Servidores Apache Tomcat mal configurados e mal protegidos estão sendo alvos de uma nova campanha projetada para espalhar o malware de botnet Mirai e mineradores de criptomoedas. A descoberta é da Aqua Security, que detectou mais de 800 ataques contra honeypots do servidor Tomcat em um período de dois anos, com 96% dos ataques vinculados ao botnet Mirai.
Destas tentativas de ataque, 20% — ou 152 — envolveram o uso de um script de shell da web denominado “neww” que se originou de 24 endereços IP exclusivos, com 68% deles oriundos de um único endereço IP (104.248.157[.]218).
“O operador da ameaça escaneou os servidores Tomcat e lançou um ataque de força bruta contra eles, tentando obter acesso ao gerenciador de aplicativos da web Tomcat por meio de diferentes combinações de credenciais associadas a ele”, disse Nitzan Yaakov, pesquisador de segurança da Aqua Security.
Ao obter uma posição bem-sucedida, os operadores de ameaças foram observados implantando um arquivo WAR que contém uma classe de shell da web maliciosa chamada “cmd.jsp” que, por sua vez, foi projetada para ouvir solicitações remotas e executar comandos arbitrários no servidor Tomcat.
Isso inclui o download e a execução de um script de shell chamado “neww”, após o qual o arquivo é excluído usando o comando Linux “rm -rf”. “O script contém links para baixar 12 arquivos binários, e cada arquivo é adequado para uma arquitetura específica de acordo com o sistema que foi atacado pelo agente da ameaça”, apontou Yaakov.
O malware de estágio final é uma variante da botnet Mirai, que usa os hosts infectados para realizar ataques distribuídos de negação de serviço (DDoS). “Depois que o operador da ameaça obteve acesso ao gerenciador de aplicativos da web usando credenciais válidas, eles aproveitaram a plataforma para fazer upload de um shell da web disfarçado em um arquivo WAR”, disse Yaakov. “Em seguida, o operador da ameaça executou comandos remotamente e lançou o ataque.”
Veja isso
Milhares de servidores Apache Superset expostos a ataques RCE
Apache lança segunda correção para o Log4J-2
Para atenuar a campanha em andamento, é recomendável que as organizações protejam seus ambientes e sigam a higiene de credenciais para evitar ataques de força bruta.
O desenvolvimento ocorre após analistas de segurança do AhnLab Security Emergency Response Center (Asec) da Coreia do Sul terem relatado que servidores MS-SQL mal gerenciados estão sendo violados para implantar um malware rootkit chamado Purple Fox, que atua como um carregador para buscar malware adicional, como mineradores de criptomoedas.
Essas descobertas também demonstram a natureza lucrativa da mineração de criptomoedas, que registrou aumento de 399% em relação ao ano passado, com 332 milhões de ataques de cryptojacking registrados no primeiro semestre globalmente, de acordo com a SonicWall.
