Ces deux dernières semaines, les honeypots de TEHTRIS déployés à l’international ont une nouvelle fois affronté l’habituelle marée d’activités malveillantes à leur encontre. Pour être plus précis, ceux localisés en Asie Pacifique du Nord ont le plus souffert.
Une IP conduisant une multitude d’activités malveillantes
L’adresse IP 39.109.127[.]79 d’Hong-Kong enregistrée auprès de l’AS 142403 (YISU CLOUD LTD) a réalisé de nombreuses activités malveillantes sur nos honeypots en ciblant principalement le port 80. Plus précisément, nos honeypots ont détecté 152 alertes le 19 janvier entre 19h22 et 19h37 (heure de Paris, GMT+1).
Il s’agit entre autres d’actions de reconnaissance et tout un panel de tentatives d’exploitation de CVE a été testé, notamment sur le logiciel Anywhere. 115 requêtes URL différentes ont été enregistrées.
Voici des exemples de requêtes URL :
- CVE-2018-20062
/App/?content=die(md5(HelloThinkPHP))
- CVE-2012-1823
/cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E
- Remote Code Execution (RCE) Anywhere (découverte in 2021)
/%69%73%70%69%72%69%74/%69%6D/%75%70%6C%6F%61%64%2E%70%68%70
Cette adresse IP n’est que très peu connue des bases de données publiques recensant les adresses IP malveillantes.
Recherche d’informations de santé très précises au Canada
Entre le 18 et le 21 janvier, 212 requêtes originales sur un honeypot enregistré au Canada ont retenu notre attention.
Ces requêtes émanent de 10 adresses IP toutes inconnues de VirusTotal :
IP | AS | Pays |
72.14.199[.]168 72.14.199[.]176 72.14.199[.]181 192.178.10[.]46 192.178.10[.]50 74.125.210[.]50 192.178.10[.]48 72.14.199[.]191 74.125.210[.]48 64.233.172[.]114 | AS 15169 GOOGLE | US |
Ces IP ont cherché à requêter des URL très spécifiques concernant la région du Québec au Canada et la santé depuis GoogleDocs. Voici quelques exemples :
/static/archives/2023-01-18_quebec_ca.html?222222
/static/archives/2023-01-20_quebec_ca.html?222222
/static/archives/2023-01-18_santemontreal.html?222222
/static/archives/2023-01-19_quebec_ca_cas-region.csv (possible recherche de cas Covid)
/static/archives/2023-01-20_inspq_milieux.csv?222222
Cette recherche de documents bien précis sur une période courte laisse à penser que la personne derrière savait ce qu’elle cherchait et où elle pouvait le trouver. Malheureusement, ces requêtes ont également atterri chez nos honeypots déployés à l’international.
Attention, il ne s’agit peut-être pas de requêtes malveillantes car il n’est pas improbable qu’un étudiant en informatique, ou un personnel du service informatique hospitalier ou d’une administration publique de santé, ait mal géré l’utilisation d’un script réalisé à la main dans le cadre de son travail. Ce script aurait pu être diffuser à d’autres collègues d’où l’explication des 10 IP différentes. Derrière chaque écran se trouve un humain qui peut commettre des erreurs !
C’est finalement un évènement inédit difficile à qualifier mais qui permet de rappeler qu’il faut absolument mieux protéger les établissements de santé face aux menaces cyber.
Statistiques bimensuelles : Top 10 des identifiants testés par les cyber attaquants
Login | Password |
admin | admin |
root | root |
root | 0 |
root | 1234 |
345gs5662d34 | 345gs5662d34 |
pi | pi |
root | 0 |
admin | 7ujMko0admin |
111111 | $passwor |
root | 123456 |
Statistiques bimensuelles : Top 10 des requêtes URL utilisées par les cyber criminels
URL |
l9bjkkhaycw6f8f4.soundcloud.com:443 |
/.git/config |
/hm/capwap/index.html?NODEID=F09CE932A4C0 |
/hm/capwap/index.html?NODEID=E01C41B18940 |
/hm/capwap/index.html?NODEID=E01C41B19780 |
/hm/capwap/index.html?NODEID=4018B1F83880 |
/boaform/admin/formLogin |
/hm/capwap/index.html?NODEID=4018B1CA4DC0 |
/_ignition/execute-solution |
/hm/capwap/index.html?NODEID=4018B1E369C0 |
Statistiques bimensuelle : Top 10 des ports ciblés par les groupes cyber malveillants
Port |
445 |
22 |
80 |
23 |
6379 |
443 |
8443 |
5555 |
3389 |
81 |
IoCs inconnus du grand public
La solution Deceptive Response comportant les modules Web et SMB permet de recenser les attaques lancées à l’encontre de nos honeypots et d’obtenir certaines données des attaquants. Ces adresses IP ont été observées sur notre réseau international de honeypots pendant ces deux dernières semaines réalisant des attaques. Leur point commun : elles sont toutes inconnues des bases de données publiques qui recensent les adresses IP malveillantes.
IP | AS | Pays | Type d’attaque |
109.237.96[.]124 | AS 202306 Hostglobal.plus Ltd | RU | Service Web |
109.237.97[.]141 | AS 202306 Hostglobal.plus Ltd | RU | Service Web |
37.153.250[.]65 | AS 28685 Routit BV | NL | Service Web |
202.157.176[.]224 | AS 136170 PT. EXABYTES NETWORK INDONESIA | MY | Service Web |
95.214.235[.]205 | AS 30860 Virtual Systems LLC | UA | Service Web |
85.27.52[.]68 | AS 12392 Brutele SC | BE | Service Web |
112.47.34[.]246 | AS 9808 China Mobile Communications Group Co., Ltd. | CN | Service Web |
185.254.196[.]115 | AS 30860 Virtual Systems LLC | US | Service Web |
47.242.80[.]60 | AS 45102 Alibaba US Technology Co., Ltd. | HK | Protocole SMB |
118.99.67[.]110 | AS 17451 BIZNET NETWORKS | ID | Protocole SMB |
222.255.122[.]62 | AS 7643 Vietnam Posts and Telecommunications VNPT | VN | Protocole SMB |
80.234.105[.]221 | AS 12389 Rostelecom | RU | Protocole SMB |
103.113.85[.]138 | AS 135307 Golden TMH Telecom Co. Ltd | MM | Protocole SMB |
122.53.126[.]30 | AS 9299 Philippine Long Distance Telephone Company | PH | Protocole SMB |
202.88.240[.]215 | AS 17465 Cable ISP in India | IN | Protocole SMB |
187.230.132[.]23 | AS 8151 Uninet S.A. de C.V. | MX | Protocole SMB |
189.203.208[.]115 | AS 22884 TOTAL PLAY TELECOMUNICACIONES SA DE CV | MX | Protocole SMB |