Honeypots : activité de la semaine 40

L’analyse des activités observées sur le réseau de honeypots de TEHTRIS en semaine 40 a permis de mettre en avant de nouveaux indices de compromissions et de détecter des types d’attaques fréquemment réalisés par des cyber acteurs malveillants.

Sommaire

Utilisation malveillante d’identifiants par défaut

CirrOS

CirrOS est un petit système d’exploitation sous Linux conçu pour être utilisée comme image de test sur des Clouds tels que OpenStack. Les images d’exploitation CirrOS incluent une authentification classique nom d’utilisateur/mot de passe et fournit des identifiants à l’invite de connexion. Le login est cirros et le mot de passe est gocubsgo depuis 2016, mais on observe que les acteurs malveillants tentent toujours d’utiliser le mot de passe précédent cubswin:). Comme tout le monde peut utiliser ces identifiants pour se connecter, TEHTRIS recommande de ne pas exécuter d’image cirrOS avec une IP publique visible et de changer les identifiants par défaut. Par ailleurs, nous vous recommandons de blacklister les adresses IP suivantes qui pourraient être à l’origine de tentative d’infiltration sur votre ordinateur via cet outil. A noter, les 7 adresses IP en gras ne sont pourtant pas connues des bases de données publiques. La menace est toujours bien réelle aujourd’hui.
Adresses IP AS Pays
79.138.105[.]128 AS45011 Bredband2 AB SE
101.58.81[.]246 AS210278 Sky Italia IT
109.247.14[.]226 AS29695 Altibox AS NO
109.28.24[.]17 AS15557 Société française du radiotéléphone – SFR SA FR
115.66.238[.]94 AS9506 Singtel Fibre Broadband SG
185.180.29[.]203 AS212538 Poyrazwifi Limited Company TR
191.194.103[.]167 AS26599 TELEFONICA BRASIL S.A BR
213.195.156[.]213 AS12741 Netia SA PL
213.47.107[.]206 AS8412 T-Mobile Austria GmbH AT
27.71.68[.]66 AS7552 Viettel Group VN
36.32.24[.]160 AS140726 UNICOM AnHui province network CN
36.35.24[.]106 AS140726 UNICOM AnHui province network CN
46.170.30[.]146 AS5617 Orange Polska Spolka Akcyjna PL
5.102.205[.]71 AS47956 XFone 018 Ltd IL
77.181.135[.]15 AS6805 Telefonica Germany DE
79.32.34[.]154 AS3269 Telecom Italia IT
82.4.29[.]171 AS5089 Virgin Media Limited GB
82.46.205[.]202 AS5089 Virgin Media Limited GB
82.66.109[.]74 AS12322 Free SAS FR
85.115.252[.]118 AS16345 PVimpelCom RU
85.159.0[.]190 AS3326 Private Joint Stock Company datagroup UA
87.249.135[.]116 AS212238 Datacamp Limited CZ
91.40.166[.]40 AS3320 Deutsche Telekom AG DE
94.17.152[.]223 AS12709 Melita Limited MT

Routeur Huawei

Cette semaine, TEHTRIS a observé que l’adresse IP 92.255.85[.]113 avait tenté à plusieurs reprises d’utiliser les identifiants par défaut de connexion au routeur Huawei HG8245 (login telecomadmin et mot de passe admintelecom) sur son réseau de honeypots. Cette IP, localisée à Hong-Kong appartenant à l’AS 57523 Chang Way Technologies Co. Limited, est connue très défavorablement des bases de données publiques.

TEHTRIS recommande de changer les mots de passe par défaut de toutes machines (endpoints, routeurs et IoT – Internet of Things) et logiciels dès la première utilisation en choisissant des mots de passe robustes et uniques.

L’exploitation de la vulnérabilité Apache HTTP Server toujours d’actualité

Cette semaine, TEHTRIS a observé que la requête URL la plus utilisée sur ses honeypots par les acteurs malveillants est la suivante :

				
					/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh
				
			

Cela rejoint les informations publiée par les agences gouvernementales américaines (CISA, FBI, CIA) le 6 octobre concernant les CVE (Common Vulnerabilities and Exposures) les plus utilisées par les groupes de cyber criminels soutenus par la Chine depuis 2020.
En effet, cette URL est utilisée dans le cadre de l’exploitation de la vulnérabilité CVE-2021-41773 (CVSS3 : 7.5) dans Apache HTTP Server version 2.4.49. Cette faille permet à un attaquant d’exécuter un code à distance (RCE : remote code execution), et de porter atteinte à l’intégrité et à la confidentialité des données. Cette CVE est activement exploitée car de nombreux codes d’exploitation sont publiquement disponibles en ligne. Ces failles ont été corrigées dans la version 2.4.50. Mais rapidement, de nouvelles vulnérabilités importantes ont été trouvées dans cette nouvelle version. Il s’agit de la CVE-2021-42013 (CVSS : 9.8) permettant au cyber attaquant d’exécuter un code arbitraire à distance portant atteinte à la confidentialité des données. La vulnérabilité a été corrigée dans la version 2.4.51.

Il est communément admis que les cyber groupes chinois sont redoutables, mais ce ne sont pas les seuls à tenter d’exploiter ces vulnérabilités. L’adresse IP 152.89.196[.]211, enregistrée à l’AS57523 Chang Way Technologies Co. Limited localisée en Russie, est à l’origine de cette requête URL sur les honeypots TEHTRIS cette semaine. La menace est toujours prégnante dans le monde depuis la découverte de la première vulnérabilité en mai 2021.

TEHTRIS vous recommande vivement de mettre à jour tous vos logiciels et applications en veillant régulièrement l’actualité des découvertes de vulnérabilités.

Pour aller plus loin avec l’ANSSI :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-759/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-764/

Étude d’un AS aux activités suspectes

Depuis fin août, plusieurs adresses IP de l’AS4134 Chinanet scannent régulièrement les honeypots de TEHTRIS en essayant de réaliser des actions malveillantes. Cet AS est connu pour héberger des acteurs malveillants sur les réseaux sociaux car il est lié à nombreux malwares depuis des années[1][2].

Voici la liste d’IoCs découverts par TEHTRIS :

Adresses IP

Commentaires

49.88.112[.]60

SSH bruteforce

Transporte le malware Kane_Sneak_out.exe – SHA256 :  d7d84decce8c530a9a5d691fd23da867d233559b9968aa2767fc28bb43507211

61.177.172[.]13

SSH bruteforce

61.177.173[.]11

Blacklist public

61.177.173[.]13

Blacklist public

61.177.173[.]27

SSH bruteforce et vol d’identifiants

61.177.173[.]3

SSH bruteforce

61.177.173[.]4

SSH bruteforce

61.177.172[.]139

Botnet

61.177.173[.]24

SSH bruteforce

180.101.56[.]56

Blacklist public

218.92.0[.]210

SSH bruteforce

110.89.10[.]163

Télécharge un fichier 2022-10-09 bin.sh – SHA256 :

12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef

Copie du botnet MOZI sur Linux

123.97.144[.]204

Télécharge un fichier 2022-10-09 bin.sh – SHA256 :

12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef

Copie du botnet MOZI sur Linux

183.150.97[.]46

Inconnu des bases de données publiques

Cyber or not Cyber ?

Abonnez-vous à la newsletter TEHTRIS.

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.

Pour pousser le sujet

Publications similaires

Cyber or not cyber ?

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.