Les chercheurs en cybersécurité ont découvert un module GO malveillant qui se présente comme un outil de force brute pour SSH mais contient en fait des fonctionnalités pour exfiltrer discrètement des informations d’identification à son créateur.
“Lors de la première connexion réussie, le package envoie l’adresse IP cible, le nom d’utilisateur et le mot de passe à un bot télégramme à code dur contrôlé par l’acteur de menace”, a déclaré Kirill Boychenko, chercheur de socket.
Le package trompeur, nommé “Golang-random-ip-ssh-bruteforce”, a été lié à un compte GitHub appelé Illdieanyway (G3TT), qui n’est actuellement plus accessible. Cependant, il continue d’être disponible sur pkg.go[.]dev. Il a été publié le 24 juin 2022.
La société de sécurité de la chaîne d’approvisionnement du logiciel a déclaré que le module GO fonctionne en numérisant des adresses IPv4 aléatoires pour les services SSH exposés sur le port TCP 22, puis en essayant de forcer brutal le service à l’aide d’une liste de mots de passe du nom d’utilisateur intégré et d’exfiltrant les informations d’identification réussies à l’attaque.
Un aspect notable du malware est qu’il désactive délibérément la vérification de la clé de l’hôte en définissant “ssh.insecureignorehostkey” en tant qu’hostKeyCallback, permettant ainsi au client SSH à accepter les connexions de n’importe quel serveur quelle que soit leur identité.
La liste de mots est assez simple, y compris seulement deux noms d’utilisateur root et admin, et les jumeler contre des mots de passe faibles comme la racine, le test, le mot de passe, l’administrateur, 12345678, 1234, Qwerty, webAdmin, webmaster, TechSupport, Letmein et Passw @ rd.
Le code malveillant s’exécute dans une boucle infinie pour générer les adresses IPv4, le package tentant des connexions SSH simultanées de la liste de mots.
Les détails sont transmis à un bot télégramme contrôlé par acteur menace nommé “@Sshzxc_bot” (SSH_BOT) via l’API, qui reconnaît ensuite la réception des informations d’identification. Les messages sont envoyés via le bot sur un compte avec la poignée “@io_ping” (gett).
Un instantané d’archives Internet du compte GitHub maintenant rémunéré montre qu’Illdieanyway, alias le portefeuille de logiciels de G3TT, comprenait un scanner de port IP, un analyse de profil Instagram et un analyseur multimédia, et même un botnet de commande et de contrôle (C2) basé sur PHP appelé Selica-C2.
Leur chaîne YouTube, qui reste accessible, héberge diverses vidéos courtes sur “Comment pirater un bot télégramme” et ce qu’ils prétendent être le “bombardier SMS le plus puissant pour la Fédération de Russie”, qui peut envoyer des textes SMS et des messages SPAM aux utilisateurs VK à l’aide d’un bot télégramme. Il est évalué que l’acteur de menace est d’origine russe.
“Le package décharge la numérisation et le mot de passe deviner les opérateurs involontaires, répartit les risques sur leurs IPS et entourent les succès d’un seul bot télégramme contrôlé par l’acteur”, a déclaré Boychenko.
“Il désactive la vérification des clés de l’hôte, stimule une concurrence élevée et sort après la première connexion valide pour hiérarchiser la capture rapide. Parce que l’API Télégramme BOT utilise HTTPS, le trafic ressemble à des demandes Web normales et peut glisser les contrôles de sortie grossière.”
