Исследователи ESET провели обратную разработку этой небольшой, но сложной вредоносной программы, переносимой на многие операционные системы, включая Linux, BSD, Solaris и, возможно, AIX и Windows. “Мы назвали эту вредоносную программу Kobalos за ее крошечный размер кода и множество трюков; в греческой мифологии кобалос-это маленькое озорное существо”, - объясняет Марк-Этьен Левейе, который исследовал Кобалоса. “Надо сказать, что такой уровень сложности редко встречается в вредоносных программах Linux”, - добавляет Левейе.
Kobalos-это бэкдор, содержащий широкие команды, которые не раскрывают намерения злоумышленников. “Короче говоря, Kobalos предоставляет удаленный доступ к файловой системе, предоставляет возможность создавать терминальные сеансы и позволяет проксировать соединения с другими зараженными Kobalos серверами",-говорит левей.
Любой сервер, скомпрометированный Kobalos, может быть превращен в сервер Command & Control (C&C) операторами, отправляющими одну команду. Поскольку IP-адреса и порты сервера C&C жестко закодированы в исполняемый файл, операторы могут затем генерировать новые образцы Kobalos, которые используют этот новый сервер C&C. Кроме того, в большинстве систем, скомпрометированных Kobalos, клиент для безопасной связи (SSH) скомпрометирован для кражи учетных данных.
"Любой, кто использует SSH-клиент скомпрометированной машины, получит свои учетные данные. Эти учетные данные затем могут быть использованы злоумышленниками для установки Kobalos на недавно обнаруженном сервере позже", - добавляет левей. Настройка двухфакторной аутентификации для подключения к SSH-серверам смягчит угрозу, поскольку использование украденных учетных данных, по-видимому, является одним из способов распространения этой угрозы на различные системы.
Дополнительную техническую информацию о компании Kobalos смотрите в блоге” Kobalos – a complex Linux threat to high performance computing infrastructure " на сайте WeLiveSecurity. Обязательно следуйте за мной ESET Research в Twitter для получения последних новостей от ESET Research.
Отрасль и регион скомпрометированных организаций
«МойОфис» представил обновленные версии корпоративных продуктов Squadus 1.7, Squadus PRO 1.7, «МойОфис Частное Облако» 3.2 и «МойОфис Стандартный». Нововведения создают удобное и защищенное пространство для эффективной командной работы. Также, в рамках релиза была значительно расширена функциональность приложений для частных лиц «МойОфис для дома»
Компания «РуБэкап» (входит в «Группу Астра») получила престижную премию FINNEXT на ежегодном форуме финансовых инноваций. Разработчик решения RuBackup признан лидером в специальной номинации «Эффективное импортозамещающее решение для резервного копирования, восстановления и защиты данных для банков»
Компании «Киберпротект» и Orion soft подтвердили взаимную совместимость системы резервного копирования Кибер Бэкап и платформы оркестрации контейнеризированных приложений Nova Container Platform. Вместе решения дают заказчикам инструменты для комплексной защиты данных в контейнерах: не только для гибкого резервного копирования и восстановления информации, но также и для мониторинга и контроля потенциальных уязвимостей
Разработчик ИИ-решений для интеллектуальной обработки информации Content AI и поставщик компьютерного оборудования ПИРИТ договорились о сотрудничестве при продвижении своих продуктов. Компании будут реализовывать сканеры Avision с редактором ContentReader PDF для корпоративных пользователей отечественных операционных систем
В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP
«Лаборатория Касперского» обнаружила вредоносную кампанию, в рамках которой злоумышленники распространяют зловред для ОС Windows под видом приложения на основе нейросетей для изменения голоса
Злоумышленники обновили свою схему, предупреждают эксперты «Лаборатории Касперского»
Кампания нацелена преимущественно на представителей малого бизнеса
Таковы данные ежегодного аналитического отчёта, основанного на статистике срабатываний Kaspersky MDR.
Ваши контактные данные не публикуются на сайте.