Servidores Apache Tomcat atacados por actores de la botnet Mirai

Aqua ha descubierto recientemente una tendencia preocupante en la que los servidores Apache Tomcat que están mal configurados y mal protegidos se están convirtiendo en objetivos principales para una campaña recién orquestada. Esta campaña está diseñada específicamente para desatar el infame malware de botnet Mirai y los mineros de criptomonedas.

En el lapso de dos años, Aqua detectó la asombrosa cantidad de 800 ataques dirigidos a sus servidores trampa de Tomcat. Sorprendentemente, el 96% de estos ataques estaban directamente relacionados con la notoria red de bots Mirai.

Los actores de amenazas detrás de estos ataques emplearon un script de shell web llamado "neww" en el 20 % de sus intentos (152 ataques en total). Este script se originó a partir de 24 direcciones IP únicas, con un 68 % significativo que se originó a partir de una sola dirección IP (104.248.157[.]218).

El modus operandi de los atacantes consistía en buscar servidores Tomcat vulnerables y, posteriormente, lanzar ataques de fuerza bruta para obtener acceso no autorizado al administrador de aplicaciones web de Tomcat. Su objetivo era probar varias combinaciones de credenciales asociadas con el administrador hasta encontrar un punto de entrada exitoso.

Web Shell utilizado en servidores comprometidos

Una vez que obtuvieron acceso, los actores de amenazas procedieron a implementar un archivo WAR que contenía una clase de shell web maliciosa conocida como 'cmd.jsp'. Este shell web fue inteligentemente diseñado para responder a solicitudes remotas, lo que permite a los atacantes ejecutar comandos arbitrarios en el servidor Tomcat comprometido.

Entre los comandos ejecutados estaba la descarga y ejecución de un script de shell llamado "neww", que se eliminó rápidamente usando el comando de Linux "rm -rf" para borrar los rastros de la operación. En particular, este script incluía enlaces para descargar 12 archivos binarios, cada uno diseñado para adaptarse a la arquitectura específica del sistema de destino.

En un último giro alarmante, el malware empleado en esta campaña era una variante de la infame red de bots Mirai. Esta cepa en particular utilizó los hosts comprometidos para lanzar ataques de denegación de servicio distribuido (DDoS), agregando otra capa de peligro a la situación ya amenazante.

Para llevar a cabo su ataque, los actores de amenazas hicieron un uso astuto del administrador de aplicaciones web, cargando el shell web disfrazado de archivo WAR. Desde allí, ejecutaron comandos de forma remota, desatando el ataque devastador en los servidores objetivo.

Es crucial que los administradores de servidores permanezcan atentos y garanticen la configuración y la seguridad adecuadas de sus servidores Apache Tomcat para frustrar tales campañas maliciosas y protegerse contra la posible infiltración de la red de bots Mirai u otras formas de malware.