„Apache Tomcat“ serveriai, kuriuos taiko „Mirai Botnet“ aktoriai
„Aqua“ neseniai atskleidė nerimą keliančią tendenciją, kai netinkamai sukonfigūruoti ir prastai apsaugoti „Apache Tomcat“ serveriai tampa pagrindiniais naujai surengtos kampanijos taikiniais. Ši kampanija yra specialiai sukurta siekiant atskleisti liūdnai pagarsėjusią „Mirai botnet“ kenkėjišką programą ir kriptovaliutų kasėjus.
Per dvejus metus „Aqua“ aptiko stulbinančius 800 atakų, nukreiptų į jų „Tomcat“ serverio medaus puodus. Stebina tai, kad 96% šių išpuolių buvo tiesiogiai susiję su liūdnai pagarsėjusiu „Mirai“ botnetu.
Šias atakas sukėlusios grėsmės veikėjai naudojo žiniatinklio apvalkalo scenarijų, pavadintą „neww“ 20 % bandymų (iš viso 152 atakos). Šis scenarijus buvo sukurtas iš 24 unikalių IP adresų, iš kurių 68 % – iš vieno IP adreso (104.248.157[.]218).
Užpuolikų veikimo būdas apėmė pažeidžiamų Tomcat serverių nuskaitymą ir vėliau žiaurios jėgos atakų vykdymą, kad gautų neteisėtą prieigą prie Tomcat žiniatinklio programų tvarkyklės. Jų tikslas buvo išbandyti įvairius su vadovu susijusių kredencialų derinius, kol jie surado sėkmingą įėjimo tašką.
Web Shell, naudojamas pažeistuose serveriuose
Kai jie gavo prieigą, grėsmės veikėjai pradėjo diegti WAR failą, kuriame yra kenkėjiškų žiniatinklio apvalkalo klasė, žinoma kaip „cmd.jsp“. Šis žiniatinklio apvalkalas buvo sumaniai sukurtas reaguoti į nuotolines užklausas, todėl užpuolikai gali vykdyti savavališkas komandas pažeistame Tomcat serveryje.
Tarp vykdytų komandų buvo atsisiunčiamas ir vykdomas apvalkalo scenarijus, vadinamas "neww", kuris buvo nedelsiant pašalintas naudojant "rm -rf" Linux komandą, kad būtų ištrinti operacijos pėdsakai. Pažymėtina, kad šiame scenarijuje buvo nuorodų į 12 dvejetainių failų atsisiuntimo, kurių kiekvienas buvo pritaikytas konkrečiai tikslinės sistemos architektūrai.
Paskutiniu nerimą keliančiu posūkiu šioje kampanijoje naudojama kenkėjiška programa buvo liūdnai pagarsėjusio Mirai botneto variantas. Ši konkreti padermė panaudojo pažeistus pagrindinius kompiuterius, kad pradėtų paskirstytas paslaugų atsisakymo (DDoS) atakas, pridėdamas dar vieną pavojaus sluoksnį ir taip grėsmingai situacijai.
Norėdami įvykdyti savo ataką, grėsmės veikėjai gudriai pasinaudojo žiniatinklio programų tvarkykle, įkeldami žiniatinklio apvalkalą, užmaskuotą kaip WAR failą. Iš ten jie nuotoliniu būdu vykdė komandas, išlaisvindami niokojančią ataką prieš tikslinius serverius.
Labai svarbu, kad serverių administratoriai išliktų budrūs ir užtikrintų tinkamą savo „Apache Tomcat“ serverių konfigūraciją ir saugumą, kad būtų užkirstas kelias tokioms kenkėjiškoms kampanijoms ir apsisaugotų nuo galimo „Mirai“ botneto ar kitų kenkėjiškų programų įsiskverbimo.
