🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
ذكاء البرامج الضارة

نصائح إنتل حول تهديد البرامج الضارة في كوبالوس

تقدم CloudDesk استشارات حول التهديدات بشأن البرامج الضارة لـ Kobalos مع قاعدة بيانات صغيرة ومعقدة تستهدف أنظمة تشغيل متعددة.
Updated on
August 19, 2025
Published on
March 5, 2021
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
استشارة
نصائح حول البرامج الضارة
النوع
سارق أوراق الاعتماد، الباب الخلفي
الاسم
برامج كوبالوس الضارة
الصناعات المتأثرة
تكنولوجيا المعلومات والاتصالات، الخدمات الحكوميةKobalos هو برنامج ضار متطور لنظام Linux يحتوي على قاعدة بيانات صغيرة ولكنها معقدة. في يناير 2021، اكتشف باحثو ESET هذا البرنامج الضار الذي يستهدف بنشاط أجهزة الكمبيوتر عالية الأداء عبر مؤسسات متعددة. على الرغم من أن قاعدة بيانات البرامج الضارة صغيرة، إلا أنها كافية لمهاجمة Linux و BSD و Solaris وربما أنظمة التشغيل الأخرى أيضًا.

التنفيذ

تم اكتشاف Kobalos وهي تستهدف مجموعات الحواسيب العملاقة في بولندا وكندا والصين. يقوم مشغلو Kobalos بنشر برامج ضارة مختلفة لاختطاف اتصالات خادم SSH وسرقة بيانات الاعتماد. بعد ذلك، يتم استخدام أوراق الاعتماد المسروقة لاختراق مجموعات الكمبيوتر لتعبئة Kobalos. يعمل كباب خلفي ويسيء استخدام منافذ مصدر TCP المحددة.يسمح Kobalos للمهاجمين بالوصول إلى نظام الملفات عن بُعد، وإنشاء جلسات طرفية، وما إلى ذلك، ومن الميزات الفريدة لهذا البرنامج الضار أنه يمكنه تحويل الخادم المخترق إلى خادم C2 بأمر واحد. بمجرد إسقاط البرامج الضارة على كمبيوتر عملاق، يتم إخفاء الشفرة في خادم OpenSSH القابل للتنفيذ ويستمع Kobalos إلى منفذ مصدر TCP محدد والذي يقوم بعد ذلك بتشغيل الباب الخلفي. تعمل متغيرات Kobalos الأخرى كوسطاء لاتصالات خادم الأوامر والتحكم التقليدية (C2). [معرف التسمية التوضيحية = «المرفق 10009" align= «alignnone» width="768"]Kobalos ميزات Kobalos وطرق الوصول إليها [/caption] يتم الاحتفاظ بشفرة Kobalos في وظيفة واحدة تستدعي نفسها بشكل دوري لأداء المهام الفرعية مما يجعل من الصعب إجراء الهندسة العكسية. يتطلب الباب الخلفي مفتاح RSA خاصًا بسعة 512 بت وكلمة مرور بطول 32 بايت ليتم تنفيذه. بمجرد التحقق من صحة مفاتيح RC4 يتم تبادلها وتشفير المزيد من الاتصالات معها.

تكتيكات ميتري ATT&CK

تكتيك
الاسم والمعرف
إصرارحل وسط: برنامج العميل الثنائي (TI554) وإشارات المرور (TI205)التهرب الدفاعيمسح سجل الأوامر (T1070.003)، Timestomp (T1070.006)، تعبئة البرامج (T1027.002)القيادة والتحكمالقناة المشفرة: التشفير المتماثل (T1573.001)، القناة المشفرة: التشفير غير المتماثل (T1573.002)، الوكيل: وكيل متعدد الخطوات (T1090.003)

التأثير

تأثير الأعمال
  1. خسارة مالية للمنظمة في حالة توقف عملياتها
  2. فقدان سمعة العلامة التجارية
  3. تؤدي معلومات تحديد الهوية الشخصية المخترقة إلى هجمات الهندسة الاجتماعية
التأثير الفني
يقوم بإنشاء باب خلفي يسمح بالوصول إلى جهاز المستخدم. من خلالها سيتمكن المهاجم من تعديل الملفات أو تشغيل البرامج الضارة.

مؤشرات التسوية

   شا 1
  1. 1 يوم 0 EDC 5744 d63 a731 db8c3b42 efb09 d91 fed78
  2. 325 قدم 24 ساعة 8 قدم 5 عمق 56 ديسيبل 43 ديسيبل 69 14 عمق 9234 درجة مئوية 08 سم 888 درجة مئوية
  3. 479 × 470 × 83 × 9 أ 5 ب 66363 فبا 5547 إف دي إف سي 727949 دا
  4. 659cbdf9288137937 bb71146b6f722 ffcda1c5ffe
  5. 6616 من 799b5105ee2eb83bbe25c7f4433420 dff7
  6. a4050a8171b0fa3ae9031e0f8b7272 facf04a3aa
  7. ffa 12 سم مكعب 94578 عمق 63 أ 8 ب 178 ae19 f6601 د 5 ج 8 b224
  8. c1f530d3c189b9a74dbe02cfeb29f38be8c41ba
  9. e094dd02cc954b6104791925e0d1880782b046cf
  10. fbf0a76ced2939d1f7ec5f9e58c5a294207f7fe
    شا256
  1. 13 سي بي دي 1 ب 79 سا 195 أ 06697 دي إف 937580 سي 82 سي 0 إي 1 سي 90 سي 91 سي 18 دي إف 4 أ7802e8e923 أ
  2. 29 e2f15a4a6275 f43d86cf613c2934171a5be187 a7fda99a006245890 de1f
  3. سيارات الدفع الرباعي 610283 درجة مئوية 93904 عمق 984 أمبير 42269 درجة فهرنهايت 65 درجة مئوية 2 كابينة 89 درجة فهرنهايت 4 بوصة 127 بوصة 9 درجة مئوية 229 درجة مئوية 700 درجة مئوية 6 درجة فهرنهايت 9 درجة مئوية
  4. 6c36e0341e1529665 de88b690a19a18e02d2a5bae 6d745e01efc194e486a
  5. 73576 د 5 أ 21 ج 2 ف 164 قدم 37 بيتا 86964 عرض 18 ديسيبل 1 ب 800 أ 8 ج 7 أ 104223 سم مكعب 35 د 74 ج 7 د 58
  6. 75 قدم مربع 6662811 د 001 دا 179 ب 96 د 6 د 6 د 675 أ 2439 قدم 88 أ 981 سم مكعب 84 قدم 24 ب 4 أ 4 ب 8 اف 45
  7. 9ed33b43e679 ad98615e1a4e8c46dbeb9b93271625 e46f4b4d021099b4b6fb74
  8. d51cb52136931 عدسة الكاميرا 51bd8628 b64d 6cd1327a99196 b102 d246f52d878 ffb581983
  9. dd1b3cd0042d4c090bc72099 f30e4b76d5f2772f9f9f9f95176f2c2ac30a8
  10. f8c931767 bc0ab951b72ab691163e6d1fc3c50e4 ceee5277858 d3e77858 d3e770c02e92

التخفيف

  1. استخدم برنامج مكافحة الفيروسات المحدث الذي يكتشف حالات الإصابة بالبرامج الضارة ويوقفها
  2. تطبيق التصحيحات الهامة على النظام والتطبيق
  3. استخدم كلمات مرور قوية وقم بتمكين المصادقة الثنائية عبر عمليات تسجيل الدخول
  4. تحقق من الامتيازات والأذونات المخصصة للمستخدم
  5. اجعل من السهل على المستخدمين الإبلاغ عن السلوك المشبوه
  6. النسخ الاحتياطي للبيانات بانتظام
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more