Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers atacam servidores Apache Tomcat para implantar malware

Apache Tomcat, um servidor gratuito e de código aberto, oferece suporte às tecnologias Jakarta Servlet, Expression Language e WebSocket, fornecendo um ambiente de servidor web HTTP “Java puro”.

Apache Tomcat domina com quase 50% de adoção pelos desenvolvedores e é amplamente utilizado nos seguintes desenvolvimentos: –

Pesquisadores de segurança cibernética da Aqua encontrei uma nova campanha explorando servidores Apache Tomcat mal configurados para entregar malware de botnet Mirai e mineradores de criptomoedas.

Análise técnica

Ao longo de dois anos, a Aqua identificou mais de 800 ataques em seus honeypots de servidor Tomcat, 96% vinculados à botnet Mirai.

Entre os ataques, 20% (152) utilizaram o web shell script “neww”, proveniente de 24 IPs, e 68% vieram de 104.248.157[.]218.

O ator da ameaça lançou um ataque de força bruta contra os servidores Tomcat verificados para acessar o gerenciador de aplicativos da web por meio de várias combinações de credenciais.

Após a entrada bem-sucedida, os agentes da ameaça implantam um arquivo WAR com web shell ‘cmd.jsp’, permitindo a execução remota de comandos no servidor Tomcat que está comprometido.

Toda a cadeia de ataque envolve o “download e execução” do script shell “neww”, que é então excluído usando o comando “rm -rf”. O script então busca 12 arquivos binários adaptados à arquitetura do sistema atacado.

O arquivo WAR contém arquivos essenciais para aplicativos da web, incluindo: –

Embora todos esses elementos agilizem com eficiência a implantação de aplicativos da web em servidores Tomcat comprometidos.

O malware de último estágio é uma variante do botnet Mirai, que utiliza hosts infectados para orquestrar ataques distribuídos de negação de serviço (DDoS).

O ator da ameaça se infiltra no gerenciador de aplicativos da web com credenciais válidas, carrega o web shell disfarçado no arquivo WAR, executa comandos remotamente e inicia o ataque.

Nós recomendamos:  Melhores empregos em vendas B2B em 2023

As descobertas destacam o crescimento lucrativo da mineração de criptomoedas, com um aumento de 399% e 332 milhões de ataques de cryptojacking em todo o mundo no primeiro semestre de 2023.

Recomendação

Os analistas de segurança cibernética recomendaram as seguintes recomendações para mitigar tais ataques:-

  • Certifique-se de configurar todos os seus ambientes corretamente.
  • Certifique-se de verificar frequentemente seus ambientes em busca de ameaças desconhecidas.
  • Capacite seus desenvolvedores, DevOps e equipes de segurança com ferramentas nativas da nuvem para verificar vulnerabilidades e configurações incorretas.
  • Certifique-se de usar soluções de detecção e resposta em tempo de execução.

Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no Notícias do Google, Linkedin, Twittere Facebook.