Socket’in Tehdit Araştırma Ekibi, etkili bir SSH kaba zorlama aracı olarak maskelenen, ancak çalınan kimlik bilgilerini yaratıcısına gizlice soktu.
24 Haziran 2022’de yayınlanan bu paket, ilişkili hesapların kaldırılması ve askıya alınması için dilekçe verme çabalarına rağmen, Go modülü ekosisteminde ve github’da aktif olmaya devam ediyor.
Modül, rastgele IPv4 adresleri üreterek, kısa bir zaman aşımı ile açık TCP bağlantı noktası 22 için problama ve zayıf kullanıcı adı-password çiftlerinin sabit kodlu bir yerel kelime listesi kullanarak eşzamanlı kimlik doğrulama girişimlerini başlatarak çalışır.
Kötü niyetli paketin keşfi
İlk başarılı giriş üzerine, hedef IP, kullanıcı adı ve şifreyi, bir HTTPS isteği aracılığıyla önceden tanımlanmış bir telgraf botuna iletir ve tehdit oyuncusuna ilk erişimi etkili bir şekilde teslim eder.
Bu tasarım, istenmeyen kullanıcıları, başarıları tek bir kontrol noktasına dönüştürürken hesaplama ve yasal riskleri boşaltarak dağıtılmış tarama ve tahmin gerçekleştirmeleri için kullanır.
Kod, sunucu kimlik doğrulamasını atlamak için SSH.InsecureignorEhostkey () kullanır, güvenlik kontrolleri olmadan hızlı bağlantılar sağlar ve algılamayı en aza indirmek için eksfiltrasyondan sonra çıkar.
Gömülü kelime listesi, “Toor”, “Ahududu”, “Dietpi” ve “Alpin” gibi girişlerle eşleştirilmiş “kök” ve “admin” gibi ortak varsayılanlara odaklanır ve açıkta kalan IoT cihazlarını, tek tahtalı bilgisayarları ve kötü yapılandırılmış Linux ana bilgisayarlarını hedefler.
Bu yaklaşım, düşük gürültü, bir vuruşa kadar çevrimdışı çalışma ve meşru bir saldırı güvenlik aracı olarak makul bir inkar edilebilirlik sağlar.
Tehdit Oyuncu Profili
Github Alias Illdieanyway (G3TT olarak da bilinir) altında faaliyet gösteren fail, tam okuma ve Vkontakte-spesifik takımlar da dahil olmak üzere vahşilerdeki Rusça dilli eserlere dayanan Rusça konuşan bir birey olarak yüksek güvenle değerlendirilir.
Portföyleri, bağlantı noktası tarayıcıları, telgraf geri çağrılarına sahip bir PhpmyAdmin Brute-Forcer ve Selica-C2 çerçevesi gibi diğer saldırgan yardımcı programları içerir ve hasat edilen SSH erişimlerinden botnet oluşturma potansiyeli önerir.
Bu modül ve Selica-C2 arasında doğrudan kod bağlantısı bulunmasa da, araçlar yük dağıtım veya fidye yazılımı evrelemesi gibi sömürme sonrası faaliyetler için sinerjize edebilir.
Bu paketi çalıştırmak, yetkisiz tarama, ISS kara listeleme ve keşiflerini aktif telgraf botu @sshzxc_bot aracılığıyla aktöre teslim etme ironisi de dahil olmak üzere operatörleri önemli risklere maruz bırakır.
Suçlu yeraltında, bu tür kimlik bilgileri casusluk, kriptominasyon veya ağlara dönme için değerlidir ve modülün etkisini bireysel çalışmaların ötesine yükseltir.
Etkilemek için kuruluşlar, üçüncü taraf araçlar için kod incelemelerini uygulamalı, mesajlaşma API’larına çıkış trafiğini izlemeli ve telgraf uç noktaları ve güvensiz SSH yapılandırmaları gibi desenler için algılamaları dağıtmalıdır.
Rapora göre, Socket’in GitHub uygulaması ve CLI dahil AI güdümlü araçları, bağımlılıklarda riskli davranışları tarayarak proaktif savunmalar sağlıyor.
Bu olay, tedarik zincirlerine olan güvenden yararlanan, geliştiricileri paketleri iyice doğrulamaya ve kötü niyetli kampanyalara yanlışlıkla katılımı önlemek için katmanlı güvenlik kontrollerini benimsemeye çağıran silahlandırılmış açık kaynaklı kamu hizmetlerinin ortaya çıkan bir eğilimini vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| Kötü niyetli Go Paketi | Golang-random-SSH-Brutefforce |
| Tehdit Oyuncunun Takma Ali adı ve Github | Illdieanyway |
| Pessfiltrasyon uç noktası | https://api.telegram.org/bot5479006055:aahatwymehu4ylqcy/sendmessage?chat_id=115967884&parse_mode==Html&text= |
| Telgraf Tanımlayıcıları | Bot Token: 5479006055: Aahatwymehu4ylqqxriw00a6cizhcfppqqcy Bot Adı ve Kulp: SSH_BOT (@sshzxc_bot) Hedef Chat_id: 115967884 Hedef kullanıcı: gett (@io_ping) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!