Apache Tomcat-servere målrettet av Mirai Botnet-skuespillere
Aqua har nylig avdekket en bekymringsfull trend der Apache Tomcat-servere som er feilkonfigurert og dårlig sikret, blir hovedmål for en nylig orkestrert kampanje. Denne kampanjen er spesielt utviklet for å slippe løs den beryktede Mirai botnett-malware og kryptovalutagruvearbeidere.
I løpet av to år oppdaget Aqua svimlende 800 angrep rettet mot Tomcat-serverens honningpotter. Sjokkerende nok var 96 % av disse angrepene direkte knyttet til det beryktede Mirai-botnettet.
Trusselaktørene bak disse angrepene brukte et web-shell-skript kalt "neww" i 20 % av forsøkene deres (152 angrep totalt). Dette skriptet stammer fra 24 unike IP-adresser, med betydelige 68 % fra én enkelt IP-adresse (104.248.157[.]218).
Angripernes modus operandi innebar skanning etter sårbare Tomcat-servere og deretter lansering av brute force-angrep for å få uautorisert tilgang til Tomcat-nettapplikasjonsbehandleren. Målet deres var å teste ulike kombinasjoner av legitimasjon knyttet til lederen til de fant et vellykket inngangspunkt.
Web Shell brukes på kompromitterte servere
Når de fikk tilgang, fortsatte trusselaktørene med å distribuere en WAR-fil som inneholder en ondsinnet web-shell-klasse kjent som 'cmd.jsp.' Dette web-skallet ble smart designet for å svare på eksterne forespørsler, slik at angriperne kunne utføre vilkårlige kommandoer på den kompromitterte Tomcat-serveren.
Blant kommandoene som ble utført var nedlasting og kjøring av et shell-skript kalt "neww", som umiddelbart ble fjernet ved å bruke "rm -rf" Linux-kommandoen for å slette spor etter operasjonen. Spesielt inkluderte dette skriptet lenker for å laste ned 12 binære filer, hver skreddersydd for å passe den spesifikke arkitekturen til det målrettede systemet.
I en siste alarmerende vri var skadevare som ble brukt i denne kampanjen en variant av det beryktede Mirai-botnettet. Denne spesielle belastningen brukte de kompromitterte vertene til å starte distribuerte denial-of-service (DDoS)-angrep, og la til enda et lag med fare for den allerede truende situasjonen.
For å utføre angrepet sitt brukte trusselaktørene utspekulert webapplikasjonsbehandleren og lastet opp nettskallet forkledd som en WAR-fil. Derfra utførte de kommandoer eksternt, og utløste det ødeleggende angrepet på de målrettede serverne.
Det er avgjørende for serveradministratorer å være årvåkne og sørge for riktig konfigurasjon og sikkerhet for deres Apache Tomcat-servere for å hindre slike ondsinnede kampanjer og beskytte mot potensiell infiltrasjon av Mirai-botnettet eller andre former for skadelig programvare.
