وحدة Go خبيثة تنتحل هوية أداة اختراق SSH لسرقة بيانات الاعتماد عبر بوت تيليجرام

مايسترو نيرو - قسم البرامج الضارة / أمن سلسلة التوريد

اكتشف باحثون في مجال الأمن السيبراني وحدة Go خبيثة تتنكر في زي أداة اختراق brute-force لبروتوكول SSH، لكنها في الواقع تحتوي على وظائف لسرقة بيانات الاعتماد بشكل خفي وإرسالها إلى منشئها.

"عند أول تسجيل دخول ناجح، ترسل الحزمة عنوان IP المستهدف واسم المستخدم وكلمة المرور إلى بوت تيليجرام مُخَزَّن بشكل ثابت ويتحكم فيه الفاعل الخبيث،" قال الباحث في Socket كيريل بويتشينكو.

الحزمة المضللة:

تُدعى الحزمة المضللة "golang-random-ip-ssh-bruteforce"، وقد رُبطت بحساب GitHub يُدعى IllDieAnyway (G3TT)، وهو حاليًا لم يعد متاحًا. ومع ذلك، لا تزال متوفرة على موقع pkg.go[.]dev. تم نشرها في 24 يونيو 2022.

قالت شركة أمن سلسلة البرامج أن وحدة Go هذه تعمل عن طريق مسح عناوين IPv4 عشوائية بحثًا عن خدمات SSH مكشوفة على منفذ TCP 22، ثم تحاول اختراق الخدمة باستخدام قائمة أسماء مستخدمين وكلمات مرور مضمنة وتسرق بيانات الاعتماد الناجحة للمهاجم.

آلية العمل:

جانب ملحوظ من البرمجية الخبيثة هو أنها تعطل التحقق من مفتاح المضيف عن قصد عن طريق تعيين "ssh.InsecureIgnoreHostKey" كـ HostKeyCallback، مما يسمح لعميل SSH بقبول الاتصالات من أي خادم بغض النظر عن هويته.

قائمة كلمات المرور بسيطة نسبيًا، وتشمل اسمين فقط للمستخدمين root و admin، وتربطهما بكلمات مرور ضعيفة مثل root، test، password، admin، 12345678، 1234، qwerty، webadmin، webmaster، techsupport، letmein، و Passw@rd.

يعمل الكود الخبيث في حلقة لا نهائية لتوليد عناوين IPv4، مع محاولة الحزمة تسجيلات دخول SSH متزامنة من قائمة كلمات المرور.

يتم إرسال التفاصيل إلى بوت تيليجرام يتحكم فيه الفاعل الخبيث يُدعى "@sshZXC_bot" (ssh_bot) عبر واجهة برمجة التطبيقات (API)، الذي يُقرّ ب ontvangst بعد ذلك. تُرسل الرسائل من خلال البوت إلى حساب باسم "@io_ping" (Gett).

الفاعل الخبيث:

تُظهر لقطة من أرشيف الإنترنت لحساب GitHub المحذوف الآن أن محفظة البرمجيات الخاصة بـ IllDieAnyway، المعروف أيضًا باسم G3TT، شملت ماسح منافذ IP، ومحلل لمعلومات ووسائط ملفات تعريف Instagram، وحتى بوتنت يتحكم فيه الأمر (C2) مبني على PHP يُدعى Selica-C2.

قناة يوتيوب الخاصة بهم، التي لا تزال متاحة، تستضيف مقاطع فيديو متنوعة قصيرة حول "كيفية اختراق بوت تيليجرام" وما يدّعون أنه "أقوى مفجر رسائل SMS للاتحاد الروسي"، والذي يمكنه إرسال رسائل SMS مزعجة ورسائل إلى مستخدمي VK باستخدام بوت تيليجرام. يُعتقد أن الفاعل الخبيث أصيل من روسيا.

"تُلقِي الحزمة مهمة المسح وتخمين كلمات المرور على مشغّلين غير مدركين، وتوزع المخاطر عبر عناوين IP الخاصة بهم، وتُوجِل النجاحات إلى بوت تيليجرام واحد يتحكم فيه الفاعل الخبيث،" قال بويتشينكو.

"تعطّل التحقق من مفتاح المضيف، وتُشغّل التزامناً عاليًا، وتخرج بعد أول تسجيل دخول صالح لتحديد الأولويات للاستيلاء السريع. لأن واجهة برمجة تطبيقات بوت تيليجرام تستخدم HTTPS، يبدو المرور وكأنه طلبات ويب طبيعية ويمكن أن تنفلت من ضوابط الخروج الخشنة."

آخر تحديث: 7 أكتوبر 2025