Mirai ボットネット アクターの標的となる Apache Tomcat サーバー

Aqua は最近、構成が間違っていて安全性が不十分な Apache Tomcat サーバーが、新たに組織化されたキャンペーンの主な標的となっているという憂慮すべき傾向を発見しました。このキャンペーンは、悪名高い Mirai ボットネット マルウェアと暗号通貨マイナーを解き放つために特別に設計されています。

Aqua は 2 年間で、Tomcat サーバー ハニーポットを狙った 800 件もの攻撃を検出しました。衝撃的なことに、これらの攻撃の 96% は悪名高い Mirai ボットネットに直接リンクされていました。

これらの攻撃の背後にいる攻撃者は、試行の 20% (合計 152 回の攻撃) で「neww」という名前の Web シェル スクリプトを使用しました。このスクリプトは 24 個の一意の IP アドレスから発信されており、その 68% が単一の IP アドレス (104.248.157[.]218) から発信されています。

攻撃者の手口には、脆弱な Tomcat サーバーをスキャンし、続いて総当たり攻撃を開始して Tomcat Web アプリケーション マネージャーに不正アクセスするというものがありました。彼らの目的は、成功するエントリ ポイントが見つかるまで、マネージャーに関連付けられた資格情報のさまざまな組み合わせをテストすることでした。

侵害されたサーバーで使用される Web シェル

攻撃者はアクセス権を取得すると、「cmd.jsp」として知られる悪意のある Web シェル クラスを含む WAR ファイルの展開を開始しました。この Web シェルはリモート要求に応答するように巧妙に設計されており、攻撃者が侵害された Tomcat サーバー上で任意のコマンドを実行できるようになります。

実行されたコマンドの中には、「neww」と呼ばれるシェル スクリプトのダウンロードと実行が含まれていましたが、これは Linux コマンド「rm -rf」を使用して直ちに削除され、操作の痕跡が消去されました。注目すべきことに、このスクリプトには 12 個のバイナリ ファイルをダウンロードするためのリンクが含まれており、それぞれがターゲット システムの特定のアーキテクチャに合わせて調整されています。

最後の憂慮すべき展開として、このキャンペーンで使用されたマルウェアは悪名高い Mirai ボットネットの亜種でした。この特定の株は、侵害されたホストを利用して分散型サービス拒否 (DDoS) 攻撃を開始し、すでに脅威的な状況にさらなる危険を加えました。

攻撃を実行するために、脅威アクターは Web アプリケーション マネージャーを巧妙に利用し、WAR ファイルに見せかけた Web シェルをアップロードしました。そこからリモートでコマンドを実行し、標的のサーバーに壊滅的な攻撃を加えました。

サーバー管理者は、このような悪意のあるキャンペーンを阻止し、Mirai ボットネットやその他の形式のマルウェアによる潜在的な侵入から保護するために、常に警戒を怠らず、Apache Tomcat サーバーの適切な構成とセキュリティを確保することが重要です。