Търсене
Close this search box.

Хакери се насочват към сървъри Apache Tomcat

Неправилно конфигурирани и зле защитени сървъри Apache Tomcat са мишена на нова кампания, предназначена за разпространение на зловредния софтуер Mirai botnet и миньори на криптовалути.

Констатациите идват с любезното съдействие на Aqua, която е открила повече от 800 атаки срещу своите медоносни точки за сървъри Tomcat за период от две години, като 96% от атаките са свързани с ботнета Mirai.

От тези опити за атаки 20% (или 152) са свързани с използването на уеб шел скрипт, наречен „neww“, който произхожда от 24 уникални IP адреса, като 68% от тях са от един IP адрес (104.248.157[.]218).

„Извършителят е сканирал за сървъри Tomcat и е започнал атака с груба сила срещу тях, опитвайки се да получи достъп до мениджъра на уеб приложения Tomcat, като е пробвал различни комбинации от идентификационни данни, свързани с него“, заяви изследователят по сигурността в Aqua Ницан Яков.

След успешното си установяване хакерите разполагат WAR файл, който съдържа зловреден уеб шел клас, наречен „cmd.jsp“, който на свой ред е проектиран да слуша отдалечени заявки и да изпълнява произволни команди в сървъра Tomcat.

Това включва изтегляне и стартиране на шел скрипт, наречен „neww“, след което файлът се изтрива с помощта на командата „rm -rf“ за Linux.

„Скриптът съдържа връзки за изтегляне на 12 двоични файла, като всеки файл е подходящ за определена архитектура в зависимост от системата, която е била атакувана от извършителя на заплахата“, посочва Яков.

 

Зловредният софтуер на последния етап е вариант на известния ботнет Mirai, който използва заразените хостове за организиране на разпределени атаки за отказ на услуга (DDoS).

„След като извършителят на  заплахата получи достъп до мениджъра на уеб приложения, използвайки валидни идентификационни данни, той използва платформата, за да качи уеб обвивка, маскирана във файл WAR“, казва Яков. „След това той  е изпълнил команди от разстояние и е стартирал атаката.“

За да се предпазят от продължаващата кампания, организациите трябва да защитят своите среди и да спазват хигиена на удостоверенията, за да предотвратят атаките с груба сила.

Разработката идва в момент, когато Центърът за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC) съобщи, че лошо управлявани MS-SQL сървъри се пробиват, за да се разгърне руткит зловреден софтуер, наречен Purple Fox, който действа като зареждащо устройство за извличане на допълнителен зловреден софтуер, като например миньори на койнове.

Тези констатации показват и доходоносния характер на добива на криптовалути, при който се наблюдава 399% увеличение спрямо миналата година, като според SonicWall през първата половина на 2023 г. в световен мащаб са регистрирани 332 милиона криптоджакинг атаки.

Източник: The Hacker News

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
Бъдете социални
Още по темата
20/04/2024

Бандата "Медуза" нанася нов...

Въпреки че общинската агенция уверява обществеността,...
19/04/2024

Пробиха MITRE чрез нулевите...

Корпорацията MITRE твърди, че подкрепяна от...
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!