Go Modülü Tabanlı SSH Brute-Force Aracı, Kimlik Bilgilerini Telegram Botuyla Sızdırıyor

Anasayfa » Go Modülü Tabanlı SSH Brute-Force Aracı, Kimlik Bilgilerini Telegram Botuyla Sızdırıyor
Haberler, Kötü Amaçlı Yazılım, Siber Güvenlik, Tehdit Analizi
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Go Modülü Tabanlı SSH Brute-Force Aracı, Kimlik Bilgilerini Telegram Botuyla Sızdırıyor

Socket araştırmacısı Kirill Boychenko’nun aktardığına göre, kötü amaçlı Go modülü ilk başarılı SSH girişinde hedef IP, kullanıcı adı ve şifre bilgilerini sabit kodlanmış Telegram botuna iletiyor. “golang-random-ip-ssh-bruteforce” adlı bu modül, IllDieAnyway (G3TT) adlı GitHub hesabına bağlı olup, hesabın kaldırılmasına rağmen pkg.go.dev üzerinde erişilebilir durumda.

Modülün İşleyişi ve Teknik Özellikleri

Yazılım tedarik zinciri güvenlik firması tarafından incelenen modül, rastgele IPv4 adreslerini TCP 22 portunda açık SSH servisleri için tarıyor ve gömülü kullanıcı adı-şifre kombinasyonlarıyla brute-force saldırıları gerçekleştiriyor. İlginç bir şekilde, modül SSH istemcisinde “ssh.InsecureIgnoreHostKey” parametresini kullanarak anahtar doğrulamasını devre dışı bırakıyor; bu sayede sunucu kimliği kontrolü yapılmadan bağlantı kurulabiliyor.

Kullanıcı adı listesi sadece “root” ve “admin” gibi basit isimlerden oluşurken, şifre listesi arasında “root”, “test”, “password”, “admin”, “12345678”, “1234”, “qwerty”, “webadmin”, “webmaster”, “techsupport”, “letmein” ve “Passw@rd” gibi yaygın zayıf şifreler yer alıyor. Modül, IPv4 adreslerini sonsuz döngüyle üretirken, kelime listesinden eşzamanlı SSH girişimleri yaparak hızlı ve yüksek eşzamanlılıkta saldırı gerçekleştiriyor.

Telegram Botu ve Tehdit Aktörünün İzleri

Başarılı kimlik bilgileri, “@sshZXC_bot” adlı Telegram botuna iletiliyor ve bot, bilgileri aldıktan sonra “@io_ping” (Gett) hesabına mesaj gönderiyor. Kaldırılmış GitHub hesabının Internet Archive kayıtları, IllDieAnyway’nin port tarayıcı, Instagram medya ayrıştırıcı ve Selica-C2 adlı PHP tabanlı komut ve kontrol botneti gibi araçlar geliştirdiğini gösteriyor.

İlgili YouTube kanalı, Telegram botlarının hacklenmesi ve Rusya Federasyonu odaklı SMS bombardımanı gibi içerikler barındırıyor. Bu da tehdit aktörünün Rus kökenli olduğuna işaret ediyor.

Risk ve Tespit Zorlukları

Boychenko, modülün tarama ve brute-force işlemlerini farklı IP adreslerine dağıtarak riskleri gizlediğini ve başarıları tek bir Telegram botuna yönlendirdiğini belirtiyor. Anahtar doğrulamasının devre dışı bırakılması, yüksek eşzamanlılık ve ilk başarılı girişte bağlantının sonlandırılması, hızlı yakalamayı zorlaştırıyor. Ayrıca Telegram Bot API’nin HTTPS kullanması, trafiğin normal web istekleri gibi görünmesini sağlayarak kaba çıkış kontrollerinden kaçınmasına olanak tanıyor.

, , , , , , ,