierten Computer übertragen wurden, außer einem Anmeldeinformationssammler, der den SSH-Client der Opfer ändert. Dieser Datensammler ist ziemlich einfach im Design und bei weitem nicht so anspruchsvoll wie in Kobalos. Frühere Versionen enthielten unverschlüsselte Zeichenfolgen, während alle missbräuchlichen Kontoanmeldeinformationen in einer auf der Festplatte gespeicherten Datei abgelegt wurden. Die Hacker scheinen dieses Tool ihres Arsenals jedoch aktiv zu verbessern, und neuere Versionen enthalten jetzt eine gewisse Verschleierung und können die gesammelten Benutzernamen und Passwörter herausfiltern. Alle vom Bedrohungsakteur erhaltenen Anmeldeinformationen könnten dann verwendet werden, um die Kobalos-Malware weiter zu verbreiten.