Διακομιστές Apache Tomcat Στοχευμένοι από Mirai Botnet Actors

Η Aqua αποκάλυψε πρόσφατα μια ανησυχητική τάση όπου οι διακομιστές Apache Tomcat που δεν έχουν ρυθμιστεί σωστά και δεν είναι καλά ασφαλείς γίνονται πρωταρχικοί στόχοι για μια πρόσφατα ενορχηστρωμένη καμπάνια. Αυτή η καμπάνια έχει σχεδιαστεί ειδικά για να απελευθερώσει το διαβόητο κακόβουλο λογισμικό botnet Mirai και τους εξορύκτες κρυπτονομισμάτων.

Σε διάστημα δύο ετών, η Aqua εντόπισε εκπληκτικές 800 επιθέσεις που στόχευαν στα honeypot server της Tomcat. Το συγκλονιστικό είναι ότι το 96% αυτών των επιθέσεων συνδέονταν άμεσα με το διαβόητο botnet Mirai.

Οι φορείς απειλών πίσω από αυτές τις επιθέσεις χρησιμοποίησαν ένα σενάριο web shell με το όνομα "neww" στο 20% των προσπαθειών τους (152 επιθέσεις συνολικά). Αυτό το σενάριο προέρχεται από 24 μοναδικές διευθύνσεις IP, με ένα σημαντικό 68% να προέρχεται από μία μόνο διεύθυνση IP (104.248.157[.]218).

Ο τρόπος λειτουργίας των εισβολέων περιελάμβανε σάρωση για ευάλωτους διακομιστές Tomcat και στη συνέχεια εξαπέλυσαν επιθέσεις ωμής βίας για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον διαχειριστή εφαρμογών ιστού Tomcat. Στόχος τους ήταν να δοκιμάσουν διάφορους συνδυασμούς διαπιστευτηρίων που σχετίζονται με τον διευθυντή μέχρι να βρουν ένα επιτυχημένο σημείο εισόδου.

Web Shell που χρησιμοποιείται σε παραβιασμένους διακομιστές

Μόλις απέκτησαν πρόσβαση, οι φορείς απειλών προχώρησαν στην ανάπτυξη ενός αρχείου WAR που περιείχε μια κακόβουλη κλάση κελύφους ιστού γνωστή ως "cmd.jsp". Αυτό το κέλυφος ιστού σχεδιάστηκε έξυπνα για να ανταποκρίνεται σε απομακρυσμένα αιτήματα, επιτρέποντας στους εισβολείς να εκτελούν αυθαίρετες εντολές στον παραβιασμένο διακομιστή Tomcat.

Μεταξύ των εντολών που εκτελέστηκαν ήταν η λήψη και η εκτέλεση ενός σεναρίου φλοιού που ονομάζεται "neww", το οποίο αφαιρέθηκε αμέσως χρησιμοποιώντας την εντολή "rm -rf" Linux για να διαγράψει τα ίχνη της λειτουργίας. Συγκεκριμένα, αυτό το σενάριο περιλάμβανε συνδέσμους για λήψη 12 δυαδικών αρχείων, το καθένα προσαρμοσμένο για να ταιριάζει στη συγκεκριμένη αρχιτεκτονική του στοχευόμενου συστήματος.

Σε μια τελευταία ανησυχητική εξέλιξη, το κακόβουλο λογισμικό που χρησιμοποιήθηκε σε αυτήν την καμπάνια ήταν μια παραλλαγή του περίφημου botnet Mirai. Αυτό το συγκεκριμένο στέλεχος χρησιμοποίησε τους παραβιασμένους κεντρικούς υπολογιστές για να ξεκινήσει επιθέσεις κατανεμημένων άρνησης υπηρεσίας (DDoS), προσθέτοντας άλλο ένα επίπεδο κινδύνου στην ήδη απειλητική κατάσταση.

Για να πραγματοποιήσουν την επίθεσή τους, οι παράγοντες απειλών χρησιμοποίησαν πονηρά τον διαχειριστή εφαρμογών ιστού, ανεβάζοντας το κέλυφος Ιστού μεταμφιεσμένο σε αρχείο WAR. Από εκεί, εκτελούσαν εξ αποστάσεως εντολές, εξαπολύοντας την καταστροφική επίθεση στους στοχευμένους διακομιστές.

Είναι σημαντικό για τους διαχειριστές των διακομιστών να παραμείνουν σε επαγρύπνηση και να διασφαλίζουν τη σωστή διαμόρφωση και ασφάλεια των διακομιστών τους Apache Tomcat για να αποτρέψουν τέτοιες κακόβουλες εκστρατείες και να προστατεύσουν από πιθανή διείσδυση του botnet Mirai ή άλλων μορφών κακόβουλου λογισμικού.