ESET 检测到并描述的恶意软件 在博客中 周二,该公司涉及对一家主要亚洲互联网服务提供商 (ISP)、一家美国端点安全提供商和一些私人服务器以及其他目标使用的超级计算机的攻击。
网络安全团队以 kobalos 的名字将恶意软件命名为 Kobalos,这是希腊神话中被认为异常恶意的一种小生物。
科巴洛斯的不同寻常有很多原因。该恶意软件的代码库很小,但足够复杂,至少可以影响 Linux、BSD 和 Solaris 操作系统。 ESET 怀疑它可能与针对 AIX 计算机的攻击兼容,并且 Microsoft Windows操作系统。
通过与 CERN 计算机安全小组合作,ESET 意识到一种“独特的跨平台”恶意软件正以高性能计算 (HPC) 集群为目标。 在某些感染案例中,“第三方”恶意软件会拦截与 SSH 服务器的连接以窃取凭据,然后使用这些凭据获得对 HPC 集群和 Kobalos 部署的访问权限。
Kobalos 代码库很小,但影响不大。
Kobalos 本质上是一个后门。 一旦恶意软件攻击超级计算机,代码就会钻入 OpenSSH 服务器可执行文件并在通过特定 TCP 输出端口进行调用时启动后门。 其他选项充当与命令和控制服务器 (C2) 的传统连接的中介。
Kobalos 为其操作员提供对文件系统的远程访问权限,允许他们运行终端会话,并充当与其他感染恶意软件的服务器的连接点。 ESET 声称 Kobalos 的独特功能是它能够通过单个命令将任何受感染的服务器转变为 C2。
“我们无法确定 Kobalos 操作员的意图,”ESET 评论道。 “除了窃取 SSH 凭证外,系统管理员没有在受感染机器上检测到其他恶意软件。 我们希望我们今天在新出版物中披露的细节将有助于提高对这一威胁的认识并揭示其活动。”
另请阅读: