Սխալ կազմաձևված և թույլ անվտանգություն ունեցող Apache Tomcat սերվերները թիրախավորվում են որպես նոր հարձակման արշավի մի մաս, որը նախատեսված է Mirai botnet malware-եր տարածելու համար:
Հարձակման մասին ապացույցները ներկայացվել են Aqua-ի կողմից, որը վերջին երկու տարվա ընթացքում ավելի քան 800 հարձակում է հայտնաբերել իր Tomcat սերվերի honeypot-երում, ընդ որում հարձակումների 96%-ը կապված է Mirai botnet-ի հետ:
Հարձակման փորձերի 20%-ը ենթադրում է web shell script-ի օգտագործում, որը կոչվում էր «neww»: Այն առաջացել է 24 եզակի IP հասցեներից, ընդ որում դրանց 68%-ը՝ հենց մեկ IP հասցեից (104.248.157[.]218): )
Հաջող դիրք ձեռք բերելուց հետո նկատվել է, որ հաքերներները WAR ֆայլ են տեղակայում, որը web shell class-ում «cmd.jsp» է պարունակում, որն իր հերթին նախատեսված է Tomcat սերվերում կամայական հրամաններ կատարելու համար:
Սա ներառում է «neww» կոչվող shell script-ի ներբեռնումն ու գործարկումը, որից հետո ֆայլը ջնջվում է «rm -rf» Linux հրամանի միջոցով:
Շարունակվող արշավը մեղմելու և ռիսկային հարձակումները կանխելու համար կազմակերպություններին խորհուրդ է տրվում իրենց ներքին միջավայրն ապահովել հավատարմագրերով:
Բացահայտումների շղթան նոր թափ ստացավ այն բանից հետո, երբ AhnLab Security Emergency Response Center-ը (ASEC) զեկուցեց MS-SQL սերվերների աշխատանքի խափանման մասին: Հարձակման նպատակը Purple Fox կոչվող rootkit malware ծրագրի տեղակայում էր, որը գործում է ինչպես loader:
Բացահայտումներն ու վերլուծությունները ցույց են տալիս cryptocurrency mining-ի շահութաբերության մասին, որը նախորդ տարվա համեմատ աճել է 399%-ով:
Աղբյուրը՝ https://thehackernews.com/
