Server Apache Tomcat presi di mira dagli attori della botnet Mirai

Aqua ha recentemente scoperto una tendenza preoccupante in cui i server Apache Tomcat configurati in modo errato e scarsamente protetti stanno diventando gli obiettivi principali per una nuova campagna orchestrata. Questa campagna è specificamente progettata per scatenare il famigerato malware botnet Mirai e minatori di criptovaluta.

Nell'arco di due anni, Aqua ha rilevato l'incredibile cifra di 800 attacchi mirati ai propri honeypot del server Tomcat. Incredibilmente, il 96% di questi attacchi era direttamente collegato alla famigerata botnet Mirai.

Gli attori delle minacce dietro questi attacchi hanno utilizzato uno script di web shell denominato "neww" nel 20% dei loro tentativi (152 attacchi in totale). Questo script ha avuto origine da 24 indirizzi IP univoci, con un significativo 68% originato da un singolo indirizzo IP (104.248.157[.]218).

Il modus operandi degli aggressori prevedeva la scansione dei server Tomcat vulnerabili e successivamente il lancio di attacchi di forza bruta per ottenere l'accesso non autorizzato al gestore di applicazioni Web Tomcat. Il loro scopo era testare varie combinazioni di credenziali associate al gestore fino a trovare un punto di ingresso di successo.

Shell Web utilizzata su server compromessi

Una volta ottenuto l'accesso, gli autori delle minacce hanno proceduto alla distribuzione di un file WAR contenente una classe di shell Web dannosa nota come "cmd.jsp". Questa web shell è stata progettata in modo intelligente per rispondere a richieste remote, consentendo agli aggressori di eseguire comandi arbitrari sul server Tomcat compromesso.

Tra i comandi eseguiti c'era il download e l'esecuzione di uno script di shell chiamato "neww", che è stato prontamente rimosso usando il comando Linux "rm -rf" per cancellare le tracce dell'operazione. In particolare, questo script includeva collegamenti per scaricare 12 file binari, ciascuno adattato per adattarsi all'architettura specifica del sistema preso di mira.

In un ultimo colpo di scena allarmante, il malware impiegato in questa campagna era una variante della famigerata botnet Mirai. Questo particolare ceppo ha utilizzato gli host compromessi per lanciare attacchi DDoS (Distributed Denial-of-Service), aggiungendo un ulteriore livello di pericolo alla situazione già minacciosa.

Per portare a termine il loro attacco, gli autori delle minacce hanno fatto un uso astuto del gestore dell'applicazione web, caricando la web shell camuffata da file WAR. Da lì, hanno eseguito i comandi in remoto, scatenando l'attacco devastante sui server presi di mira.

È fondamentale che gli amministratori del server rimangano vigili e garantiscano la corretta configurazione e sicurezza dei propri server Apache Tomcat per contrastare tali campagne dannose e proteggersi da potenziali infiltrazioni da parte della botnet Mirai o di altre forme di malware.