Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новая угроза для серверов Apache Tomcat: аналитика и рекомендации

2 мин
Недавняя кампания, нацеленная на серверы Apache Tomcat, выявила новый вид вредоносного ПО, использующего уязвимости для захвата ресурсов с потенциальной целью добычи криптовалюты. Злоумышленники применяют методы перебора паролей в консоли управления Tomcat, используя скрипт на Python, который систематически проверяет слабые пароли и распространенные имена пользователей. Как только злоумышленники получают доступ к серверу, они загружают зашифрованную полезную информацию, развертывая два файла JavaServer Pages (JSP), которые выполняют роль загрузчиков бэкдора и механизмов сохранения. Основные функции файлов включают: Основная полезная нагрузка вредоносного ПО представлена в виде файла ELF, который упакован и зашифрован. Его размер при распаковке увеличивается с 2,6 МБ до 8,6 МБ. Поведенческий анализ программы показывает наличие методов защиты от отладки и сопоставления памяти, а также связь с сокетом через порт 58493. Интересно, что в скрипте вредоносной программы присутствуют комментари
Оглавление

Недавняя кампания, нацеленная на серверы Apache Tomcat, выявила новый вид вредоносного ПО, использующего уязвимости для захвата ресурсов с потенциальной целью добычи криптовалюты. Злоумышленники применяют методы перебора паролей в консоли управления Tomcat, используя скрипт на Python, который систематически проверяет слабые пароли и распространенные имена пользователей.

Технологии атаки

Как только злоумышленники получают доступ к серверу, они загружают зашифрованную полезную информацию, развертывая два файла JavaServer Pages (JSP), которые выполняют роль загрузчиков бэкдора и механизмов сохранения. Основные функции файлов включают:

  • Первый файл JSP обеспечивает выполнение произвольного кода Java, позволяя злоумышленнику импортировать необходимые библиотеки, расшифровывать зашифрованные запросы и использовать шифрование AES.
  • Второй JSP-файл пытается загрузить исполняемый файл Windows, сохраняет его и запускает. Если выполнение завершается неудачей, он переходит к системам Linux, чтобы удалить альтернативный сценарий оболочки для поддержания постоянного доступа.

Характеристика вредоносного ПО

Основная полезная нагрузка вредоносного ПО представлена в виде файла ELF, который упакован и зашифрован. Его размер при распаковке увеличивается с 2,6 МБ до 8,6 МБ. Поведенческий анализ программы показывает наличие методов защиты от отладки и сопоставления памяти, а также связь с сокетом через порт 58493.

Возможная связь с киберпреступностью

Интересно, что в скрипте вредоносной программы присутствуют комментарии на китайском языке, что может указывать на связь с китайскоязычными хакерами. Однако это также может быть попытка запутать следователей.

Рекомендации по безопасности

Атака подчеркивает важность исправления уязвимостей, особенно для приложений, работающих с внешними системами, такими как серверы Tomcat. Рекомендации по обеспечению безопасности включают:

  • Отключение неиспользуемых служб и интерфейсов управления в Tomcat.
  • Внедрение строгого управления привилегиями с помощью контроля доступа на основе ролей (RBAC).
  • Использование сегментации сети для ограничения доступа к критически важным серверам.
  • Внедрение передовых средств защиты от вредоносных программ и технологий поведенческого обнаружения.

Таким образом, данные меры могут помочь в эффективном выявлении и устранении подобных угроз, обеспечивая безопасность критически важных систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая угроза для серверов Apache Tomcat: аналитика и рекомендации".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются