服务器安全/加密货币
配置错误且安全性较差的 Apache Tomcat 服务器成为旨在传播Mirai 僵尸网络恶意软件和加密货币矿工的新活动的一部分。
这些发现由 Aqua 提供,该公司在两年内检测到超过 800 起针对其 Tomcat 服务器蜜罐的攻击,其中 96% 的攻击与 Mirai 僵尸网络有关。
在这些攻击尝试中,20%(或 152)需要使用名为“neww”的 Web shell 脚本,该脚本源自 24 个唯一的 IP 地址,其中 68% 源自单个 IP 地址 (104.248.157[.]218) )。
经过分析 发现TOMCAT只占用攻击的10.44%
此IP还攻击了大量IOT设备,如摄像头等占到攻击的28.97%
安全研究员表示:“威胁行为者扫描了 Tomcat 服务器并对其发起了暴力攻击,试图通过尝试与其关联的不同凭据组合来访问 Tomcat Web 应用程序管理器。”
成功立足后,我们发现威胁行为者部署了一个WAR 文件,其中包含名为“cmd.jsp”的恶意 Web shell 类,该类旨在侦听远程请求并在 Tomcat 服务器上执行任意命令。
这包括下载并运行名为“neww”的 shell 脚本,然后使用“ rm -rf ”Linux 命令删除该文件。
Yaakov 指出:“该脚本包含下载 12 个二进制文件的链接,每个文件都适合根据受到威胁行为者攻击的系统的特定架构。”
最后阶段的恶意软件是臭名昭著的 Mirai 僵尸网络的变体,它利用受感染的主机来策划分布式拒绝服务 (DDoS) 攻击。
Yaakov 说:“一旦威胁行为者使用有效凭证获得了对 Web 应用程序管理器的访问权限,他们就会利用该平台上传伪装成 WAR 文件的 Web shell。” “接下来,威胁行为者远程执行命令并发起攻击。”
为了缓解正在进行的攻击活动,建议组织保护其环境并遵循凭证卫生以防止暴力攻击。
这一进展发生之际,AhnLab 安全紧急响应中心 (ASEC)报告称,管理不善的 MS-SQL 服务器正在被破坏,以部署名为Purple Fox的 Rootkit 恶意软件,该恶意软件充当加载程序来获取其他恶意软件,例如硬币矿工。
这些发现还证明了加密货币挖矿的利润丰厚的性质,根据SonicWall 的数据,加密货币挖矿比去年增长了 399%,2023 年上半年全球记录了 3.32 亿次加密劫持攻击。
#网络安全##挖矿病毒##暑期创作大赛#