Nieuwe malware gericht op wetenschappelijke onderzoeksnetwerken

Gepubliceerd op 4 februari 2021 om 08:00

Cybercrime onderzoekers hebben 'Kobalos' ontdekt, malware die supercomputers – zogenaamde high performance computer (HPC) clusters - heeft aangevallen. De onderzoekers werkten samen met het 'CERN Computer Security Team' en andere organisaties die betrokken zijn bij het inperken van aanvallen op deze wetenschappelijke onderzoeksnetwerken. Onder de doelwitten bevonden zich onder andere een grote Aziatische Internet providers een Noord-Amerikaanse leverancier van endpoint security, alsook verscheidene private servers.

Industrie en regio van gecompromitteerde organisaties

Malware reverse-engineered

SET-onderzoekers hebben de kleine, maar complexe malware reverse-engineered. Hieruit bleek dat de malware overdraagbaar is naar vele besturingssystemen waaronder Linux, BSD, Solaris, en mogelijk ook AIX en Windows. " Wij hebben deze malware Kobalos genoemd vanwege zijn kleine codegrootte en vele trucs; in de Griekse mythologie is een Kobalos een klein, ondeugend schepsel," legt Marc-Etienne Léveillé, die Kobalos onderzocht, uit. "Het moet gezegd worden dat dit niveau van verfijning slechts zelden wordt gezien in Linux malware," vervolgt Léveillé.

Backdoor met commando's

Kobalos is een backdoor die uitgebreide commando's bevat die de intentie van de aanvallers niet onthullen. "In het kort geeft Kobalos op afstand toegang tot het file system, biedt het de mogelijkheid om terminalsessies op te starten en staat het proxyverbindingen toe naar andere met Kobalos geïnfecteerde servers," zegt Léveillé.

Elke server die door Kobalos is gecompromitteerd, kan door de operators met één enkel commando worden omgevormd tot een Command & Control (C&C) server. Aangezien de IP-adressen en poorten van de C&C-server in de executables zijn gecodeerd, kunnen de operators vervolgens nieuwe Kobalos-bestanden genereren die deze nieuwe C&C-server gebruiken. Bovendien wordt in de meeste systemen die door Kobalos zijn gecompromitteerd, de client voor beveiligde communicatie (SSH) gecompromitteerd om inloggegevens te stelen.

Overzicht van Kobalos-functies en manieren om ze te openen

"Van iedereen die de SSH-client van een gecompromitteerde machine gebruikt, worden de inloggegevens onderschept. Die inloggegevens kunnen vervolgens door de aanvallers worden gebruikt om vervolgens Kobalos op de nieuw ontdekte server te installeren," aldus Léveillé. Het instellen van tweefactorauthenticatie voor het verbinden met SSH-servers zal de dreiging dan ook verminderen. Het gebruik van gestolen inloggegevens lijkt namelijk één van de manieren te zijn waarop het virus zich steeds verder kan verspreiden naar andere systemen.

Malware Kobalos
PDF – 1,7 MB 304 downloads

Bron: eset.com

Meer info over ‘malware’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Malware infectiemethoden

Malware komt doorgaans de infrastructuur van een bedrijf binnen via e-mail, maar dit is niet de enige infectiemethode. De voornaamste manier om cyberincidenten te voorkomen, is voorkomen dat malware de infrastructuur van uw bedrijf binnendringt. Daarom richten deskundigen zich bij het ontwikkelen van een informatiebeveiligingsstrategie vaak op de meest voor de hand liggende aanvalsvectoren, zoals e-mailverkeer. De meeste aanvallen beginnen inderdaad met een e-mail, maar vergeet niet dat cybercriminelen nog tal van andere methodes hebben om malware bij hun slachtoffers af te leveren. Deskundigen van Kaspersky’s Global Research & Analysis Team spraken over ongebruikelijke methodes om malware te verspreiden en apparaten te infecteren die ze zijn tegengekomen tijdens het analyseren van recente bedreigingen.

Lees meer »

Spyware op computer of smartphone? Hoe verwijderen?

Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.

Lees meer »

Politie stopt internationaal verspreiding FluBot malware

De Nederlandse politie heeft vorige maand de infrastructuur van de beruchte Android-malware FluBot verstoord, waardoor de malware niet meer werkt. Het uitschakelen van FluBot was het resultaat van een internationale politieoperatie waar naast de Nederlandse politie onder andere ook Europol, de United States Secret Service en Belgische politie aan deelnamen.

Lees meer »

De meest voorkomende abonnementen trojans

Abonnementen-trojans zijn een aloude methode om Android-gebruikers hun zuurverdiende centen afhandig te maken. Ze infiltreren een smartphone onder het mom van nuttige apps en abonneren zich stiekem op betaalde diensten. Vaker wel dan niet is het abonnement zelf echt, alleen heeft de gebruiker de dienst hoogstwaarschijnlijk helemaal niet nodig.

Lees meer »