Honeypots : activité de la semaine 44

En semaine 44, les adresses IP à l’origine de la majorité de l’activité réseau malveillante sur les honeypots sont enregistrées aux Pays-Bas (24,53%), aux Etats-Unis (19,75%), en Chine (9,78%), en Bulgarie (8,38%) et en Russie (6,8%). Cette semaine, TEHTRIS évoque 2 activités malveillantes observées sur son réseau de honeypots déployé à l’international. 1. Abus des […]

Honeypots : activité de la semaine 43

En semaine 43, TEHTRIS a choisi de mettre en évidence 4 activités malveillante observées sur son réseau de honeypots de TEHTRIS déployé à l’international. Sommaire Scan SSH : ciblage de serveurs de jeux terraria Cette semaine, 10 adresses IP ont tenté d’utiliser le login « terraria » (et variants) à plus de 560 reprises sur le réseau […]

Honeypots : activité de la semaine 42

En semaine 42, TEHTRIS s’est concentré sur l’étude de deux phénomènes malveillants observés sur son réseau de honeypots. Sommaire Tentative de communication via reverse shell sur le port 4444 Dans le top 10 des adresses IP effectuant des requêtes malicieuses sur notre réseau de honeypots cette semaine, on trouve les deux IP suivantes : 212.2.236[.]244 […]

Honeypots : activité de la semaine 41

TEHTRIS a observé l’activité sur son réseau de honeypots en semaine 41. Certaines tendances restent identiques par rapport aux semaines passées. Ainsi, la faille EternalBlue représente l’écrasante majorité de l’activité détectée par le module TEHTRIS NTA. De même, le port non-standard le plus utilisé reste le port 6379 (utilisé dans le cadre de l’exploitation d’une […]

Honeypots : activité de la semaine 40

L’analyse des activités observées sur le réseau de honeypots de TEHTRIS en semaine 40 a permis de mettre en avant de nouveaux indices de compromissions et de détecter des types d’attaques fréquemment réalisés par des cyber acteurs malveillants. Sommaire Utilisation malveillante d’identifiants par défaut CirrOS CirrOS est un petit système d’exploitation sous Linux conçu pour […]

Honeypots : activité de la semaine 39

L’analyse des activités observées sur le réseau de honeypots de TEHTRIS en semaine 39 a permis de mettre en avant de nouveaux indices de compromissions et de détecter les types d’attaques populaires chez les acteurs malveillants. Sommaire Activité malveillante du botnet Mirai Des traces du malware Mirai (dont l’activité est associée au User Agent « […]

Protéger ses données stratégiques contre le cyber-espionnage industriel

Le 6 juillet 2022, pour la première fois, les Directeurs du MI5 britannique et du FBI américain s’exprimaient conjointement face aux leaders du monde entrepreneurial et académique. L’objectif de leur discours était sans détour : mettre en garde vis-à-vis de la menace posée par le Parti Communiste Chinois et son agressivité dans l’espionnage industriel et […]

Honeypots : Tentative d’exploitation de vulnérabilités sur des objets IoT (semaine 38)

Cette semaine, sur le réseau de TEHTRIS Deceptive Response, notre équipe de Threat Research a détecté des tentatives d’exploitation sur des appareils IoT vulnérables tels que des routeurs D-Link ou des enregistreurs vidéo-surveillance MVPower, dans le but de les enrôler dans des botnets ou de faire du minage de cryptomonnaie. Sommaire Tentative d’exploiter des routers […]

Honeypots TEHTRIS : Focus sur les vulnérabilités de la semaine. (Semaine 37)

Cette semaine, TEHTRIS a observé l’activité suivante sur ses leurres informatiques déployés dans le monde. Sommaire Focus sur les 3 types de vulnérabilités analysées cette semaine EternalBlue TEHTRIS a détecté un grand nombre d’exploits EternalBlue utilisant TCP/445. L’exploit informatique EternalBlue (CVE-2017-0144) développé par la NSA est devenu tristement célèbre en 2017 lorsqu’il a été divulgué […]

Vulnérabilité Zerologon

Une vulnérabilité nommée Zerologon et portant le numéro CVE-2020-1472 a été publiée le 11 aout 2020 par Microsoft [1]. Elle impacte MS-NRPC [2], protocole nécessaire au bon fonctionnement d’un domaine Microsoft, et utilisé par les contrôleurs de domaine (RODC [3] inclus). Le 11 septembre 2020, un code d’exploitation et un livre blanc associés à cette […]