Исследователи ESET провели обратную разработку этой небольшой, но сложной вредоносной программы, переносимой на многие операционные системы, включая Linux, BSD, Solaris и, возможно, AIX и Windows. “Мы назвали эту вредоносную программу Kobalos за ее крошечный размер кода и множество трюков; в греческой мифологии кобалос-это маленькое озорное существо”, - объясняет Марк-Этьен Левейе, который исследовал Кобалоса. “Надо сказать, что такой уровень сложности редко встречается в вредоносных программах Linux”, - добавляет Левейе.
Kobalos-это бэкдор, содержащий широкие команды, которые не раскрывают намерения злоумышленников. “Короче говоря, Kobalos предоставляет удаленный доступ к файловой системе, предоставляет возможность создавать терминальные сеансы и позволяет проксировать соединения с другими зараженными Kobalos серверами",-говорит левей.
Любой сервер, скомпрометированный Kobalos, может быть превращен в сервер Command & Control (C&C) операторами, отправляющими одну команду. Поскольку IP-адреса и порты сервера C&C жестко закодированы в исполняемый файл, операторы могут затем генерировать новые образцы Kobalos, которые используют этот новый сервер C&C. Кроме того, в большинстве систем, скомпрометированных Kobalos, клиент для безопасной связи (SSH) скомпрометирован для кражи учетных данных.
"Любой, кто использует SSH-клиент скомпрометированной машины, получит свои учетные данные. Эти учетные данные затем могут быть использованы злоумышленниками для установки Kobalos на недавно обнаруженном сервере позже", - добавляет левей. Настройка двухфакторной аутентификации для подключения к SSH-серверам смягчит угрозу, поскольку использование украденных учетных данных, по-видимому, является одним из способов распространения этой угрозы на различные системы.
Дополнительную техническую информацию о компании Kobalos смотрите в блоге” Kobalos – a complex Linux threat to high performance computing infrastructure " на сайте WeLiveSecurity. Обязательно следуйте за мной ESET Research в Twitter для получения последних новостей от ESET Research.
Отрасль и регион скомпрометированных организаций
В конце июня 2025 года в компанию «Доктор Веб» обратились представители российского предприятия машиностроительного сектора c просьбой выяснить, являются ли периодические срабатывания антивируса на одном из компьютеров признаком заражения или же вызваны неким сбоем. Расследование инцидента показало, что реакция антивируса оказалась штатной, а предприятие подверглось целевой атаке
В октябре 2023 года в компанию «Доктор Веб» обратилось российское предприятие машиностроительного сектора с подозрением на присутствие ВПО на одном из своих компьютеров.
«Базальт СПО» выпустила операционную систему «Альт Виртуализация» на 11 платформе
Более половины российских компаний сегмента МСП планируют увеличить траты на информационную безопасность в 2025 году, однако большинство готовы укреплять защиту лишь в ответ на внешнее давление. Так, 74% компаний заявляют, что готовы действовать только в случае введения новых требований регулятора — такие данные представлены во второй части исследования ИТ-компании «Киберпротект» и платформы по поиску работы «Работа.ру»
Среди файлов-приманок, мимикрирующих под популярные программы, встречались загрузчики, троянцы и рекламное ПО
Детали схемы выяснили эксперты Kaspersky GReAT.
Об этой угрозе Специалисты «Лаборатории Касперского» рассказали в рамках международной выставки «Иннопром-2025»
Платформа «Р7-Офис» гарантирует безопасность при передаче данных в реальном времени и совместном редактировании документов.
Современные ИТ-инфраструктуры активно внедряют контейнерные технологии, и Docker остается одним из самых популярных решений. Контейнеры обеспечивают легковесную изоляцию, быстрое развертывание приложений и гибкость масштабирования, что ускоряет процессы разработки и доставки ПО
Ваши контактные данные не публикуются на сайте.