Серверы Apache Tomcat стали мишенью для участников ботнета Mirai

Aqua недавно обнаружила тревожную тенденцию, когда серверы Apache Tomcat, которые неправильно настроены и плохо защищены, становятся главными целями для недавно организованной кампании. Эта кампания специально разработана для того, чтобы развязать печально известную вредоносную программу ботнета Mirai и майнеров криптовалюты.

За два года Aqua обнаружила ошеломляющие 800 атак, направленных на приманки серверов Tomcat. Поразительно, но 96% этих атак были напрямую связаны с печально известным ботнетом Mirai.

Злоумышленники, стоящие за этими атаками, использовали скрипт веб-шелла с именем «neww» в 20% своих попыток (всего 152 атаки). Этот скрипт создан с 24 уникальных IP-адресов, причем 68% из них относятся к одному IP-адресу (104.248.157[.]218).

Метод действий злоумышленников заключался в сканировании уязвимых серверов Tomcat и последующем запуске атак методом грубой силы для получения несанкционированного доступа к диспетчеру веб-приложений Tomcat. Их цель состояла в том, чтобы протестировать различные комбинации учетных данных, связанных с менеджером, пока они не нашли успешную точку входа.

Веб-оболочка, используемая на взломанных серверах

Получив доступ, злоумышленники приступили к развертыванию WAR-файла, содержащего класс вредоносной веб-оболочки, известный как cmd.jsp. Эта веб-оболочка была специально разработана для ответа на удаленные запросы, позволяя злоумышленникам выполнять произвольные команды на скомпрометированном сервере Tomcat.

Среди выполненных команд была загрузка и выполнение сценария оболочки под названием «neww», который был быстро удален с помощью команды Linux «rm -rf», чтобы стереть следы операции. Примечательно, что этот сценарий содержал ссылки для загрузки 12 двоичных файлов, каждый из которых был адаптирован для конкретной архитектуры целевой системы.

Последний тревожный поворот заключается в том, что вредоносное ПО, использованное в этой кампании, было разновидностью печально известного ботнета Mirai. Этот конкретный штамм использовал скомпрометированные хосты для запуска распределенных атак типа «отказ в обслуживании» (DDoS), добавляя еще один уровень опасности к и без того угрожающей ситуации.

Для осуществления атаки злоумышленники хитро воспользовались диспетчером веб-приложений, загрузив веб-шелл, замаскированный под WAR-файл. Оттуда они удаленно выполняли команды, запуская разрушительную атаку на целевые серверы.

Администраторам серверов крайне важно сохранять бдительность и обеспечивать правильную настройку и безопасность своих серверов Apache Tomcat, чтобы предотвратить такие вредоносные кампании и защититься от потенциального проникновения ботнета Mirai или других форм вредоносного ПО.