حمله هکرها به سرورهای آپاچی تامکت برای استقرار بدافزار

کد نوشته: 42376

۱۴۰۲-۰۵-۱۴

Apache Tomcat، یک سرور رایگان و منبع باز، از فناوری‌های Jakarta Servlet، Expression Language و WebSocket پشتیبانی می‌کند و یک محیط وب سرور HTTP «جاوا خالص» را ارائه می‌کند. آپاچی تامکت با نزدیک به ۵۰٪ پذیرش توسعه دهندگان غالب است و به طور گسترده در توسعه های زیر استفاده می شود:• ابر• اطلاعات بزرگ• سایت […]

Apache Tomcat، یک سرور رایگان و منبع باز، از فناوری‌های Jakarta Servlet، Expression Language و WebSocket پشتیبانی می‌کند و یک محیط وب سرور HTTP «جاوا خالص» را ارائه می‌کند.

آپاچی تامکت با نزدیک به ۵۰٪ پذیرش توسعه دهندگان غالب است و به طور گسترده در توسعه های زیر استفاده می شود:
•   ابر
•   اطلاعات بزرگ
•   سایت اینترنتی

محققان امنیت سایبری Aqua یک کمپین جدید کشف کردند که از سرورهای آپاچی تامکت با پیکربندی نادرست برای ارائه بدافزارهای بات نت Mirai و استخراج کنندگان ارزهای دیجیتال استفاده می کند.

تحلیل تکنیکال
در طول دو سال، آکوا بیش از ۸۰۰ حمله به هانی‌پات‌های سرور Tomcat خود را شناسایی کرد که ۹۶ درصد آنها به بات‌نت Mirai مرتبط بودند.
در میان حملات، ۲۰٪ (۱۵۲) از اسکریپت پوسته وب “جدید” استفاده کردند که از ۲۴ IP منشا گرفته شد و ۶۸٪ از ۱۰۴٫۲۴۸٫۱۵۷[.]۲۱۸ بود.

IP های شروع کننده حمله (منبع – Aqua)

عامل تهدید برای دسترسی به مدیر برنامه وب از طریق ترکیب‌های اعتباری مختلف، حمله‌ای را علیه سرورهای اسکن شده Tomcat انجام داد.
پس از ورود موفقیت آمیز، عوامل تهدید یک فایل WAR را با پوسته وب cmd.jsp مستقر می کنند و اجرای فرمان از راه دور را در سرور تامکت که در معرض خطر است، امکان پذیر می کند.
کل زنجیره حمله شامل “دانلود و اجرای” اسکریپت پوسته “neww” است که سپس با استفاده از دستور “rm -rf” حذف می شود. سپس اسکریپت ۱۲ فایل باینری متناسب با معماری سیستم مورد حمله را واکشی می کند.

جریان حمله (منبع – Aqua)

فایل WAR فایل‌های ضروری را برای برنامه‌های کاربردی تحت وب نگه می‌دارد، از جمله:
•   HTML
•   CSS
•   سرولت ها
•   کلاس ها

در حالی که همه این عناصر به طور موثر استقرار برنامه وب را در سرورهای آسیب دیده Tomcat ساده می کنند.
بدافزار مرحله آخر یک نوع بات نت Mirai است که از میزبان های آلوده برای سازماندهی حملات انکار سرویس توزیع شده (DDoS) استفاده می کند.
عامل تهدید با اعتبارنامه معتبر به مدیر برنامه وب نفوذ می کند، پوسته وب پنهان شده را در فایل WAR آپلود می کند، دستورات را از راه دور اجرا می کند و حمله را آغاز می کند.
این یافته ها رشد سودآور استخراج ارزهای دیجیتال را با افزایش ۳۹۹ درصدی و ۳۳۲ میلیون حمله کریپتوجکینگ در سراسر جهان در نیمه اول ۲۰۲۳ نشان می دهد.

توصیه
تحلیلگران امنیت سایبری توصیه های زیر را برای کاهش چنین حملاتی توصیه می کنند:
•   مطمئن شوید که تمام محیط های خود را به درستی پیکربندی کرده اید.
•   مطمئن شوید که به طور مکرر محیط های خود را برای تهدیدات ناشناخته اسکن می کنید.
•   توسعه دهندگان، DevOps و تیم های امنیتی خود را با ابزارهای ابری برای اسکن آسیب پذیری ها و پیکربندی های نادرست توانمند کنید.
•   مطمئن شوید که از راه حل های تشخیص زمان اجرا و پاسخ استفاده می کنید.