Kobalos のコードベースは小さいですが、その影響力はそれほど大きくありません。
小規模だが複雑なマルウェアの亜種が世界中のスーパーコンピューターを標的にしています。
安全
- 安全性の高いリモート ワーカーの 8 つの習慣
- 携帯電話からスパイウェアを見つけて削除する方法
- 最高の VPN サービス: トップ 5 をどう比較しますか?
- データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか
ESET によってリバース エンジニアリングされ、説明されています ブログ投稿で 火曜日、このマルウェアはアジアの大規模なインターネットで使用されているスーパーコンピューターに対する攻撃に遡ることが判明しました。 サービス プロバイダー (ISP)、米国のエンドポイント セキュリティ ベンダー、および多数の私有サーバーなど ターゲット。
サイバーセキュリティチームは、このマルウェアに敬意を表して「Kobalos」と名付けました。 コバロス、ギリシャ神話に登場する、いたずらを引き起こすと信じられている小さな生き物。
コバロスはさまざまな理由で珍しいです。 このマルウェアのコードベースは小さいですが、少なくとも Linux、BSD、Solaris オペレーティング システムに影響を与えるほど高度です。 ESETは、AIXやMicrosoft Windowsマシンに対する攻撃にも対応している可能性があると疑っている。
サイバーセキュリティ研究者のMarc-Etienne Léveillé氏は、「Linuxマルウェアでこれほど洗練されたものはほとんど見られないと言わざるを得ません」とコメントした。
ESET は、CERN コンピュータ セキュリティ チームと協力する中で、「ユニークなマルチプラットフォーム」マルウェアがハイ パフォーマンス コンピュータ (HPC) クラスタをターゲットにしていることに気付きました。 感染の一部のケースでは、「サイドキック」マルウェアが SSH サーバー接続をハイジャックして資格情報を盗み、その後、HPC クラスターへのアクセスを取得して Kobalos を展開するために使用されるようです。
「この認証情報を盗む者の存在は、Kobalos がどのように伝播するかを部分的に解明する可能性がある」と研究チームは述べている。
Kobalos は本質的にバックドアです。 マルウェアがスーパーコンピューターに到達すると、コードは OpenSSH サーバーの実行可能ファイルに埋め込まれ、特定の TCP ソース ポート経由で呼び出しが行われた場合にバックドアをトリガーします。
他の亜種は、従来のコマンド アンド コントロール (C2) サーバー接続の仲介者として機能します。
Kobalos は、オペレーターにファイル システムへのリモート アクセスを許可し、ターミナル セッションの生成を許可し、マルウェアに感染した他のサーバーへの接続ポイントとしても機能します。
ESETによると、Kobalosのユニークな側面は、侵害されたサーバーを1つのコマンドでC2に変える機能だという。
「C2サーバーのIPアドレスとポートは実行可能ファイルにハードコーディングされているため、オペレーターはこの新しいC2サーバーを使用する新しいKobalosサンプルを生成できる」と研究者らは指摘した。
このマルウェアは、すべてのコードが「再帰的に呼び出す単一の関数」に保持されているため、分析が困難でした。 それ自体がサブタスクを実行する」とESETは述べ、元に戻すためのさらなる障壁としてすべての文字列が暗号化されていると付け加えた エンジニアリング。 現時点では、このマルウェアについてさらに研究を行う必要があり、その開発に誰が責任を負うのかについても研究が行われる必要があります。
ESETは「Kobalosの運営者の意図を特定することはできなかった」とコメントした。 「侵害されたマシンのシステム管理者によって、SSH 認証情報スティーラーを除いて他のマルウェアは発見されませんでした。 本日、新しい出版物で明らかにした詳細が、この脅威に対する意識を高め、その活動を顕微鏡下に置くのに役立つことを願っています。」
以前の報道および関連報道
-
コロンビアのエネルギー・金属企業が新たなトロイの木馬攻撃の波にさらされる
-
Android アプリはニュース更新を提供すると約束したが、代わりに ESET に DDoS 攻撃を提供した
-
ユタ州、オンラインナマズ釣りを犯罪行為に変える試験を実施
ヒントはありますか? WhatsApp 経由で安全に連絡を取る | +447713 025 499、または Keybase: charlie0 までご連絡ください。