Cybersecurity-onderzoekers hebben een kwaadwillende GO-module ontdekt die zich presenteert als een brute-force-tool voor SSH maar eigenlijk functionaliteit bevat om discreet refiltreenties voor zijn maker te exfiltreren.
“Bij de eerste succesvolle inlog verzendt het pakket het doel-IP-adres, de gebruikersnaam en het wachtwoord naar een hard gecodeerde telegram-bot die wordt bestuurd door de dreigingsacteur,” zei Socket-onderzoeker Kirill Boychenko.
Het misleidende pakket, genaamd “Golang-Random-Ip-Ssh-BruteForce”, is gekoppeld aan een GitHub-account genaamd Illdieanyway (G3TT), dat momenteel niet langer toegankelijk is. Het blijft echter beschikbaar op pkg.go (.) Dev. Het werd gepubliceerd op 24 juni 2022.
Het Software Supply Chain Security Company zei dat de GO-module werkt door willekeurige IPv4-adressen te scannen voor blootgestelde SSH-services op TCP-poort 22 en vervolgens probeerde de service brute te maken met behulp van een ingebedde gebruikersnaam-Password-lijst en de succesvolle referenties naar de aanvaller te extiltreren.
Een opmerkelijk aspect van de malware is dat het opzettelijk host -sleutelverificatie uitschakelt door “ssh.insecureignoreHostKey” in te stellen als een hostkeycallback, waardoor de SSH -client verbindingen van elke server kan accepteren, ongeacht hun identiteit.
De woordenlijst is vrij eenvoudig, inclusief slechts twee gebruikersnamen root en admin, en het koppelen van zwakke wachtwoorden zoals root, test, wachtwoord, admin, 12345678, 1234, Qwerty, Webadmin, Webmaster, TechSupport, Letmein en Passw@RD.
De kwaadwillende code draait in een oneindige lus om de IPv4 -adressen te genereren, waarbij het pakket gelijktijdige SSH -aanmeldingen van de woordlijst probeert.
De details worden verzonden naar een dreiging met acteur-gecontroleerde telegram-bot genaamd “@sshzxc_bot” (SSH_BOT) via de API, die vervolgens de ontvangst van de inloggegevens erkent. De berichten worden via de BOT naar een account verzonden met de handgreep “@IO_Ping” (gett).
Een momentopname van het internetarchief van het nu verwijderde Github-account laat zien dat Illdieanyway, ook bekend als de softwareportfolio van G3TT, een IP-poortscanner, een Instagram-profielinfo en mediaparser en zelfs een PHP-gebaseerde command-and-control (C2) botnet genaamd SELICA-C2 omvatte.
Hun YouTube-kanaal, dat toegankelijk blijft, organiseert verschillende korte video’s over “How to Hack a Telegram Bot” en wat zij beweren de “krachtigste sms-bommenwerper voor de Russische Federatie” te zijn, die spam sms-teksten en berichten naar VK-gebruikers kunnen sturen met behulp van een telegram-bot. Er wordt beoordeeld dat de dreigingsacteur van Russische afkomst is.
“Het pakket ontlaadt scannen en wachtwoord dat raden naar onwetende operators, verspreidt het risico over hun IP’s en de successen naar een enkele door acteur gecontroleerde telegram-bot,” zei Boychenko.
“Het schakelt de host -sleutelverificatie uit, stimuleert een hoge gelijktijdigheid en gaat na de eerste geldige inloggen om prioriteit te geven aan snelle opname. Omdat de Telegram BOT API HTTPS gebruikt, ziet het verkeer eruit als normale webverzoeken en kan het voorbijglijden van grove uitgiften.”
