Специалисты компании Aqua сообщают , что новая кампания ботнета ” data-html=”true” data-original-title=”Mirai” >Mirai нацелена на неправильно сконфигурированные и плохо защищенные серверы Apache Tomcat.
Aqua за 2 года обнаружила более 800 атак на приманки (Honeypot) своих серверов Tomcat, причем 96% атак были связаны с ботнетом Mirai. Злоумышленник просканировал серверы Tomcat и запустил на них брутфорс-атаку, пытаясь получить доступ к диспетчеру веб-приложений Tomcat, пробуя различные комбинации учетных данных.
Закрепившись в системе, киберпреступник развернул WAR-файл, содержащий вредоносную веб-оболочку “cmd.jsp”, которая предназначена для выполнения произвольных команд на сервере Tomcat. Здесь выполняется загрузка и запуск сценария оболочки под названием “neww”, после чего файл удаляется. Сценарий содержит ссылки для загрузки 12 бинарных файлов, и каждый файл подходит для определенной архитектуры в зависимости от целевой системы.
Цепочка атаки
На последней стадии атаки загружается ботнет Mirai, который использует зараженные хосты для организации DDoS-атак. Для смягчения последствий кампании организациям рекомендуется обеспечить надёжную защиту сред и соблюдать кибергигиену учетных данных, чтобы предотвратить брутфорс-атаки.
Недавно стало известно, что ботнет Mirai получил новую модификацию , которая направлена на заражение различных устройств от D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear и MediaTek.