Notre sélection des alertes de nos honeypots : bulletin 7 – avril 2023

Une bonne compréhension des menaces actives est nécessaire pour parvenir à une bonne position de sécurité. Le rapport suivant présente les tendances actuelles qui se dégagent du bruit de fond de l’internet. Les données sont fournies à partir de deux semaines de logs de nos honeypots déployés mondialement.

Tentatives de connexion SSH : focus sur 2 adresses IP françaises

Ces deux dernières semaines, 10 % des tentatives de connexion SSH sur nos honeypots européens provenaient de deux adresses IP françaises seulement :

La première est 54.36.126[.]205, qui a testé plus de 23 000 identifiants en seulement 4 heures dans les matinées du 30et 31 mars. Le tableau ci-dessous montre les 10 principaux identifiants testés :

LoginMot de passe
developermar20lt
nagios555555
test333333
wso2123qwe
plexabcd1234
webdev54321
mattermostusr
matrix1qaz@WSX
startstart

Les pays ciblés se répartissent comme suit :

La deuxième adresse IP est 51.91.136[.]234, qui – suivant le même schéma – a testé plus de 13 000 identifiants en quelques heures le lundi 30 mars. Le tableau ci-dessous montre les 10 principaux identifiants utilisés :

LoginMot de passe
steam0
centos123456789
deployer123456
remote2remote2
root2root2
user1user1
oracle1111
oracle111111
oracle123
oracle123123

Les honeypots ciblés sont répartis comme suit :

Scan AndroxGh0st pour obtenir des informations sur le mode debug de Laravel

AndroxGh0st est un script python disponible en sources ouvertes qui est utilisé pour scanner et analyser les applications Laravel afin de trouver des fichiers .env exposés, révélant les données de configuration, y compris les clés privées. Laravel est une plateforme open-source utilisée pour créer des applications web. Lorsque le mode Debug est activé, il peut révéler des informations sensibles telles que des bases de données, des mots de passe, des application keys… Ces informations constituent un point de départ d’intérêt pour un acteur malveillant qui pourra s’en servir pour poursuivre une attaque.

AndroxGh0st a été découvert par la communauté de la cybersécurité à la fin de l’année 2022 et a été mentionné récemment parce qu’il est inclus dans un nouvel ensemble d’outils appelé AlienFox vendu sur les canaux Telegram. AlienFox est utilisé pour récupérer les clés d’API et les secrets de services populaires, notamment AWS SES.

Les paquets contenant « androxgh0st » ont été de plus en plus détectés sur nos honeypots au cours du mois de mars, leur nombre ayant presque doublé au cours du mois.

4 adresses IP représentent près de 80 % du total des demandes :

Ip addressCountryAS
135.125.246[.]110
135.125.217[.]54
135.125.244[.]48
135.125.246[.]189
FRAS 16276 (OVH SAS)

Protocole SMB : noms d’utilisateur les plus utilisés

Plus de 2 millions de tentatives de connexion SMB ont été enregistrées au cours des deux dernières semaines sur nos honeypots. Les noms d’utilisateur les plus utilisés par les acteurs de la menace sont les suivants :

L’adresse IP turque 88.255.215[.]2 (AS 9121 – Turk Telekom) que nous avions mentionnée dans notre bimensuel de février est toujours extrêmement active puisque ses requêtes incessantes représentent près de 50 % du total des événements.

Analyse du trafic réseau en Europe et dans le Pacifique Sud

Ce sujet vous intéresse ?

Recevez plus d’informations sur ce bulletin des alertes révélées par nos honeypots.

Abonnez-vous à notre newsletter threat intelligence bimensuelle !

Port 427 en lien avec la campagne de ransomware VMWare ESXi

Ce sujet vous intéresse ?

Recevez plus d’informations sur ce bulletin des alertes révélées par nos honeypots.

Abonnez-vous à notre newsletter threat intelligence bimensuelle !


Information remain TEHTRIS sole property and reproduction is forbidden

TEHTRIS is and remains sole property rights owner of the information provided herein. Any copy, modification, derivative work, associated document, as well as every intellectual property right, is and must remain TEHTRIS’ sole and exclusive property. TEHTRIS authorizes the user to access for read use only. Except as expressly provided above, nothing contained herein will be construed as conferring any license or right under any TEHTRIS’ copyright.

No warranty and liability

TEHTRIS will not be held liable for any use, improper or incorrect use of the information described and/or contained herein and assume no responsibility for anyone’s use of the information. Although every effort has been made to provide complete and accurate information, TEHTRIS makes no warranty, expressed or implied regarding accuracy, adequacy, completeness, legality, reliability, or usefulness of any information provided herein. This disclaimer applies to both isolated and aggregated uses of the information.

Cyber or not Cyber ?

Abonnez-vous à la newsletter TEHTRIS.

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.

Pour pousser le sujet

Publications similaires

Cyber or not cyber ?

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.