Apache Tomcat-servere målrettet af Mirai Botnet-aktører

Aqua har for nylig afsløret en bekymrende tendens, hvor Apache Tomcat-servere, der er forkert konfigurerede og dårligt sikrede, bliver hovedmål for en nyligt orkestreret kampagne. Denne kampagne er specifikt designet til at frigøre den berygtede Mirai botnet malware og cryptocurrency minearbejdere.

I løbet af to år opdagede Aqua svimlende 800 angreb rettet mod deres Tomcat-server honeypots. Chokerende nok var 96 % af disse angreb direkte forbundet med det berygtede Mirai-botnet.

Trusselsaktørerne bag disse angreb brugte et web shell-script ved navn "neww" i 20 % af deres forsøg (152 angreb i alt). Dette script stammer fra 24 unikke IP-adresser, hvoraf betydelige 68 % stammer fra en enkelt IP-adresse (104.248.157[.]218).

Angribernes modus operandi involverede scanning efter sårbare Tomcat-servere og efterfølgende lancering af brute force-angreb for at få uautoriseret adgang til Tomcat-webapplikationsadministratoren. Deres mål var at teste forskellige kombinationer af legitimationsoplysninger forbundet med manageren, indtil de fandt et vellykket indgangspunkt.

Web Shell bruges på kompromitterede servere

Da de fik adgang, fortsatte trusselsaktørerne med at implementere en WAR-fil indeholdende en ondsindet web-shell-klasse kendt som 'cmd.jsp'. Denne web-shell var smart designet til at reagere på fjernanmodninger, hvilket gør det muligt for angriberne at udføre vilkårlige kommandoer på den kompromitterede Tomcat-server.

Blandt de udførte kommandoer var download og udførelse af et shell-script kaldet "neww", som straks blev fjernet ved hjælp af "rm -rf" Linux-kommandoen for at slette spor af operationen. Navnlig indeholdt dette script links til download af 12 binære filer, hver skræddersyet til at passe til den specifikke arkitektur af det målrettede system.

I en sidste alarmerende drejning var den malware, der blev brugt i denne kampagne, en variant af det berygtede Mirai-botnet. Denne særlige stamme brugte de kompromitterede værter til at lancere distribuerede denial-of-service (DDoS)-angreb, hvilket tilføjede endnu et lag af fare til den allerede truende situation.

For at udføre deres angreb gjorde trusselsaktørerne snedig brug af webapplikationsmanageren og uploadede web-skallen forklædt som en WAR-fil. Derfra fjernudførte de kommandoer, hvilket udløste det ødelæggende angreb på de målrettede servere.

Det er afgørende for serveradministratorer at forblive på vagt og sikre den korrekte konfiguration og sikkerhed af deres Apache Tomcat-servere for at forhindre sådanne ondsindede kampagner og beskytte mod potentiel infiltration af Mirai-botnettet eller andre former for malware.