Servidores Apache Tomcat visados pelos agentes do Mirai Botnet

A Aqua descobriu recentemente uma tendência preocupante em que os servidores Apache Tomcat que estão mal configurados e mal protegidos estão se tornando os principais alvos de uma nova campanha orquestrada. Esta campanha foi projetada especificamente para liberar o infame malware da botnet Mirai e mineradores de criptomoedas.

Ao longo de dois anos, a Aqua detectou impressionantes 800 ataques direcionados aos honeypots do servidor Tomcat. Surpreendentemente, 96% desses ataques estavam diretamente ligados ao notório botnet Mirai.

Os agentes de ameaças por trás desses ataques empregaram um script de shell da web chamado "neww" em 20% de suas tentativas (152 ataques no total). Esse script originou-se de 24 endereços IP exclusivos, com 68% significativos originados de um único endereço IP (104.248.157[.]218).

O modus operandi dos invasores envolvia a verificação de servidores Tomcat vulneráveis e, subsequentemente, o lançamento de ataques de força bruta para obter acesso não autorizado ao gerenciador de aplicativos da Web do Tomcat. Seu objetivo era testar várias combinações de credenciais associadas ao gerente até encontrar um ponto de entrada bem-sucedido.

Web Shell usado em servidores comprometidos

Assim que obtiveram acesso, os agentes da ameaça começaram a implantar um arquivo WAR contendo uma classe de shell da web maliciosa conhecida como 'cmd.jsp'. Esse shell da web foi inteligentemente projetado para responder a solicitações remotas, permitindo que os invasores executem comandos arbitrários no servidor Tomcat comprometido.

Entre os comandos executados estava o download e a execução de um shell script chamado "neww", que foi prontamente removido com o comando "rm -rf" do Linux para apagar vestígios da operação. Notavelmente, esse script incluía links para baixar 12 arquivos binários, cada um adaptado para se adequar à arquitetura específica do sistema de destino.

Em uma reviravolta alarmante final, o malware empregado nesta campanha era uma variante do infame botnet Mirai. Essa tensão específica utilizou os hosts comprometidos para lançar ataques distribuídos de negação de serviço (DDoS), adicionando outra camada de perigo à situação já ameaçadora.

Para realizar o ataque, os invasores fizeram uso astuto do gerenciador de aplicativos da web, carregando o shell da web disfarçado de arquivo WAR. A partir daí, eles executaram comandos remotamente, desencadeando o ataque devastador nos servidores visados.

É crucial que os administradores de servidor permaneçam vigilantes e garantam a configuração e a segurança adequadas de seus servidores Apache Tomcat para impedir essas campanhas maliciosas e proteger contra possíveis infiltrações do botnet Mirai ou outras formas de malware.