Malware Kobalos

Kobalos Malware es una puerta trasera de Linux amenazante que puede infectar una amplia gama de sistemas operativos, incluidos Linux, BSD, Solaris y potencialmente AIX y Windows. La investigación que analizó la amenaza descubrió que exhibía un paquete sofisticado de características amenazantes y anti-detección. Parece que los principales objetivos de la campaña de ataque que involucra al Kobalos Malware son los clústeres de computación de alto rendimiento (HPC), ubicados principalmente en Europa. La amenaza también ha comprometido a un proveedor de software de seguridad de terminales en los EE. UU. Y a un gran proveedor de servicios de Internet de Asia.

Kobalos Malware es capaz de llevar a cabo todas las funciones de amenaza genéricas asociadas con una amenaza de puerta trasera, lo que hace que determinar el propósito real de la campaña sea mucho más difícil. Una vez establecida dentro del objetivo infectado, la amenaza puede manipular el sistema de archivos, generar sesiones de terminal e iniciar conexiones proxy a otros sistemas infectados. Para acceder a su herramienta de malware, los piratas informáticos pueden utilizar varios métodos diferentes. En la mayoría de los casos, Kobalos Malware está incrustado en el ejecutable del servidor OpenSSH (sshd) y, para activar la funcionalidad de puerta trasera, la conexión entrante debe provenir de un puerto de origen TCP específico. Si se implementa una variante independiente que no está incorporada en el sshd, puede intentar alcanzar un servidor de Comando y Control (C2, C&C) o esperar una conexión en un puerto TCP determinado.

Un aspecto único de Kobalos descubierto por los investigadores de infosec es que la amenaza lleva consigo el código necesario para ejecutar un servidor C&C. En la práctica, esto significa que cualquier servidor comprometido puede convertirse en un servidor C&C para la campaña amenazante con un solo comando de los atacantes.

El verdadero objetivo de los piratas informáticos es imposible de discernir, ya que no se han lanzado otras cargas útiles de malware en las máquinas infectadas, excepto un recopilador de credenciales que modifica el cliente SSH de las víctimas. Este recolector de datos tiene un diseño bastante básico y no se acerca al nivel de sofisticación que se encuentra en Kobalos. Las versiones anteriores incluían cadenas sin cifrar, mientras que todas las credenciales de la cuenta malversadas se depositaban en un archivo almacenado en el disco. Sin embargo, los piratas informáticos parecen estar mejorando activamente esta herramienta de su arsenal, y las versiones más recientes ahora incluyen algo de ofuscación y pueden filtrar los nombres de usuario y las contraseñas recopilados. Cualquier credencial obtenida por el actor de la amenaza podría usarse para difundir más el Kobalos Malware.