Недавно выявленный вредоносный модуль на Go, замаскированный под брутфорсер SSH и известный как golang-random-ip-ssh-bruteforce, связывают с русскоязычным злоумышленником, использующим Telegram для эксфильтрации похищенных учётных данных. Отчёт описывает прямолинейную, но эффективную архитектуру: модуль автономно сканирует случайные IPv4-адреса, пытается выполнить брутфорс по SSH и при успехе передаёт данные централизованному Telegram-боту.
Как это работает
Основные этапы работы модуля можно свести к следующему:
- Генерация случайных IPv4-адресов и проверка наличия открытого порта TCP/22, характерного для SSH;
- В случае обнаружения открытого порта — параллельная попытка входа по SSH, используя локально сохранённый компактный статический словарь паролей;
- Небезопасная реализация проверки хоста: модуль отключает верификацию host key, что позволяет игнорировать подтверждение подлинности сервера;
- После удачной аутентификации модуль немедленно подключается к Интернету и отправляет IP-адрес, имя пользователя и пароль жёстко запрограммированному Telegram-боту, управляемому оператором.
Архитектурные решения и их последствия
Важная особенность реализации — модуль работает полностью автономно до момента успешного входа. Это снижает «шум» в сети до минимума: процесс сканирования и попыток входа ведётся локально, а внешняя коммуникация осуществляется только для передачи уже скомпрометированных данных.
Комбинация следующих факторов повышает эффективность и скрытность операции:
- отключение проверки host key, позволяющее быстро устанавливать соединения без дополнительных проверок;
- высокий уровень параллелизма при обращениях к множеству случайных IP-адресов;
- маскировка трафика — коммуникации злоумышленника выглядят похожими на обычные HTTPS-запросы, что затрудняет обнаружение простыми системами мониторинга исходящего трафика.
Централизация и распределение рисков
Стратегия автора модуля очевидна: выпуская лёгкую и быструю утилиту для сканирования и брутфорса, оператор переносит риск обнаружения на исполнителей, которые разворачивают и запускают модуль, одновременно собирая успешные учётные данные в одном централизованном канале — Telegram. Это позволяет злоумышленнику масштабировать сбор компрометированных учётных записей без прямого участия в каждом акте сканирования.
Соответствие тактикам MITRE ATT&CK framework
Методики и поведение модуля совпадают с несколькими техниками из MITRE ATT&CK framework. Ключевые соответствия:
- T1195.002 — компрометации, связанные с software supply chain;
- T1608.001 — загрузка вредоносного ПО (malicious payload download);
- T1204.002 — User Execution: Malicious File (выполнение с участием пользователя через вредоносные файлы);
- T1046 — сетевое сканирование / Discovery of network services;
- T1110.001 — Brute Force (угадывание/подбор пароля);
- T1021.004 — Remote Services: SSH (использование удалённых SSH-сервисов для доступа);
- T1071.001 — Application Layer Protocol: Web Protocols (использование протоколов уровня приложения для коммуникаций);
- T1567 — Exfiltration to Web Service (эксфильтрация через веб-сервисы).
Юридические и эксплуатационные риски
Операторам, которые рассматривают использование подобных инструментов (включая исследовательские или тестовые цели), важно понимать возможные последствия:
- сканирование портов и подбор паролей могут нарушать местные законы и политики Acceptable Use;
- операции такого рода ведут к риску внесения в чёрные списки провайдеров и облачных платформ;
- исходящие соединения к Telegram и подобным сервисам могут быть зафиксированы и использоваться для атрибуции активности;
- практика отключения проверки host key повышает риск непреднамеренной компрометации инфраструктуры и утраты контроля над собственными машинами.
Вывод
golang-random-ip-ssh-bruteforce — характерный пример современной «легковесной» утилиты для массового сканирования и брутфорса: минималистичный код, автономность, высокая параллельность и централизованная эксфильтрация через Telegram. Такая комбинация позволяет злоумышленникам эффективно собирать учётные данные при относительно низкой видимости операций, но одновременно создаёт существенные юридические и оперативные риски для тех, кто запускает подобный софт.
«Выпуская быструю и эффективную утилиту сканирования, злоумышленник может переложить риск обнаружения на тех, кто работает с вредоносным ПО, одновременно объединяя успешные учетные данные в единый централизованный канал.»
Организациям и администраторам стоит усилить мониторинг необычной активности SSH, контролировать исходящие соединения к мессенджерам и веб-сервисам, а также корректно настраивать проверку host key и политику управления паролями, чтобы минимизировать влияние подобных инструментов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Go-модуль "golang-random-ip-ssh-bruteforce": SSH-брутфорс и Telegram-эксфильтрация".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.