Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.
Fonte: https://cyberpress.org/telegram-ssh-brute-force/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
22/08/2025 • Risco: CRITICO
ATAQUE
Módulo Go vinculado ao Telegram se torna ferramenta de força bruta SSH
RESUMO EXECUTIVO
O ataque descrito representa uma ameaça significativa para a segurança cibernética, especialmente em ambientes que utilizam SSH. A exploração de credenciais pode resultar em acessos não autorizados e comprometer a integridade de sistemas críticos. É essencial que as organizações implementem medidas de segurança robustas para mitigar esses riscos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a acessos não autorizados e comprometimento de dados.
Operacional
Roubo de credenciais SSH que podem ser usadas para movimentos laterais em redes comprometidas.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Infraestrutura Crítica']
📊 INDICADORES CHAVE
Pacote malicioso ainda disponível no GitHub e Go Module.
Indicador
Credenciais enviadas para um bot do Telegram com ID de chat 1159678884.
Contexto BR
Lista de senhas padrão utilizada inclui combinações comuns como '123456' e 'raspberry'.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso SSH para tentativas de autenticação suspeitas.
2
Desabilitar a verificação de chaves de host em sistemas críticos e revisar as configurações de SSH.
3
Monitorar continuamente o tráfego de rede em busca de atividades relacionadas ao bot do Telegram mencionado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das credenciais SSH, que são frequentemente alvos de ataques. A exploração bem-sucedida pode levar a acessos não autorizados a sistemas críticos.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
