Scoperta di un modulo Go malevolo: un attacco subdolo alla sicurezza SSH
Ricercatori di cybersecurity hanno individuato un modulo Go malevolo che si presenta come uno strumento di brute-force per SSH, ma che in realtà è progettato per esfiltrare in modo discreto le credenziali al suo creatore. Questo pacchetto ingannevole, chiamato “golang-random-ip-ssh-bruteforce”, è stato collegato a un account GitHub denominato IllDieAnyway (G3TT), attualmente non più accessibile, ma ancora disponibile su pkg.go[.]dev. Pubblicato il 24 giugno 2022, il modulo sfrutta un elenco di nomi utente e password deboli per tentare di accedere ai servizi SSH esposti su indirizzi IPv4 casuali.
Funzionamento del modulo malevolo
Il modulo Go scansiona indirizzi IPv4 casuali alla ricerca di servizi SSH esposti sulla porta TCP 22. Una volta individuato un servizio, tenta di forzare l’accesso utilizzando un elenco di nomi utente e password deboli, come root, admin, 12345678, e qwerty. Al primo login riuscito, il pacchetto invia l’indirizzo IP del target, il nome utente e la password a un bot Telegram codificato, controllato dall’attore della minaccia. Questo processo è facilitato dalla disabilitazione della verifica della chiave host, permettendo al client SSH di accettare connessioni da qualsiasi server senza verificarne l’identità.
Strategie di attacco e distribuzione del rischio
Un aspetto notevole di questo malware è la sua capacità di distribuire il rischio tra diversi operatori inconsapevoli, che eseguono la scansione e il tentativo di accesso, mentre i successi vengono inviati a un singolo bot Telegram controllato dall’attore della minaccia. L’API del bot Telegram utilizza HTTPS, facendo apparire il traffico come normali richieste web, che possono facilmente sfuggire ai controlli di uscita più superficiali. Il codice malevolo opera in un ciclo infinito per generare indirizzi IPv4, tentando accessi SSH concorrenti dall’elenco di credenziali.
Origine e attività dell’attore della minaccia
Un’istantanea dell’account GitHub ora rimosso mostra che IllDieAnyway, noto anche come G3TT, aveva un portfolio software che includeva uno scanner di porte IP, un parser di profili Instagram e media, e persino un botnet di comando e controllo (C2) basato su PHP chiamato Selica-C2. Il loro canale YouTube, ancora accessibile, ospita vari video su “Come hackerare un bot Telegram” e quello che affermano essere il “più potente SMS bomber per la Federazione Russa”, in grado di inviare messaggi spam a utenti VK tramite un bot Telegram. Si ritiene che l’attore della minaccia sia di origine russa.
Considerazioni finali
Questo modulo Go malevolo rappresenta un esempio di come gli attori delle minacce possano sfruttare strumenti apparentemente innocui per scopi dannosi. La capacità di mascherare il traffico malevolo come normale traffico web e di distribuire il rischio tra operatori inconsapevoli rende questo attacco particolarmente insidioso. È fondamentale che le organizzazioni adottino misure di sicurezza avanzate per proteggere i loro sistemi da tali minacce, inclusa la verifica rigorosa delle chiavi host e l’implementazione di controlli di uscita più sofisticati. La consapevolezza e la vigilanza sono essenziali per prevenire l’esfiltrazione di credenziali e proteggere le infrastrutture critiche.
Fonte: The Hackers News
