Sofistike bir tedarik zinciri saldırısı, geliştiricileri, siber suçlu operasyonlar için gizli bir şekilde çalırken, meşru bir SSH kaba zorlama aracı olarak maskelenen kötü niyetli bir Go modülü paketi aracılığıyla hedefleme geliştirdi.
“Golang-random-IP-SSH-BruteForce” adlı paket, kendisini hızlı bir SSH kaba forcu olarak sunuyor, ancak tehdit aktörleri tarafından kontrol edilen bir telgraf botuna başarılı bir giriş kimlik bilgilerini ekleyen gizli işlevsellik içeriyor.
Kötü niyetli paket, TCP bağlantı noktası 22’de maruz kalan SSH hizmetleri için rastgele IPv4 adreslerinin sürekli olarak taranması, gömülü bir kullanıcı adı-password kelime listesi kullanarak kimlik doğrulamasını denemesi ve derhal başarılı kimlik bilgilerini operatörlerine ileterek çalışır.
Bu saldırıyı özellikle sinsi yapan şey, kurbanların meşru penetrasyon testi veya güvenlik araştırması yaptıklarına inanmaları ve keşiflerini doğrudan siber suçlulara beslemeleri.
Socket.DEV analistleri, görünüşte meşru güvenlik aracına gömülü kötü niyetli davranışları belirledi ve paketin 24 Haziran 2022’den beri aktif olduğunu ortaya koydu.
Araştırmacılar, ilk başarılı SSH girişi üzerine paketin, GitHub’da “Illdieanyway” olarak bilinen Rusça konuşan bir tehdit aktörü tarafından kontrol edilen sert kodlanmış bir telgraf bot uç noktasına otomatik olarak hedef IP adresini, kullanıcı adını ve şifreyi gönderdiğini keşfettiler.
.webp)
Saldırı vektörü, geliştiriciler ve açık kaynak paketleri arasındaki güven ilişkisini kullanıyor ve bu da arka kapı işlevselliğine sahip saldırgan güvenlik araçlarını dağıtan kötü niyetli aktörlerin artan bir eğilimini temsil ediyor.
Paketi indiren ve yürüten kullanıcılar, başarılı bir şekilde penetrasyon girişimleri, amaçlanan güvenlik değerlendirme amaçlarına hizmet etmek yerine suç ağlarına yönlendiriliyor.
Teknik Uygulama ve Kaçınma Mekanizmaları
Kötü amaçlı yazılımların teknik uygulaması, kimlik bilgisi koleksiyonunu en üst düzeye çıkarırken operasyonel güvenliği korumak için tasarlanmış sofistike kaçırma taktiklerini göstermektedir.
Paket, yalnızca “Root: Toor”, “Yönetici: Şifre” ve “kök: ahududu” ve “kök: dietpi” gibi ortak varsayılan kimlik bilgilerini içeren kasıtlı olarak minimal bir kelime listesi içerir ve bu da ağ gürültüsünü azaltan ve operatörleri için akla yatkın inatabilirliği korurken tarama işlemini hızlandırır.
Çekirdek kötü niyetli işlevsellik, sert kodlanmış bir Telegram API uç noktasının etrafında merkezlenir: https://api.telegram.org/bot5479006055:AAHaTwYmEhu4YlQQxriW00a6CIZhCfPQQcY/sendMessage.
Başarılı kimlik doğrulaması gerçekleştiğinde, paket bu uç noktaya bir HTTP GET isteği yürütür ve uzlaşılmış kimlik bilgilerini telgraf kullanıcısı @io_ping ile ilişkili olan 1159678884 ile sohbet kimliğine “ip: kullanıcı adı: şifre” biçiminde aktarır.
Kötü amaçlı yazılım, SSH bağlantılarını kasten yapılandırır HostKeyCallback: ssh.InsecureIgnoreHostKey() Sunucu doğrulamasını atlamak ve farklı hedeflerde hızlı kimlik bilgisi testlerini etkinleştirmek için.
.webp)
Burada, Socket AI tarayıcısının, kötü amaçlı paket içindeki gömülü kelime listesi dosyasını (WL.TXT) algılaması, IoT cihazlarını, tek pano bilgisayarları ve aceleyle yapılandırılmış Linux sistemlerini tehlikeye atmak için tasarlanmış hedeflenen kimlik bilgisi kombinasyonlarını vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.