Mirai 僵尸网络攻击者瞄准的 Apache Tomcat 服务器

Aqua 最近发现了一个令人担忧的趋势，即配置错误且安全性较差的 Apache Tomcat 服务器正在成为新策划的活动的主要目标。该活动专门用于释放臭名昭著的 Mirai 僵尸网络恶意软件和加密货币矿工。

两年内，Aqua 检测到针对其 Tomcat 服务器蜜罐的惊人的 800 次攻击。令人震惊的是，其中 96% 的攻击与臭名昭著的 Mirai 僵尸网络直接相关。

这些攻击背后的威胁参与者有 20% 的尝试（总共 152 次攻击）使用了名为“neww”的 Web shell 脚本。该脚本源自 24 个唯一的 IP 地址，其中 68% 源自单个 IP 地址 (104.248.157[.]218)。

攻击者的作案手法包括扫描易受攻击的 Tomcat 服务器，然后发起暴力攻击，以获得对 Tomcat Web 应用程序管理器的未经授权的访问。他们的目标是测试与经理相关的各种凭据组合，直到找到成功的切入点。

受感染服务器上使用的 Web Shell

一旦获得访问权限，威胁行为者就会继续部署一个 WAR 文件，其中包含名为“cmd.jsp”的恶意 Web shell 类。这个 Web shell 被巧妙地设计为响应远程请求，使攻击者能够在受感染的 Tomcat 服务器上执行任意命令。

执行的命令包括下载并执行名为“neww”的 shell 脚本，该脚本被立即使用“rm -rf”Linux 命令删除，以清除操作痕迹。值得注意的是，该脚本包含下载 12 个二进制文件的链接，每个文件都是针对目标系统的特定体系结构进行定制的。

最后一个令人震惊的变化是，该活动中使用的恶意软件是臭名昭著的 Mirai 僵尸网络的变种。这种特殊的病毒利用受感染的主机发起分布式拒绝服务 (DDoS) 攻击，给本已严峻的局势增添了另一层危险。

为了实施攻击，攻击者狡猾地利用 Web 应用程序管理器，上传伪装成 WAR 文件的 Web shell。从那里，他们远程执行命令，对目标服务器发起毁灭性攻击。

服务器管理员必须保持警惕并确保 Apache Tomcat 服务器的正确配置和安全性，以阻止此类恶意活动并防止 Mirai 僵尸网络或其他形式的恶意软件的潜在渗透。