تطرح وحدة GO الخبيثة كأداة SSH Brute-Force ، وسرقة بيانات الاعتماد عبر Telegram Bot
اكتشف باحثو الأمن السيبراني وحدة GO الضارة التي تعرض نفسها كأداة لقوة الغاشمة لـ SSH ولكنها تحتوي في الواقع على وظائف لتوضيح بيانات اعتماد التبرعات إلى منشئها.
“في أول تسجيل دخول ناجح ، ترسل الحزمة عنوان IP المستهدف ، اسم المستخدم ، وكلمة المرور إلى روبوت برقية مرمّز بالتحكم من قبل ممثل التهديد ،” Socket ، Kirill Boychenko قال.
تم ربط الحزمة الخادعة ، التي تحمل اسم “Golang-Random-IP-Ssh-Bruteforce” ، بحساب github يسمى illdieanyway (G3TT) ، والتي لا يمكن الوصول إليها حاليًا. ومع ذلك ، هو لا يزال متاحًا على pkg.go[.]ديف. تم نشره في 24 يونيو 2022.
قالت شركة أمان سلسلة التوريد للبرامج إن وحدة GO تعمل عن طريق مسح عناوين IPv4 العشوائية لخدمات SSH المكشوفة على منفذ TCP 22 ، ثم تحاول أن تحكي الخدمة باستخدام قائمة كلمات اسم المستخدم المدمجة وتنفيذ بيانات الاعتماد الناجحة للمهاجم.
أحد الجوانب الملحوظة للبرامج الضارة هو أنه يعطل التحقق من مفتاح المضيف عن عمد عن طريق الإعداد “ssh.Insecureignorehostkey“بصفتها مضيفًا ، السماح لعميل SSH بقبول الاتصالات من أي خادم بغض النظر عن هويته.
إن قائمة الكلمات واضحة إلى حد ما ، بما في ذلك جذر اثنين فقط من أسماء المستخدمين والمشرفين ، وربطهما مقابل كلمات مرور ضعيفة مثل الجذر والاختبار والكلمة المرور ، المسؤول ، 12345678 ، 1234 ، Qwerty ، Webadmin ، مدير المواقع ، TechSupport ، Letmein ، و Passw@rd.
يتم تشغيل الرمز الضار في حلقة لا حصر لها لإنشاء عناوين IPv4 ، مع حزمة حزمة SSH المتزامنة من قائمة Wordlist.
يتم نقل التفاصيل إلى روبوت Telegram الذي يسيطر عليه الممثل الذي يسيطر عليه “sshzxc_bot” (SSH_BOT) عبر API ، والذي يعترف بعد ذلك باستلام بيانات الاعتماد. يتم إرسال الرسائل من خلال الروبوت إلى حساب مع مقبض “@in_ping” (GETT).
و لقطة أرشيف الإنترنت من بين حساب GitHub الذي تم تمريره الآن يوضح أن Elldieanyway ، محفظة برامج G3TT ، تضمنت ماسحة ماسحة IP ، معلومات ملف تعريف Instagram وحامل الوسائط ، وحتى بوتنيت على أساس قيادة PHP (C2) يسمى SELICA-C2.
هُم قناة يوتيوب، الذي لا يزال قابلاً للوصول إليه ، يستضيف العديد من مقاطع الفيديو قصيرة الشكل حول “How to How to telegram bot” وما يزعمون أنه “أقوى اقتحام الرسائل القصيرة للاتحاد الروسي” ، والذي يمكنه إرسال نصوص الرسائل غير المرغوب فيها والرسائل إلى مستخدمي VK باستخدام روبوت برقية. تم تقييم أن ممثل التهديد من أصل روسي.
وقال بويشينكو: “تتفقد الحزمة المسح الضوئي وتخمين كلمة المرور للمشغلين غير المقصود ، وتنشر المخاطر عبر IPS ، وتسلي النجاحات إلى روبوت Telegram الذي يسيطر عليه ممثل التهديد”.
“إنه يعطل التحقق من مفتاح المضيف ، ويحرك التزامن العالي ، ويخرج بعد أول تسجيل دخول صالح لتحديد أولويات الالتقاط السريع. نظرًا لأن API Telegram BOT يستخدم HTTPS ، فإن حركة المرور تبدو وكأنها طلبات الويب العادية ويمكن أن تنزلق عناصر التحكم في الخشنة الخشنة.”
