恶意Go模块伪装SSH暴力破解工具,通过Telegram窃取密码
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
网络安全研究人员发现一种新型供应链攻击,攻击者利用恶意Go模块伪装成SSH暴力破解工具,窃取凭证。该软件扫描随机IPv4地址的SSH服务,使用内置字典进行认证,并将成功凭证发送至攻击者控制的Telegram机器人,隐蔽性强,受害者误以为在进行合法测试。
🎯
关键要点
-
网络安全研究人员发现新型供应链攻击,攻击者利用恶意Go模块伪装成SSH暴力破解工具。
-
该恶意软件扫描随机IPv4地址的SSH服务,使用内置字典进行认证,窃取凭证。
-
成功获取的凭证会发送至攻击者控制的Telegram机器人,受害者误以为在进行合法测试。
-
该恶意包自2022年6月24日起活跃,攻击者通过Telegram机器人控制信息传输。
-
恶意软件使用精简字典,减少网络噪音,加快扫描速度,提供合理推诿空间。
-
软件通过绕过服务器验证实现快速凭证测试,特定针对IoT设备和Linux系统的凭证组合。
❓
延伸问答
恶意Go模块是如何伪装成SSH暴力破解工具的?
恶意Go模块通过名为'golang-random-ip-ssh-bruteforce'伪装成合法的SSH暴力破解工具,暗中窃取凭证。
该恶意软件是如何窃取凭证的?
该恶意软件扫描随机IPv4地址的SSH服务,使用内置字典进行认证,并将成功获取的凭证发送至攻击者控制的Telegram机器人。
受害者是如何误认为在进行合法测试的?
受害者误以为自己正在进行合法的渗透测试或安全研究,实际上却在无意中将凭证提供给网络犯罪分子。
该恶意软件的活跃时间是什么时候?
该恶意包自2022年6月24日起活跃。
恶意软件使用了什么样的字典进行认证?
恶意软件使用了一个精简的字典,包含常见默认凭证和针对IoT设备的组合。
攻击者是如何控制信息传输的?
攻击者通过硬编码的Telegram API端点控制信息传输,将成功认证的凭证发送到指定的Telegram聊天ID。
➡️
