Siber güvenlik araştırmacıları, kendisini SSH için kaba bir kuvvet aracı olarak sunan kötü niyetli bir GO modülü keşfettiler, ancak aslında yaratıcısına kimlik bilgilerini gizlice birleştirme işlevselliği içeriyor.
Soket araştırmacısı Kirill Boychenko, “İlk başarılı oturum açmada, paket araştırmacı Kirill Boychenko,” Paket, tehdit oyuncusu tarafından kontrol edilen sert kodlu bir telgraf botuna hedef IP adresini, kullanıcı adını ve şifreyi gönderiyor. “Dedi.
“Golang-random-IP-SSH-Bruteforce” adlı aldatıcı paket, artık erişilemeyen Illdieanyway (G3TT) adı verilen bir GitHub hesabına bağlanmıştır. Ancak, PKG.GO’da mevcut olmaya devam ediyor[.]Dev. 24 Haziran 2022’de yayınlandı.
Yazılım tedarik zinciri güvenlik şirketi, GO modülünün, TCP bağlantı noktası 22’de maruz kalan SSH hizmetleri için rastgele IPv4 adreslerini tarayarak çalıştığını, daha sonra yerleşik bir kullanıcı adı-password listesi kullanarak hizmeti zorlamaya ve saldırgana başarılı kimlik bilgilerini söndürmeye çalıştığını söyledi.
Kötü amaçlı yazılımın dikkate değer bir yönü, “SSH.InsecureignorEhostkey” i bir hostkeyCallback olarak ayarlayarak, SSH istemcisinin kimliklerine bakılmaksızın herhangi bir sunucudan bağlantıları kabul etmesine izin vererek ana bilgisayar temel doğrulamasını kasıtlı olarak devre dışı bırakmasıdır.
Kelime listesi, yalnızca iki kullanıcı adı kök ve yönetici dahil olmak üzere oldukça basittir ve bunları kök, test, şifre, admin, 12345678, 1234, qwerty, webadmin, web yöneticisi, TechSupport, Letmein ve Portsw@rd gibi zayıf şifrelere karşı eşleştirir.
Kötü amaçlı kod, IPv4 adreslerini oluşturmak için sonsuz bir döngüde çalışır ve paket kelime listesinden eşzamanlı SSH girişleri dener.
Ayrıntılar, API aracılığıyla “@SSHZXC_BOT” (SSH_BOT) adlı bir tehdit aktör kontrollü telgraf botuna iletilir ve bu da daha sonra kimlik bilgilerinin alındığını kabul eder. Mesajlar bot aracılığıyla “@io_ping” (gett) tutucu bir hesaba gönderilir.
Şu anda kaldırılmış GitHub hesabının bir internet arşivi anlık görüntüsü, G3TT’nin yazılım portföyü olan Illdieanyway’in bir IP bağlantı noktası tarayıcısı, bir Instagram profil bilgisi ve medya ayrıştırıcısını ve hatta PHP tabanlı bir komut ve kontrol (C2) BotNet’i Selica-C2 adı verdiğini gösteriyor.
Erişilebilir kalan YouTube kanalları, “Bir Telgraf Botu Nasıl Hacklenir” ve “Rusya Federasyonu için En Güçlü SMS bombardıman uçağı” olduğunu iddia eden çeşitli kısa form videolarına ev sahipliği yapıyor. Tehdit oyuncusunun Rus kökenli olduğu değerlendirildi.
Boychenko, “Paket, farkında olmayan operatörlere tarama ve şifre tahminini indiriyor, IP’lerine riski yayıyor ve başarıları tek bir tehdit aktör kontrollü telgraf botuna yönlendiriyor.” Dedi.
“Hızlı yakalamaya öncelik vermek için ilk geçerli girişten sonra ana bilgisayar temel doğrulamasını devre dışı bırakır, yüksek eşzamanlılık sağlar ve çıkar. Telegram bot API HTTPS kullandığından, trafik normal web isteklerine benziyor ve kaba çıkış kontrollerini geçebilir.”