Les serveurs Apache Tomcat ciblés par les acteurs du botnet Mirai

Aqua a récemment découvert une tendance inquiétante selon laquelle les serveurs Apache Tomcat mal configurés et mal sécurisés deviennent les principales cibles d'une campagne nouvellement orchestrée. Cette campagne est spécialement conçue pour libérer le tristement célèbre malware du botnet Mirai et les mineurs de crypto-monnaie.

En l'espace de deux ans, Aqua a détecté 800 attaques stupéfiantes visant les pots de miel de son serveur Tomcat. Étonnamment, 96 % de ces attaques étaient directement liées au célèbre botnet Mirai.

Les acteurs de la menace à l'origine de ces attaques ont utilisé un script shell Web nommé "neww" dans 20 % de leurs tentatives (152 attaques au total). Ce script provenait de 24 adresses IP uniques, dont 68 % provenant d'une seule adresse IP (104.248.157[.]218).

Le modus operandi des attaquants impliquait de rechercher des serveurs Tomcat vulnérables et de lancer ensuite des attaques par force brute pour obtenir un accès non autorisé au gestionnaire d'applications Web Tomcat. Leur objectif était de tester diverses combinaisons d'informations d'identification associées au gestionnaire jusqu'à ce qu'ils trouvent un point d'entrée réussi.

Web Shell utilisé sur des serveurs compromis

Une fois qu'ils ont obtenu l'accès, les pirates ont déployé un fichier WAR contenant une classe de shell Web malveillante appelée "cmd.jsp". Ce shell Web a été intelligemment conçu pour répondre aux requêtes distantes, permettant aux attaquants d'exécuter des commandes arbitraires sur le serveur Tomcat compromis.

Parmi les commandes exécutées figuraient le téléchargement et l'exécution d'un script shell appelé "neww", qui a été rapidement supprimé à l'aide de la commande Linux "rm -rf" pour effacer les traces de l'opération. Notamment, ce script comprenait des liens pour télécharger 12 fichiers binaires, chacun adapté à l'architecture spécifique du système ciblé.

Dans une dernière tournure alarmante, le logiciel malveillant utilisé dans cette campagne était une variante du tristement célèbre botnet Mirai. Cette souche particulière a utilisé les hôtes compromis pour lancer des attaques par déni de service distribué (DDoS), ajoutant une autre couche de danger à la situation déjà menaçante.

Pour mener à bien leur attaque, les acteurs de la menace ont fait un usage astucieux du gestionnaire d'applications Web, téléchargeant le shell Web déguisé en fichier WAR. De là, ils ont exécuté des commandes à distance, déclenchant l'attaque dévastatrice sur les serveurs ciblés.

Il est crucial que les administrateurs de serveurs restent vigilants et garantissent la configuration et la sécurité appropriées de leurs serveurs Apache Tomcat pour contrecarrer ces campagnes malveillantes et se protéger contre une éventuelle infiltration par le botnet Mirai ou d'autres formes de logiciels malveillants.