Cette semaine, TEHTRIS a observé l’activité suivante sur ses leurres informatiques déployés dans le monde.
Sommaire
Focus sur les 3 types de vulnérabilités analysées cette semaine
EternalBlue
TEHTRIS a détecté un grand nombre d’exploits EternalBlue utilisant TCP/445. L’exploit informatique EternalBlue (CVE-2017-0144) développé par la NSA est devenu tristement célèbre en 2017 lorsqu’il a été divulgué par les Shadow Brokers, entraînant les cyberattaques de ransomware WannaCry ainsi que les cyberattaques NotPetya. EternalBlue exploite une vulnérabilité dans l’implémentation par Microsoft du protocole Server Message Block (SMB) version 1 qui facilite l’accès partagé aux fichiers et aux imprimantes. Cette vulnérabilité permet à des attaquants d’envoyer des paquets trafiqués pour exécuter du code à distance sur l’ordinateur cible. Bien que la CVE ait été immédiatement corrigée en 2017, TEHTRIS remarque qu’EternalBlue reste un outil efficace utilisé par les acteurs malveillants en 2022, principalement en raison de l’utilisation d’anciens ordinateurs non patchés, des ordinateurs incapables de recevoir d’autres correctifs de sécurité et de l’utilisation croissante d’EternalBlue pour des opérations secrètes de cryptojacking.
Les 5 principales adresses IP qui ont mené les tentatives d’attaque sont les suivantes :
| Source IP | Pays | AS |
| 40.128.65[. ]161 | US | AS7029 WINDSTREAM |
| 181.49.176[. ]37 | CO | AS14080 TELMEX COLOMBIA S.A. |
| 81.8.21[. ]228 | TR | AS15924 VODAFONE NET ILETISIM HIZMETLERI ANONIM SIRKETI |
| 168.187.144[. ]67 | KW | AS6412 KW KEMS BLOCK-A |
| 142.247.224[. ]196 | SA | AS25019 SAUDI TELECOM COMPANY JSC |
Elles sont toutes répertoriées dans les bases de données publiques de listes noires, bien que SA 142.247.224[. ]196 ne soit pas aussi largement signalée.
Sipvicious
Une autre analyse de vulnérabilité courante concerne des scans réalisés avec l’outil Sipvicious. SipVicious est un ensemble d’outils utilisés pour auditer les systèmes VoIP basés sur SIP. Il est disponible publiquement et était initialement destiné à l’audit légitime des réseaux internes. Cependant, SipVicious est gratuit et peut être utilisé par des pirates peu qualifiés pour scanner et identifier les serveurs SIP afin de lancer des attaques par « brute force ». Il est facile d’identifier un scan effectué avec SipVicious car l’agent utilisateur est réglé sur « Friendly-Scanner » .
Les 5 principales adresses IP qui ont effectué les scans sont les suivantes :
| Source IP | Pays | AS |
| 194.163.184[. ]228 | DE | AS51167 CONTABO GMBH |
| 45.134.144[. ]203 | DE | AS47154 HUSAM A. H. HIJAZI |
| 15.204.25[.]65 | US | AS16276 OVH SAS |
| 85.114.131[.]220 | DE | AS24961 MYLOC MANAGED IT AG |
| 151.106.40[.]169 | FR | AS34088 HOST EUROPE GMBH |
Ces adresses IP ont été signalées sur des sites d’abus et figurent sur des listes noires publiques d’adresses IP. L’adresse IP DE 194.163.184[.]228 se classe en tête de tout le trafic réseau malveillant de la semaine 37.
Scan SSH
Également surveillé cette semaine : le scan SSH, qui vise à sonder le port 22, le port d’écoute par défaut pour SSH. S’il répond, une attaque par brute force peut être lancée pour tenter de s’authentifier sur le système.
Les 5 premières adresses IP effectuant un scan SSH étaient :
| Source IP | Pays | AS |
| 61.177.173[. ]24 | CN | AS4134 CHINANET |
| 218.92.0[. ]210 | CN | AS4134 CHINANET |
| 51.178.55[. ]162 | FR | AS16276 OVH SAS |
| 178.162.147[. ]10 | NL | AS6078 LEASEWEB NETHERLANDS B.V. |
| 167.172.152[. ]18 | US | AS14061 DIGITALOCEAN-ASN |
Ces adresses IP ont été signalées sur des sites d’abus et figurent sur des listes noires publiques d’adresses IP. L’adresse CN 61.177.173[. ]24 se classe au 8e rang de toutes les adresses IP qui ont mené un trafic réseau malveillant pendant la semaine 37, et l’adresse CN 218.92.0[. ]210 se classe au 10e rang.
Tentatives d’abus des outils Ansible
Selon les données de TEHTRIS Deceptive Response Network, cette semaine, 8 adresses IP (dont 5 enregistrées aux Etats-Unis, soit AS211252 Delis LLC ou AS14061 DIGITALOCEAN-ASN) ont tenté d’abuser des outils Ansible en utilisant des logins (« ansible ») associés à des mots de passe (« ansible » ou « 123456 »). Pour votre information, Ansible est un outil d’automatisation informatique opensource qui automatise le , la gestion de la configuration, le déploiement d’applications, l’orchestration et de nombreux autres processus informatiques manuels.
8 IoCs
– US 80.76.51[. ]189 – AS 211252 (DELIS LLC)
– US 80.76.51[. ]41 – AS 211252 (DELIS LLC)
– US 80.76.51[. ]46 – AS 211252 (DELIS LLC)
– US 134.122.123.117 – AS14061 (DIGITALOCEAN-ASN)
– US 167.172.152[. ]18 – AS14061 (DIGITALOCEAN-ASN)
– CH 179.43.145[. ]74 – AS51852 (PRIVATE LAYER INC)
– DE 193.142.146[. ]50 – AS208046 (HOSTSLICK)
– AZ 109.205.213[. ]23 – AS23470 (RELIABLESITE)
Nous vous recommandons vivement de changer les mots de passe par défaut et d’en utiliser des forts. N’hésitez pas à scanner vos propres adresses IP externes pour voir quels services sont exposés et déterminer votre surface d’attaque. Certains services peuvent être exposés sans que vous le sachiez 🧐.
Adresses IP peu connues abusant du SMB
Cette semaine, TEHTRIS a remarqué que dans le top 10 des adresses IP qui tentent d’abuser du SMB sur le réseau TEHTRIS Deceptive Response Network, la plupart d’entre elles n’étaient pas connues des principales bases de données publiques mondiales :
7 IoCs
- BR 187.16.224[. ]62 – AS262907 BRASIL TECNOLOGIA E PARTICIPACOES SA
- BR 168.138.252[. ]172 – AS31898 ORACLE-BMC-31898
- SA 142.247.224[. ]196 – AS25019 SAUDI TELECOM COMPANY JSC
- EN 103.210.106[. ]130 – AS134021 AIR POUR COMMUNICATION PRIVÉE EN COMMUNICATION PRIVÉE
- TZ 41.59.197[. ]83 – AS33765 TTCLDATA
- CL 190.215.192[. ]18 – AS14259 GTD INTERNET S.A.
SMB est un protocole réseau utilisé par les ordinateurs sous Windows qui permet aux systèmes d’un même réseau de partager des fichiers sur un serveur distant. SMB peut être utilisé de manière abusive, pour une technique de déplacement latéral par exemple, et est utilisé dans l’exploit Eternalblue.
Nos recommandations ?
- Utilisez des mots de passe forts.
- Scannez les adresses IP publiques de votre entreprise pour garder un œil sur ce qui est exposé en ligne.
- Mettez à jour Windows. Si vos machines ne prennent pas en charge une mise à jour, utilisez un VPN pour limiter l’accès.
- Si possible, empêchez le flux réseau entrant de contacter les ports SMB (445 et 139).
Focus sur un hébergeur « Bulletproof »
Cette semaine, 5 des 10 adresses IP les plus utilisées pour des activités malveillantes contre TEHTRIS Deceptive Response Network sont hébergées par AS202425 IP VOLUME INC. Cette société est censée être basée aux Seychelles mais possède des serveurs aux Pays-Bas. IP Volume semble avoir des liens avec Ecatel, Quasi Networks et Novogara et est probablement un hébergeur Bulletproof. En 2010, la société s’est vue attribuer le rang de « pire société d’hébergement au monde » par HoistExploit en raison de ses activités cybercriminelles. Plus récemment, les 5 adresses IP énumérées ci-dessous sont mentionnées dans le référentiel WhoIs comme appartenant au « RECYBER PROJET NETBLOCK ». Ce projet prétend effectuer des analyses légitimes pour des sociétés de sécurité. Cependant, aucune information concernant les acteurs impliqués n’a été divulguée, ni aucune communication officielle sur leurs activités.
5 IoCs
- 89.248.165[.]68
- 80.82.64[.]146
- 89.248.165[.]97
- 89.248.165[.]166
- 89.248.163[.]237