A Mirai botnet szereplői által megcélzott Apache Tomcat szerverek

Az Aqua nemrégiben feltárt egy aggasztó tendenciát, amely szerint a rosszul konfigurált és rosszul védett Apache Tomcat szerverek az újonnan szervezett kampányok elsődleges célpontjaivá válnak. Ez a kampány kifejezetten a hírhedt Mirai botnet rosszindulatú szoftverek és kriptovaluta bányászok felszabadítására szolgál.

Két év leforgása alatt az Aqua elképesztő 800 támadást észlelt, amelyek a Tomcat szerverük ellen irányultak. Megdöbbentő módon ezeknek a támadásoknak a 96%-a közvetlenül a hírhedt Mirai botnethez kapcsolódott.

A támadások mögött meghúzódó fenyegetés szereplői kísérleteik 20%-ában (összesen 152 támadás) egy "neww" nevű web shell szkriptet alkalmaztak. Ez a szkript 24 egyedi IP-címből származik, amelyek jelentős része 68%-a egyetlen IP-címről (104.248.157[.]218).

A támadók működési módja szerint a sebezhető Tomcat szervereket keresték, majd brute force támadásokat indítottak, hogy illetéktelenül hozzáférjenek a Tomcat webalkalmazás-kezelőhöz. Céljuk az volt, hogy teszteljék a menedzserhez kapcsolódó hitelesítő adatok különféle kombinációit, amíg nem találnak egy sikeres belépési pontot.

Kompromittált szervereken használt web shell

Miután megszerezték a hozzáférést, a fenyegetés szereplői egy WAR-fájlt telepítettek, amely egy „cmd.jsp” néven ismert rosszindulatú web shell osztályt tartalmazott. Ezt a webhéjat okosan úgy tervezték, hogy válaszoljon a távoli kérésekre, lehetővé téve a támadók számára, hogy tetszőleges parancsokat hajtsanak végre a feltört Tomcat szerveren.

A végrehajtott parancsok között szerepelt egy "neww" nevű shell-szkript letöltése és végrehajtása, amelyet azonnal eltávolítottak az "rm -rf" Linux paranccsal a művelet nyomainak törlésére. Ez a szkript tartalmazott hivatkozásokat 12 bináris fájl letöltéséhez, amelyek mindegyike a megcélzott rendszer sajátos architektúrájához lett igazítva.

Egy utolsó riasztó csavar, a kampányban alkalmazott rosszindulatú program a hírhedt Mirai botnet egyik változata volt. Ez a bizonyos törzs a kompromittált gazdagépeket használta fel elosztott szolgáltatásmegtagadási (DDoS) támadások indítására, ami újabb veszélyt jelentett az amúgy is fenyegető helyzethez.

Támadásuk végrehajtásához a fenyegetés szereplői ravaszul használták a webalkalmazás-kezelőt, és WAR-fájlnak álcázva töltötték fel a webhéjat. Innentől távolról parancsokat hajtottak végre, szabadjára engedve a pusztító támadást a megcélzott szerverek ellen.

Alapvető fontosságú, hogy a szerveradminisztrátorok éberek maradjanak, és biztosítsák Apache Tomcat szervereik megfelelő konfigurációját és biztonságát, hogy meghiúsítsák az ilyen rosszindulatú kampányokat, és megvédjék magukat a Mirai botnet vagy más rosszindulatú programok esetleges beszivárgásával szemben.