Serwery Apache Tomcat atakowane przez aktorów Mirai Botnet
Firma Aqua niedawno odkryła niepokojący trend, w którym źle skonfigurowane i słabo zabezpieczone serwery Apache Tomcat stają się głównymi celami nowo zaaranżowanej kampanii. Ta kampania została zaprojektowana specjalnie w celu uwolnienia niesławnego złośliwego oprogramowania typu botnet Mirai i koparek kryptowalut.
W ciągu dwóch lat firma Aqua wykryła oszałamiającą liczbę 800 ataków wymierzonych w honeypoty serwera Tomcat. Szokująco, 96% tych ataków było bezpośrednio powiązanych z cieszącym się złą sławą botnetem Mirai.
Aktorzy stojący za tymi atakami wykorzystywali skrypt powłoki internetowej o nazwie „neww” w 20% swoich prób (łącznie 152 ataki). Skrypt ten pochodził z 24 unikalnych adresów IP, z czego 68% pochodziło z pojedynczego adresu IP (104.248.157[.]218).
Sposób działania atakujących polegał na skanowaniu podatnych na ataki serwerów Tomcat, a następnie przeprowadzaniu ataków siłowych w celu uzyskania nieautoryzowanego dostępu do menedżera aplikacji internetowych Tomcat. Ich celem było przetestowanie różnych kombinacji poświadczeń związanych z menedżerem, aż do znalezienia udanego punktu wejścia.
Web Shell używana na zaatakowanych serwerach
Po uzyskaniu dostępu cyberprzestępcy przystąpili do wdrażania pliku WAR zawierającego złośliwą klasę powłoki internetowej znaną jako „cmd.jsp”. Ta powłoka internetowa została sprytnie zaprojektowana, aby odpowiadać na żądania zdalne, umożliwiając atakującym wykonywanie dowolnych poleceń na zaatakowanym serwerze Tomcat.
Wśród wykonanych poleceń było pobranie i wykonanie skryptu powłoki o nazwie „neww”, który został natychmiast usunięty za pomocą polecenia Linuksa „rm -rf” w celu wymazania śladów operacji. Warto zauważyć, że skrypt ten zawierał łącza umożliwiające pobranie 12 plików binarnych, z których każdy był dostosowany do konkretnej architektury atakowanego systemu.
Ostatnim alarmującym akcentem było to, że złośliwe oprogramowanie wykorzystane w tej kampanii było wariantem niesławnego botnetu Mirai. Ta konkretna odmiana wykorzystywała zainfekowane hosty do przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS), dodając kolejną warstwę zagrożenia do i tak już groźnej sytuacji.
W celu przeprowadzenia ataku cyberprzestępcy sprytnie wykorzystali menedżera aplikacji sieciowych, przesyłając powłokę sieciową udającą plik WAR. Stamtąd zdalnie wykonywali polecenia, przeprowadzając niszczycielski atak na docelowe serwery.
Administratorzy serwerów muszą zachować czujność i zapewnić odpowiednią konfigurację i bezpieczeństwo swoich serwerów Apache Tomcat, aby udaremnić takie złośliwe kampanie i chronić się przed potencjalną infiltracją przez botnet Mirai lub inne formy złośliwego oprogramowania.
