Backdoor Kobalos dirigido a sistemas HPC
- Publicado: 02/02/2021
- Importancia: Media
- Recursos afectados
Se pudo observar también, que existe el hurto de credenciales SSH, el cual se realiza mediante un cliente OpenSSH troyanizado, reemplazando el archivo legítimo / usr / bin / sshfile; registrando entonces el nombre de usuario, la contraseña y el nombre de host de destino.
Kobalos se cataloga como un malware desarrollado para distribuciones Linux, pero no se descarta que se enfoque en otros sistemas operativos. Dentro de sus capacidades se encuentran las siguientes:
- Cada muestra de Kobalos puede actuar como C2 en cada host o servidor comprometido sin necesidad de invocar un servidor o muestra externa.
- Cifrado de sus strings para obstaculizar el análisis.
- Cifrado de la información desde y hacia los ciberdelincuentes.
Este Backdoor de acceso remoto puede impactar a su organización al realizar:
- Acceso remoto al sistema para exfiltrar información confidencial.
- Propagación mediante la exfiltración de credenciales.
- Descargar software malicioso.
- Generar código malicioso mediante las sesiones de terminal accedidas.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas