Неправилно конфигурирани и зле защитени сървъри Apache Tomcat са мишена на нова кампания, предназначена за разпространение на зловредния софтуер Mirai botnet и миньори на криптовалути.
Констатациите идват с любезното съдействие на Aqua, която е открила повече от 800 атаки срещу своите медоносни точки за сървъри Tomcat за период от две години, като 96% от атаките са свързани с ботнета Mirai.
От тези опити за атаки 20% (или 152) са свързани с използването на уеб шел скрипт, наречен „neww“, който произхожда от 24 уникални IP адреса, като 68% от тях са от един IP адрес (104.248.157[.]218).
„Извършителят е сканирал за сървъри Tomcat и е започнал атака с груба сила срещу тях, опитвайки се да получи достъп до мениджъра на уеб приложения Tomcat, като е пробвал различни комбинации от идентификационни данни, свързани с него“, заяви изследователят по сигурността в Aqua Ницан Яков.
След успешното си установяване хакерите разполагат WAR файл, който съдържа зловреден уеб шел клас, наречен „cmd.jsp“, който на свой ред е проектиран да слуша отдалечени заявки и да изпълнява произволни команди в сървъра Tomcat.
Това включва изтегляне и стартиране на шел скрипт, наречен „neww“, след което файлът се изтрива с помощта на командата „rm -rf“ за Linux.
„Скриптът съдържа връзки за изтегляне на 12 двоични файла, като всеки файл е подходящ за определена архитектура в зависимост от системата, която е била атакувана от извършителя на заплахата“, посочва Яков.
Зловредният софтуер на последния етап е вариант на известния ботнет Mirai, който използва заразените хостове за организиране на разпределени атаки за отказ на услуга (DDoS).
„След като извършителят на заплахата получи достъп до мениджъра на уеб приложения, използвайки валидни идентификационни данни, той използва платформата, за да качи уеб обвивка, маскирана във файл WAR“, казва Яков. „След това той е изпълнил команди от разстояние и е стартирал атаката.“
За да се предпазят от продължаващата кампания, организациите трябва да защитят своите среди и да спазват хигиена на удостоверенията, за да предотвратят атаките с груба сила.
Разработката идва в момент, когато Центърът за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC) съобщи, че лошо управлявани MS-SQL сървъри се пробиват, за да се разгърне руткит зловреден софтуер, наречен Purple Fox, който действа като зареждащо устройство за извличане на допълнителен зловреден софтуер, като например миньори на койнове.
Тези констатации показват и доходоносния характер на добива на криптовалути, при който се наблюдава 399% увеличение спрямо миналата година, като според SonicWall през първата половина на 2023 г. в световен мащаб са регистрирани 332 милиона криптоджакинг атаки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
