Apache Tomcat-Server im Visier von Mirai-Botnet-Akteuren

Aqua hat kürzlich einen besorgniserregenden Trend aufgedeckt, bei dem falsch konfigurierte und schlecht gesicherte Apache Tomcat-Server zu Hauptzielen einer neu orchestrierten Kampagne werden. Diese Kampagne ist speziell darauf ausgelegt, die berüchtigte Mirai-Botnet-Malware und Kryptowährungs-Miner zu entfesseln.

Innerhalb von zwei Jahren entdeckte Aqua unglaubliche 800 Angriffe, die auf die Honeypots seiner Tomcat-Server abzielten. Erschreckenderweise standen 96 % dieser Angriffe in direktem Zusammenhang mit dem berüchtigten Mirai-Botnetz.

Die Bedrohungsakteure hinter diesen Angriffen verwendeten bei 20 % ihrer Versuche (insgesamt 152 Angriffe) ein Web-Shell-Skript namens „neww“. Dieses Skript entstand aus 24 eindeutigen IP-Adressen, wobei erhebliche 68 % von einer einzelnen IP-Adresse (104.248.157[.]218) stammten.

Die Vorgehensweise der Angreifer bestand darin, nach anfälligen Tomcat-Servern zu suchen und anschließend Brute-Force-Angriffe zu starten, um sich unbefugten Zugriff auf den Tomcat-Webanwendungsmanager zu verschaffen. Ihr Ziel bestand darin, verschiedene Kombinationen der mit dem Manager verbundenen Qualifikationen zu testen, bis sie einen erfolgreichen Einstiegspunkt fanden.

Web Shell wird auf kompromittierten Servern verwendet

Nachdem sie Zugriff erhalten hatten, stellten die Bedrohungsakteure eine WAR-Datei bereit, die eine bösartige Web-Shell-Klasse namens „cmd.jsp“ enthielt. Diese Web-Shell wurde so konzipiert, dass sie auf Remote-Anfragen reagiert und es den Angreifern ermöglicht, beliebige Befehle auf dem kompromittierten Tomcat-Server auszuführen.

Zu den ausgeführten Befehlen gehörte das Herunterladen und Ausführen eines Shell-Skripts namens „neww“, das umgehend mit dem Linux-Befehl „rm -rf“ entfernt wurde, um Spuren des Vorgangs zu löschen. Bemerkenswert ist, dass dieses Skript Links zum Herunterladen von 12 Binärdateien enthielt, die jeweils auf die spezifische Architektur des Zielsystems zugeschnitten waren.

In einer letzten alarmierenden Wendung handelte es sich bei der in dieser Kampagne eingesetzten Malware um eine Variante des berüchtigten Mirai-Botnetzes. Diese besondere Variante nutzte die kompromittierten Hosts, um Distributed-Denial-of-Service-Angriffe (DDoS) zu starten, was die ohnehin schon bedrohliche Situation um eine weitere Gefahrenstufe erhöhte.

Zur Durchführung ihres Angriffs nutzten die Bedrohungsakteure geschickt den Webanwendungsmanager und luden die als WAR-Datei getarnte Web-Shell hoch. Von dort aus führten sie Befehle aus der Ferne aus und lösten so den verheerenden Angriff auf die Zielserver aus.

Für Serveradministratoren ist es von entscheidender Bedeutung, wachsam zu bleiben und die ordnungsgemäße Konfiguration und Sicherheit ihrer Apache Tomcat-Server sicherzustellen, um solche böswilligen Kampagnen zu vereiteln und sich vor einer möglichen Infiltration durch das Mirai-Botnetz oder andere Formen von Malware zu schützen.