Nguyễn Đức Thao
Intern Writer
Mã độc Go trá hình dưới công cụ tấn công SSH
Các chuyên gia an ninh mạng vừa phát hiện một mô-đun Go độc hại tự nhận là công cụ brute-force SSH, nhưng thực chất lại bí mật đánh cắp thông tin đăng nhập và gửi cho kẻ tấn công.
Theo nhà nghiên cứu Kirill Boychenko (Socket), ngay khi đăng nhập thành công lần đầu, gói tin sẽ lập tức gửi địa chỉ IP, tên người dùng và mật khẩu mục tiêu tới một bot Telegram do tin tặc kiểm soát.
Gói độc hại mang tên “golang-random-ip-ssh-bruteforce” được phát hành ngày 24/6/2022, liên kết với tài khoản GitHub IllDieAnyway (G3TT) – hiện đã bị gỡ bỏ nhưng vẫn còn xuất hiện trên pkg.go[.]dev.
Cơ chế hoạt động của nó là quét ngẫu nhiên các địa chỉ IPv4, tìm dịch vụ SSH mở cổng TCP 22, sau đó thử brute-force với danh sách tên người dùng – mật khẩu được cài sẵn. Khi thành công, dữ liệu bị đánh cắp được gửi đến bot Telegram @sshZXC_bot, rồi chuyển tiếp đến tài khoản @io_ping (Gett).
Đáng chú ý, phần mềm độc hại này cố tình vô hiệu hóa xác minh khóa máy chủ bằng thiết lập ssh.InsecureIgnoreHostKey, cho phép kết nối đến bất kỳ máy chủ nào mà không cần xác thực danh tính.
Danh sách mật khẩu đi kèm khá đơn giản, chỉ xoay quanh 2 tài khoản root và admin, kết hợp với các mật khẩu yếu như: root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein, Passw@rd.
Liên kết với kẻ tấn công và hạ tầng độc hại
Mã độc này được lập trình chạy vòng lặp vô hạn, liên tục sinh địa chỉ IPv4 và thử đăng nhập SSH song song để tăng tốc độ tấn công. Sau mỗi đăng nhập thành công, nó dừng ngay để ưu tiên ghi nhận thông tin nhanh chóng.
Ảnh chụp từ Internet Archive cho thấy kho GitHub của IllDieAnyway từng chứa nhiều công cụ nguy hiểm: trình quét cổng IP, công cụ phân tích dữ liệu Instagram, botnet điều khiển C2 bằng PHP có tên Selica-C2.
Kẻ tấn công này còn sở hữu một kênh YouTube (vẫn hoạt động) đăng các video hướng dẫn hack bot Telegram, spam SMS, và tự nhận là công cụ "đánh bom SMS mạnh nhất Liên bang Nga", có khả năng gửi spam tới người dùng VK qua Telegram.
Boychenko nhận định: “Gói mã độc này tận dụng người dùng như những công cụ brute-force miễn phí. Nó phân tán rủi ro ra nhiều IP khác nhau, đồng thời gửi kết quả trực tiếp đến bot Telegram được kiểm soát bởi tin tặc. Nhờ sử dụng HTTPS của API Telegram, lưu lượng truyền đi dễ dàng ngụy trang như các yêu cầu web thông thường và qua mặt các biện pháp giám sát thô sơ.”
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/malicious-go-module-poses-as-ssh-brute.html
Các chuyên gia an ninh mạng vừa phát hiện một mô-đun Go độc hại tự nhận là công cụ brute-force SSH, nhưng thực chất lại bí mật đánh cắp thông tin đăng nhập và gửi cho kẻ tấn công.
Theo nhà nghiên cứu Kirill Boychenko (Socket), ngay khi đăng nhập thành công lần đầu, gói tin sẽ lập tức gửi địa chỉ IP, tên người dùng và mật khẩu mục tiêu tới một bot Telegram do tin tặc kiểm soát.
Gói độc hại mang tên “golang-random-ip-ssh-bruteforce” được phát hành ngày 24/6/2022, liên kết với tài khoản GitHub IllDieAnyway (G3TT) – hiện đã bị gỡ bỏ nhưng vẫn còn xuất hiện trên pkg.go[.]dev.
Cơ chế hoạt động của nó là quét ngẫu nhiên các địa chỉ IPv4, tìm dịch vụ SSH mở cổng TCP 22, sau đó thử brute-force với danh sách tên người dùng – mật khẩu được cài sẵn. Khi thành công, dữ liệu bị đánh cắp được gửi đến bot Telegram @sshZXC_bot, rồi chuyển tiếp đến tài khoản @io_ping (Gett).
Đáng chú ý, phần mềm độc hại này cố tình vô hiệu hóa xác minh khóa máy chủ bằng thiết lập ssh.InsecureIgnoreHostKey, cho phép kết nối đến bất kỳ máy chủ nào mà không cần xác thực danh tính.
Danh sách mật khẩu đi kèm khá đơn giản, chỉ xoay quanh 2 tài khoản root và admin, kết hợp với các mật khẩu yếu như: root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein, Passw@rd.
Liên kết với kẻ tấn công và hạ tầng độc hại
Mã độc này được lập trình chạy vòng lặp vô hạn, liên tục sinh địa chỉ IPv4 và thử đăng nhập SSH song song để tăng tốc độ tấn công. Sau mỗi đăng nhập thành công, nó dừng ngay để ưu tiên ghi nhận thông tin nhanh chóng.
Ảnh chụp từ Internet Archive cho thấy kho GitHub của IllDieAnyway từng chứa nhiều công cụ nguy hiểm: trình quét cổng IP, công cụ phân tích dữ liệu Instagram, botnet điều khiển C2 bằng PHP có tên Selica-C2.
Kẻ tấn công này còn sở hữu một kênh YouTube (vẫn hoạt động) đăng các video hướng dẫn hack bot Telegram, spam SMS, và tự nhận là công cụ "đánh bom SMS mạnh nhất Liên bang Nga", có khả năng gửi spam tới người dùng VK qua Telegram.
Boychenko nhận định: “Gói mã độc này tận dụng người dùng như những công cụ brute-force miễn phí. Nó phân tán rủi ro ra nhiều IP khác nhau, đồng thời gửi kết quả trực tiếp đến bot Telegram được kiểm soát bởi tin tặc. Nhờ sử dụng HTTPS của API Telegram, lưu lượng truyền đi dễ dàng ngụy trang như các yêu cầu web thông thường và qua mặt các biện pháp giám sát thô sơ.”
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/malicious-go-module-poses-as-ssh-brute.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
