🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Malware Intelligence

Aviso da Intel sobre ameaças de malware da Kobalos

Consultoria de inteligência de ameaças do CloudSEK sobre o malware Kobalos com uma base de código pequena, porém complexa, voltada para vários sistemas operacionais.
Updated on
April 17, 2026
Published on
March 5, 2021
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Consultivo
Aviso sobre malware
Tipo
Ladrão de credenciais, Backdoor
Nome
Malware Kobalos
Indústrias afetadas
TI e ITES, Serviços governamentaisO Kobalos é um malware Linux sofisticado que tem uma base de código pequena, mas complexa. Em janeiro de 2021, os pesquisadores da ESET descobriram esse malware atacando ativamente computadores de alto desempenho em várias organizações. Embora a base de código do malware seja pequena, ela é suficiente para atacar Linux, BSD, Solaris e provavelmente outros sistemas operacionais.

Execução

O Kobalos foi detectado como alvo de clusters de supercomputadores na Polônia, Canadá e China. Os operadores da Kobalos implantam um malware diferente para sequestrar conexões de servidores SSH e roubar credenciais. Em seguida, as credenciais roubadas são usadas para penetrar nos clusters de computadores e mobilizar a Kobalos. Ele funciona como um backdoor e abusa de portas de origem TCP específicas.O Kobalos permite que os invasores acessem o sistema de arquivos remotamente, gerem sessões de terminal etc. Uma das características exclusivas desse malware é que ele pode transformar um servidor comprometido em um servidor C2 com um único comando. Depois que o malware é lançado em um supercomputador, o código fica oculto em um executável do servidor OpenSSH e o Kobalos escuta uma porta de origem TCP específica que, em seguida, aciona o backdoor. As outras variantes do Kobalos atuam como intermediárias para as conexões tradicionais de servidores de comando e controle (C2). [caption id="attachment_10009" align="alignnone” width="768"]Kobalos Recursos do Kobalos e formas de acessá-los [/caption] O código Kobalos é mantido em uma única função que se chama periodicamente para realizar subtarefas, dificultando a engenharia reversa. O backdoor exige uma chave RSA privada de 512 bits e uma senha de 32 bytes para ser executado. Uma vez validadas, as chaves RC4 são trocadas e a comunicação adicional é criptografada com elas.

Táticas do MITRE ATT&CK

Tática
Nome/ID
PersistênciaCompromise Client Software Binary (TI554), Sinalização de Tráfego (TI205)Evasão de defesaLimpar histórico de comandos (T1070.003), Timestomp (T1070.006), Embalagem de software (T1027.002)Comando e controleCanal criptografado: criptografia simétrica (T1573.001), canal criptografado: criptografia assimétrica (T1573.002), proxy: proxy multi-hop (T1090.003)

Impacto

Impacto nos negócios
  1. Perda financeira para a organização se suas operações forem interrompidas
  2. Perda da reputação da marca
  3. PII comprometida leva a ataques de engenharia social
Impacto técnico
Cria um backdoor que permite o acesso ao dispositivo do usuário. Por meio do qual o invasor poderá modificar arquivos ou iniciar o software malicioso.

Indicadores de compromisso

   SHA1
  1. 1dd0edc5744d63a731db8c3b42efbd09d91fed78
  2. 325f24e8f5d56db43d6914d9234c08c888cdae50
  3. 479f470e83f9a5b66363fba5547fdfcf727949da
  4. 659cbdf9288137937bb71146b6f722ffcda1c5fe
  5. 6616de799b5105ee2eb83bbe25c7f4433420dff7
  6. a4050a8171b0fa3ae9031e0f8b7272facf04a3aa
  7. affa12cc94578d63a8b178ae19f6601d5c8bb224
  8. c1f530d3c189b9a74dbe02cfeb29f38be8ca41ba
  9. e094dd02cc954b6104791925e0d1880782b046cf
  10. fbf0a76ced2939d1f7ec5f9ea58c5a294207f7fe
    SHA256
  1. 13cbde1b79ca195a06697df937580c82c0e1cd90cc91c18ddfe4a7802e8e923a
  2. 29e2f15a4a6275f43d86cf613c2934171aa5be187da7fdaa99a006245890de1f
  3. 4d610283c93904d984a42269aef65c2cab89f4a127d9c229a700e6aaf9d7000e
  4. 6c36e0341ea1529665de88b690a19a18ea02d2a2a5bae6d745e01efc194e486a
  5. 73576d5a21ec2f164fe37bea86964e18dca1b800a8c7a104223cc35d74e7bd58
  6. 75edf6662811d001da179b96bd06d675aa2439fd88a981cc84f24b4a5b4f8f45
  7. 9ed33b43e679ad98615e1a4e8c46dbeb9b93271625e46f4b4d021099b4b6fb74
  8. d51cb52136931af5ebd8628b64d6cd1327a99196b102d246f52d878ffb581983
  9. dd1b3cd0042d4c090bc72099f30e4b76d5f2772f9f9f95176f2c59bc2ac30aa8
  10. f8c931767bc0ab951b72ab691163e6d1fc3c50e4ceee5277858d3e77a0c02e92

Mitigação

  1. Use um software antivírus atualizado que detecta e interrompe infecções por malware
  2. Aplique patches críticos ao sistema e ao aplicativo
  3. Use senhas fortes e habilite o 2FA nos logins
  4. Verifique os privilégios e permissões atribuídos ao usuário
  5. Facilite a denúncia de comportamentos suspeitos pelos usuários
  6. Faça backup de dados regularmente
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more