Apache Tomcat-servrar riktade av Mirai Botnet-aktörer

Aqua har nyligen avslöjat en oroande trend där Apache Tomcat-servrar som är felkonfigurerade och dåligt säkrade blir främsta mål för en nyligen orkestrerad kampanj. Den här kampanjen är speciellt utformad för att släppa loss den ökända Mirai botnet-skadlig programvara och gruvarbetare för kryptovaluta.

Under loppet av två år upptäckte Aqua häpnadsväckande 800 attacker riktade mot deras Tomcat-serverhonungspottar. Chockerande nog var 96 % av dessa attacker direkt kopplade till det ökända botnätet Mirai.

Hotaktörerna bakom dessa attacker använde ett webbskalmanus med namnet "neww" i 20 % av sina försök (152 attacker totalt). Detta skript härstammar från 24 unika IP-adresser, med en betydande 68% från en enda IP-adress (104.248.157[.]218).

Angriparnas tillvägagångssätt involverade att skanna efter sårbara Tomcat-servrar och därefter starta brute force-attacker för att få obehörig åtkomst till Tomcats webbapplikationshanterare. Deras mål var att testa olika kombinationer av referenser förknippade med chefen tills de hittade en framgångsrik ingångspunkt.

Webbskal används på komprometterade servrar

När de väl fick åtkomst fortsatte hotaktörerna att distribuera en WAR-fil som innehöll en skadlig webbskalsklass känd som 'cmd.jsp'. Detta webbskal var skickligt utformat för att svara på fjärrförfrågningar, vilket gör det möjligt för angriparna att utföra godtyckliga kommandon på den komprometterade Tomcat-servern.

Bland de kommandon som kördes var nedladdningen och körningen av ett skalskript som heter "neww", som omedelbart togs bort med hjälp av Linux-kommandot "rm -rf" för att radera spår av operationen. Speciellt inkluderade detta skript länkar för att ladda ner 12 binära filer, var och en skräddarsydd för att passa den specifika arkitekturen för det riktade systemet.

I en sista alarmerande twist var den skadliga programvaran som användes i denna kampanj en variant av det ökända Mirai-botnätet. Denna speciella stam använde de komprometterade värdarna för att starta DDoS-attacker (distributed denial-of-service), vilket lade till ytterligare ett lager av fara till den redan hotfulla situationen.

För att utföra sin attack använde hotaktörerna listigt webbapplikationshanteraren och laddade upp webbskalet förklädd till en WAR-fil. Därifrån körde de kommandon på distans och släppte lös den förödande attacken på de riktade servrarna.

Det är avgörande för serveradministratörer att vara vaksamma och säkerställa korrekt konfiguration och säkerhet för deras Apache Tomcat-servrar för att förhindra sådana skadliga kampanjer och skydda mot potentiell infiltration av Mirai-botnätet eller andra former av skadlig programvara.