L’analyse des activités observées sur le réseau de honeypots de TEHTRIS en semaine 40 a permis de mettre en avant de nouveaux indices de compromissions et de détecter des types d’attaques fréquemment réalisés par des cyber acteurs malveillants.
Sommaire
Utilisation malveillante d’identifiants par défaut
CirrOS
CirrOS est un petit système d’exploitation sous Linux conçu pour être utilisée comme image de test sur des Clouds tels que OpenStack. Les images d’exploitation CirrOS incluent une authentification classique nom d’utilisateur/mot de passe et fournit des identifiants à l’invite de connexion. Le login est cirros et le mot de passe est gocubsgo depuis 2016, mais on observe que les acteurs malveillants tentent toujours d’utiliser le mot de passe précédent cubswin:).
Comme tout le monde peut utiliser ces identifiants pour se connecter, TEHTRIS recommande de ne pas exécuter d’image cirrOS avec une IP publique visible et de changer les identifiants par défaut. Par ailleurs, nous vous recommandons de blacklister les adresses IP suivantes qui pourraient être à l’origine de tentative d’infiltration sur votre ordinateur via cet outil. A noter, les 7 adresses IP en gras ne sont pourtant pas connues des bases de données publiques. La menace est toujours bien réelle aujourd’hui.
| Adresses IP | AS | Pays |
| 79.138.105[.]128 | AS45011 Bredband2 AB | SE |
| 101.58.81[.]246 | AS210278 Sky Italia | IT |
| 109.247.14[.]226 | AS29695 Altibox AS | NO |
| 109.28.24[.]17 | AS15557 Société française du radiotéléphone – SFR SA | FR |
| 115.66.238[.]94 | AS9506 Singtel Fibre Broadband | SG |
| 185.180.29[.]203 | AS212538 Poyrazwifi Limited Company | TR |
| 191.194.103[.]167 | AS26599 TELEFONICA BRASIL S.A | BR |
| 213.195.156[.]213 | AS12741 Netia SA | PL |
| 213.47.107[.]206 | AS8412 T-Mobile Austria GmbH | AT |
| 27.71.68[.]66 | AS7552 Viettel Group | VN |
| 36.32.24[.]160 | AS140726 UNICOM AnHui province network | CN |
| 36.35.24[.]106 | AS140726 UNICOM AnHui province network | CN |
| 46.170.30[.]146 | AS5617 Orange Polska Spolka Akcyjna | PL |
| 5.102.205[.]71 | AS47956 XFone 018 Ltd | IL |
| 77.181.135[.]15 | AS6805 Telefonica Germany | DE |
| 79.32.34[.]154 | AS3269 Telecom Italia | IT |
| 82.4.29[.]171 | AS5089 Virgin Media Limited | GB |
| 82.46.205[.]202 | AS5089 Virgin Media Limited | GB |
| 82.66.109[.]74 | AS12322 Free SAS | FR |
| 85.115.252[.]118 | AS16345 PVimpelCom | RU |
| 85.159.0[.]190 | AS3326 Private Joint Stock Company datagroup | UA |
| 87.249.135[.]116 | AS212238 Datacamp Limited | CZ |
| 91.40.166[.]40 | AS3320 Deutsche Telekom AG | DE |
| 94.17.152[.]223 | AS12709 Melita Limited | MT |
Routeur Huawei
Cette semaine, TEHTRIS a observé que l’adresse IP 92.255.85[.]113 avait tenté à plusieurs reprises d’utiliser les identifiants par défaut de connexion au routeur Huawei HG8245 (login telecomadmin et mot de passe admintelecom) sur son réseau de honeypots. Cette IP, localisée à Hong-Kong appartenant à l’AS 57523 Chang Way Technologies Co. Limited, est connue très défavorablement des bases de données publiques.
TEHTRIS recommande de changer les mots de passe par défaut de toutes machines (endpoints, routeurs et IoT – Internet of Things) et logiciels dès la première utilisation en choisissant des mots de passe robustes et uniques.
L’exploitation de la vulnérabilité Apache HTTP Server toujours d’actualité
Cette semaine, TEHTRIS a observé que la requête URL la plus utilisée sur ses honeypots par les acteurs malveillants est la suivante :
/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh
Cela rejoint les informations publiée par les agences gouvernementales américaines (CISA, FBI, CIA) le 6 octobre concernant les CVE (Common Vulnerabilities and Exposures) les plus utilisées par les groupes de cyber criminels soutenus par la Chine depuis 2020.
En effet, cette URL est utilisée dans le cadre de l’exploitation de la vulnérabilité CVE-2021-41773 (CVSS3 : 7.5) dans Apache HTTP Server version 2.4.49. Cette faille permet à un attaquant d’exécuter un code à distance (RCE : remote code execution), et de porter atteinte à l’intégrité et à la confidentialité des données. Cette CVE est activement exploitée car de nombreux codes d’exploitation sont publiquement disponibles en ligne. Ces failles ont été corrigées dans la version 2.4.50. Mais rapidement, de nouvelles vulnérabilités importantes ont été trouvées dans cette nouvelle version. Il s’agit de la CVE-2021-42013 (CVSS : 9.8) permettant au cyber attaquant d’exécuter un code arbitraire à distance portant atteinte à la confidentialité des données. La vulnérabilité a été corrigée dans la version 2.4.51.
Il est communément admis que les cyber groupes chinois sont redoutables, mais ce ne sont pas les seuls à tenter d’exploiter ces vulnérabilités. L’adresse IP 152.89.196[.]211, enregistrée à l’AS57523 Chang Way Technologies Co. Limited localisée en Russie, est à l’origine de cette requête URL sur les honeypots TEHTRIS cette semaine. La menace est toujours prégnante dans le monde depuis la découverte de la première vulnérabilité en mai 2021.
TEHTRIS vous recommande vivement de mettre à jour tous vos logiciels et applications en veillant régulièrement l’actualité des découvertes de vulnérabilités.
Pour aller plus loin avec l’ANSSI :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-759/
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-764/
Étude d’un AS aux activités suspectes
Depuis fin août, plusieurs adresses IP de l’AS4134 Chinanet scannent régulièrement les honeypots de TEHTRIS en essayant de réaliser des actions malveillantes. Cet AS est connu pour héberger des acteurs malveillants sur les réseaux sociaux car il est lié à nombreux malwares depuis des années[1][2].
Voici la liste d’IoCs découverts par TEHTRIS :
|
Adresses IP |
Commentaires |
|
49.88.112[.]60 |
SSH bruteforce Transporte le malware Kane_Sneak_out.exe – SHA256 : d7d84decce8c530a9a5d691fd23da867d233559b9968aa2767fc28bb43507211 |
|
61.177.172[.]13 |
SSH bruteforce |
|
61.177.173[.]11 |
Blacklist public |
|
61.177.173[.]13 |
Blacklist public |
|
61.177.173[.]27 |
SSH bruteforce et vol d’identifiants |
|
61.177.173[.]3 |
SSH bruteforce |
|
61.177.173[.]4 |
SSH bruteforce |
|
61.177.172[.]139 |
Botnet |
|
61.177.173[.]24 |
SSH bruteforce |
|
180.101.56[.]56 |
Blacklist public |
|
218.92.0[.]210 |
SSH bruteforce |
|
110.89.10[.]163 |
Télécharge un fichier 2022-10-09 bin.sh – SHA256 : 12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef Copie du botnet MOZI sur Linux |
|
123.97.144[.]204 |
Télécharge un fichier 2022-10-09 bin.sh – SHA256 : 12013662c71da69de977c04cd7021f13a70cf7bed4ca6c82acbc100464d4b0ef Copie du botnet MOZI sur Linux |
|
183.150.97[.]46 |
Inconnu des bases de données publiques |