Kobalos恶意软件代码库很小,但它的目标是世界超级计算机。显然,这是一个以前未记录的恶意软件,在被发现后,该恶意软件被命名为Kobalos——以希腊神话中喜欢耍花招和欺骗凡人的精灵命名。受感染组织的行业和地区分布Kobalos活动可追溯至2019年末,2020年持续活跃。从某种意义上说,Kobalos是一个通用后门,因为它包含的命令范围很广,因此无法知道其真正意图攻击者。但是,至少可以确认攻击者目前并未使用受感染的超级计算机进行加密货币挖掘。Kobalos本质上是一个后门。一旦恶意软件安装在超级计算机上,恶意代码就会将自身隐藏在OpenSSH服务器可执行文件中,如果通过特定的TCP源端口调用,则会触发后门。此外,Kobalos允许其攻击者远程访问文件系统、生成终端会话,并充当与其他受恶意软件感染的服务器的连接点。就范围而言,Kobalos的代码库很小但足够复杂,至少可以影响Linux、BSD和Solaris操作系统,并且有理由怀疑它可能类似于针对AIX和MicrosoftWindows机器的攻击。攻击目标包括集中式高性能计算集群(HPC)、端点安全解决方案提供商、政府机构、北美的个人服务器、大学、欧洲的托管公司以及亚洲的主要ISP。Kobalos功能概述以及如何访问不得不说,这种复杂程度在Linux恶意软件中很少见。但是,从该恶意软件的众多完整功能和网络规避技术来看,Kobalos并不像大多数Linux恶意软件那样微不足道。它的所有代码都存储在一个函数中,该函数递归地调用自身来执行子任务,所有字符串都经过加密,这使得查找恶意代码比静态查看样本更难。就目前而言,Kobalos可能正在低调运行,不断提升能力。IOC参考来源:https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/
