Ботнет Mirai ловит «вертолётики»: сервера Apache стали инструментом хакеров

Специалисты компании Aqua сообщают , что новая кампания ботнета Mirai нацелена на неправильно сконфигурированные и плохо защищенные серверы Apache Tomcat.

Aqua за 2 года обнаружила более 800 атак на приманки (Honeypot) своих серверов Tomcat, причем 96% атак были связаны с ботнетом Mirai. Злоумышленник просканировал серверы Tomcat и запустил на них брутфорс-атаку, пытаясь получить доступ к диспетчеру веб-приложений Tomcat, пробуя различные комбинации учетных данных.

Закрепившись в системе, киберпреступник развернул WAR-файл, содержащий вредоносную веб-оболочку «cmd.jsp», которая предназначена для выполнения произвольных команд на сервере Tomcat. Здесь выполняется загрузка и запуск сценария оболочки под названием «neww», после чего файл удаляется. Сценарий содержит ссылки для загрузки 12 бинарных файлов, и каждый файл подходит для определенной архитектуры в зависимости от целевой системы.

Цепочка атаки

На последней стадии атаки загружается ботнет Mirai, который использует зараженные хосты для организации DDoS-атак. Для смягчения последствий кампании организациям рекомендуется обеспечить надёжную защиту сред и соблюдать кибергигиену учетных данных, чтобы предотвратить брутфорс-атаки.

Недавно стало известно, что ботнет Mirai получил новую модификацию , которая направлена на заражение различных устройств от D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear и MediaTek.