Kobalos恶意软件的代码库很小,但它的目标是全球超级计算机。
显然,这是一个以前没有被记录的恶意软件。被发现后,恶意软件被命名为Kobalos——来自希腊神话的小精灵喜欢恶作剧和欺骗凡人。
感染组织的行业和区域分布Kobalos可追溯到2019年底,并在2020年继续活跃。从某种意义上说,Kobalos它是一个通用的后门,因为它包含了广泛的命令,所以无法知道攻击者的真正意图。然而,至少可以确认,攻击者没有使用感染的超级计算机来挖掘加密货币。
Kobalos本质上是后门。一旦恶意软件安装在超级计算机上,恶意代码就会隐藏自己OpenSSH如果通过特定的服务器执行文件TCP调用源端口会触发后门。Kobalos攻击者可以远程访问文件系统,生成终端会话,并作为连接其他感染恶意软件的服务器的连接点。
从影响范围来看,Kobalos虽然代码库很小,但至少很复杂Linux、BSD和Solaris操作系统并有理由怀疑它可能是针对性的AIX和Microsoft Windows类似于机器的攻击。在攻击目标上,集中高性能计算集群(HPC),终点安全解决方案提供商、政府机构、北美个人服务器、大学、欧洲托管公司和亚洲主要ISP。
Kobalos功能概述和访问方式
不得不说,这种复杂性在于Linux恶意软件很少见。从恶意软件的众多完整功能和网络规避技术来看,Kobalos不像大多数Linux恶意软件是如此的琐碎,它的所有代码都保存在一个函数中,它被递归调用来执行子任务。此外,所有字符串都被加密,因此更难找到恶意代码,而不是静态检查样本。Kobalos可以低调运行,不断提高能力。
IOC
参考来源:
https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/