Неправилно конфигурирани и зле защитени сървъри Apache Tomcat са мишена на нова кампания, предназначена за разпространение на зловредния софтуер Mirai botnet и миньори на криптовалути.
Констатациите идват с любезното съдействие на Aqua, която е открила повече от 800 атаки срещу своите медоносни точки за сървъри Tomcat за период от две години, като 96% от атаките са свързани с ботнета Mirai.
От тези опити за атаки 20% (или 152) са свързани с използването на уеб шел скрипт, наречен „neww“, който произхожда от 24 уникални IP адреса, като 68% от тях са от един IP адрес (104.248.157[.]218).
„Извършителят е сканирал за сървъри Tomcat и е започнал атака с груба сила срещу тях, опитвайки се да получи достъп до мениджъра на уеб приложения Tomcat, като е пробвал различни комбинации от идентификационни данни, свързани с него“, заяви изследователят по сигурността в Aqua Ницан Яков.
След успешното си установяване хакерите разполагат WAR файл, който съдържа зловреден уеб шел клас, наречен „cmd.jsp“, който на свой ред е проектиран да слуша отдалечени заявки и да изпълнява произволни команди в сървъра Tomcat.
Това включва изтегляне и стартиране на шел скрипт, наречен „neww“, след което файлът се изтрива с помощта на командата „rm -rf“ за Linux.
„Скриптът съдържа връзки за изтегляне на 12 двоични файла, като всеки файл е подходящ за определена архитектура в зависимост от системата, която е била атакувана от извършителя на заплахата“, посочва Яков.
Зловредният софтуер на последния етап е вариант на известния ботнет Mirai, който използва заразените хостове за организиране на разпределени атаки за отказ на услуга (DDoS).
„След като извършителят на заплахата получи достъп до мениджъра на уеб приложения, използвайки валидни идентификационни данни, той използва платформата, за да качи уеб обвивка, маскирана във файл WAR“, казва Яков. „След това той е изпълнил команди от разстояние и е стартирал атаката.“
За да се предпазят от продължаващата кампания, организациите трябва да защитят своите среди и да спазват хигиена на удостоверенията, за да предотвратят атаките с груба сила.
Разработката идва в момент, когато Центърът за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC) съобщи, че лошо управлявани MS-SQL сървъри се пробиват, за да се разгърне руткит зловреден софтуер, наречен Purple Fox, който действа като зареждащо устройство за извличане на допълнителен зловреден софтуер, като например миньори на койнове.
Тези констатации показват и доходоносния характер на добива на криптовалути, при който се наблюдава 399% увеличение спрямо миналата година, като според SonicWall през първата половина на 2023 г. в световен мащаб са регистрирани 332 милиона криптоджакинг атаки.
