Mirai 殭屍網絡攻擊者瞄準的 Apache Tomcat 服務器

Aqua 最近發現了一個令人擔憂的趨勢，即配置錯誤且安全性較差的 Apache Tomcat 服務器正在成為新策劃的活動的主要目標。該活動專門用於釋放臭名昭著的 Mirai 殭屍網絡惡意軟件和加密貨幣礦工。

兩年內，Aqua 檢測到針對其 Tomcat 服務器蜜罐的驚人的 800 次攻擊。令人震驚的是，其中 96% 的攻擊與臭名昭著的 Mirai 殭屍網絡直接相關。

這些攻擊背後的威脅參與者有 20% 的嘗試（總共 152 次攻擊）使用了名為“neww”的 Web shell 腳本。該腳本源自 24 個唯一的 IP 地址，其中 68% 源自單個 IP 地址 (104.248.157[.]218)。

攻擊者的作案手法包括掃描易受攻擊的 Tomcat 服務器，然後發起暴力攻擊，以獲得對 Tomcat Web 應用程序管理器的未經授權的訪問。他們的目標是測試與經理相關的各種憑據組合，直到找到成功的切入點。

受感染服務器上使用的 Web Shell

一旦獲得訪問權限，威脅行為者就會繼續部署一個 WAR 文件，其中包含名為“cmd.jsp”的惡意 Web shell 類。這個 Web shell 被巧妙地設計為響應遠程請求，使攻擊者能夠在受感染的 Tomcat 服務器上執行任意命令。

執行的命令包括下載並執行名為“neww”的 shell 腳本，該腳本被立即使用“rm -rf”Linux 命令刪除，以清除操作痕跡。值得注意的是，該腳本包含下載 12 個二進製文件的鏈接，每個文件都是針對目標系統的特定體系結構進行定制的。

最後一個令人震驚的變化是，該活動中使用的惡意軟件是臭名昭著的 Mirai 殭屍網絡的變種。這種特殊的病毒利用受感染的主機發起分佈式拒絕服務 (DDoS) 攻擊，給本已嚴峻的局勢增添了另一層危險。

為了實施攻擊，攻擊者狡猾地利用 Web 應用程序管理器，上傳偽裝成 WAR 文件的 Web shell。從那裡，他們遠程執行命令，對目標服務器發起毀滅性攻擊。

服務器管理員必須保持警惕並確保 Apache Tomcat 服務器的正確配置和安全性，以阻止此類惡意活動並防止 Mirai 殭屍網絡或其他形式的惡意軟件的潛在滲透。