А что произошло дальше, мы с вами сейчас и узнаем...
Специалисты компании Aqua сообщают , что новая кампания ботнета Mirai нацелена на неправильно сконфигурированные и плохо защищенные серверы Apache Tomcat.
Aqua за 2 года обнаружила более 800 атак на приманки (Honeypot) своих серверов Tomcat, причем 96% атак были связаны с ботнетом Mirai. Злоумышленник просканировал серверы Tomcat и запустил на них брутфорс-атаку, пытаясь получить доступ к диспетчеру веб-приложений Tomcat, пробуя различные комбинации учетных данных.
Закрепившись в системе, киберпреступник развернул WAR-файл, содержащий вредоносную веб-оболочку «cmd.jsp», которая предназначена для выполнения произвольных команд на сервере Tomcat. Здесь выполняется загрузка и запуск сценария оболочки под названием «neww», после чего файл удаляется. Сценарий содержит ссылки для загрузки 12 бинарных файлов, и каждый файл подходит для определенной архитектуры в зависимости от целевой системы.
Цепочка атаки
На последней стадии атаки загружается ботнет Mirai, который использует зараженные хосты для организации DDoS-атак. Для смягчения последствий кампании организациям рекомендуется обеспечить надёжную защиту сред и соблюдать кибергигиену учетных данных, чтобы предотвратить брутфорс-атаки.
Недавно стало известно, что ботнет Mirai получил новую модификацию , которая направлена на заражение различных устройств от D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear и MediaTek.
Спойлер: она начинается с подписки на наш канал