伺服器安全/加密貨币
配置錯誤且安全性較差的 Apache Tomcat 伺服器成為旨在傳播Mirai 僵屍網絡惡意軟體和加密貨币礦工的新活動的一部分。
這些發現由 Aqua 提供,該公司在兩年内檢測到超過 800 起針對其 Tomcat 伺服器蜜罐的攻擊,其中 96% 的攻擊與 Mirai 僵屍網絡有關。
在這些攻擊嘗試中,20%(或 152)需要使用名為“neww”的 Web shell 腳本,該腳本源自 24 個唯一的 IP 位址,其中 68% 源自單個 IP 位址 (104.248.157[.]218) )。
經過分析 發現TOMCAT隻占用攻擊的10.44%
此IP還攻擊了大量IOT裝置,如攝像頭等占到攻擊的28.97%
安全研究員表示:“威脅行為者掃描了 Tomcat 伺服器并對其發起了暴力攻擊,試圖通過嘗試與其關聯的不同憑據組合來通路 Tomcat Web 應用程式管理器。”
成功立足後,我們發現威脅行為者部署了一個WAR 檔案,其中包含名為“cmd.jsp”的惡意 Web shell 類,該類旨在偵聽遠端請求并在 Tomcat 伺服器上執行任意指令。
這包括下載下傳并運作名為“neww”的 shell 腳本,然後使用“ rm -rf ”Linux 指令删除該檔案。
Yaakov 指出:“該腳本包含下載下傳 12 個二進制檔案的連結,每個檔案都适合根據受到威脅行為者攻擊的系統的特定架構。”
最後階段的惡意軟體是臭名昭著的 Mirai 僵屍網絡的變體,它利用受感染的主機來策劃分布式拒絕服務 (DDoS) 攻擊。
Yaakov 說:“一旦威脅行為者使用有效憑證獲得了對 Web 應用程式管理器的通路權限,他們就會利用該平台上傳僞裝成 WAR 檔案的 Web shell。” “接下來,威脅行為者遠端執行指令并發起攻擊。”
為了緩解正在進行的攻擊活動,建議組織保護其環境并遵循憑證衛生以防止暴力攻擊。
這一進展發生之際,AhnLab 安全緊急響應中心 (ASEC)報告稱,管理不善的 MS-SQL 伺服器正在被破壞,以部署名為Purple Fox的 Rootkit 惡意軟體,該惡意軟體充當加載程式來擷取其他惡意軟體,例如硬币礦工。
這些發現還證明了加密貨币挖礦的利潤豐厚的性質,根據SonicWall 的資料,加密貨币挖礦比去年增長了 399%,2023 年上半年全球記錄了 3.32 億次加密劫持攻擊。
#網絡安全##挖礦病毒##暑期創作大賽#