Rekoobe Backdoor

Los investigadores de ciberseguridad han revelado detalles de un módulo Go malintencionado que está diseñado para recopilar contraseñas, crear un acceso persistente a través de SSH y ofrecer una puerta trasera de Linux llamada Rekoobe.

El módulo Go, github [.] com/xinfeisoft/crypto, se hace pasar por la base de código legítima «golang.org/x/crypto», pero inyecta código malintencionado responsable de filtrar los secretos ingresados a través de solicitudes de contraseña del terminal a un punto final remoto, obtiene un script de shell en respuesta y lo ejecuta.

«Esta actividad se ajusta a la confusión del espacio de nombres y a la suplantación del subrepositorio legítimo de golang.org/x/crypto (y su espejo de GitHub github.com/golang/crypto)», dijo Kirill Boychenko, investigador de seguridad de Socket dijo . «El proyecto legítimo identifica go.googlesource.com/crypto como canónico y trata a GitHub como un espejo, una distinción que el actor de amenazas abusa para hacer que github.com/xinfeisoft/crypto parezca rutinario en los gráficos de dependencias».

adsense

En concreto, la puerta trasera se ha colocado dentro del archivo «ssh/terminal/terminal.go», de modo que cada vez que una aplicación víctima invoca readPassword (), una función supuestamente destinada a leer entradas como contraseñas de un terminal, hace que esa información capture secretos interactivos.

La principal responsabilidad del script descargado es funcionar como un stager de Linux: añadir la clave SSH del actor de amenazas al archivo «/home/ubuntu/.ssh/authorized_keys», establecer las políticas predeterminadas de iptables en ACCEPT para intentar flexibilizar las restricciones del firewall y recuperar cargas útiles adicionales de un servidor externo disfrazándolas con la extensión.mp5.

De las dos cargas útiles, una es un ayudante que prueba la conectividad a Internet e intenta comunicarse con una dirección IP («154.84.63 [.] 184") a través del puerto TCP 443. Es probable que el programa funcione como un dispositivo de reconocimiento o cargador, señaló Socket.

Se ha evaluado que la segunda carga útil descargada es Rekoobe, una conocido Troyano Linux que se ha detectado en estado salvaje desde al menos 2015 . El puerta trasera es capaz de recibir comandos de un servidor controlado por un atacante para descargar más cargas útiles, robar archivos y ejecutar un shell inverso. Tan recientemente como en agosto de 2023, Rekoobe fue utilizado por grupos de estados-nación chinos como APT 31 .

enlaces

Mientras que el paquete sigue en la lista en pkg.go.dev, el equipo de seguridad de Go ha tomado medidas para bloquear el paquete por considerarlo malicioso.

«Es probable que esta campaña se repita porque el patrón es de bajo esfuerzo y alto impacto: un módulo similar que engancha un límite de alto valor (ReadPassword), usa GitHub Raw como puntero giratorio y, luego, pasa a curl | sh staging y Linux payload delivery», dijo Boychenko.

«Los defensores deben anticipar ataques similares a la cadena de suministro dirigidos a otras bibliotecas «con credenciales de vanguardia» (ayudantes de SSH, mensajes de autenticación de CLI, conectores de bases de datos) y más ataques indirectos a través de las superficies de alojamiento para rotar la infraestructura sin volver a publicar el código».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.