Cyberthreat.id - Server Apache Tomcat yang salah konfigurasi dan kurang aman menjadi sasaran sebagai bagian dari kampanye baru yang dirancang untuk menghadirkan malware botnet Mirai dan penambang mata uang kripto.

The Hacker News menyebutkan temuan tersebut berasal dari Aqua, yang mendeteksi lebih dari 800 serangan terhadap honeypot server Tomcat selama periode dua tahun, dengan 96% serangan terkait dengan botnet Mirai.

Dari upaya serangan ini, 20% (atau 152) memerlukan penggunaan skrip shell web yang dijuluki "neww" yang berasal dari 24 alamat IP unik, dengan 68% di antaranya berasal dari satu alamat IP (104.248.157[.]218).

"Aktor ancaman memindai server Tomcat dan meluncurkan serangan brute force terhadapnya, berusaha untuk mendapatkan akses ke manajer aplikasi web Tomcat dengan mencoba berbagai kombinasi kredensial yang terkait dengannya," kata peneliti keamanan Aqua Nitzan Yaakov.

Setelah mendapatkan pijakan yang sukses, pelaku ancaman telah diamati menyebarkan file WAR yang berisi kelas shell web berbahaya bernama 'cmd.jsp' yang, pada gilirannya, dirancang untuk mendengarkan permintaan jarak jauh dan menjalankan perintah sewenang-wenang di server Tomcat.

Ini termasuk mengunduh dan menjalankan skrip shell yang disebut "neww" setelah itu file tersebut dihapus menggunakan perintah Linux "rm -rf".

"Skrip berisi tautan untuk mengunduh 12 file biner, dan setiap file cocok untuk arsitektur tertentu sesuai dengan sistem yang telah diserang oleh aktor ancaman," kata Yaakov.

Malware tahap akhir adalah varian dari botnet Mirai yang terkenal yang memanfaatkan host yang terinfeksi untuk mengatur serangan denial-of-service (DDoS) terdistribusi.

"Begitu aktor ancaman memperoleh akses ke pengelola aplikasi web menggunakan kredensial yang valid, mereka memanfaatkan platform untuk mengunggah web shell yang disamarkan dalam file WAR," kata Yaakov.

"Selanjutnya, aktor ancaman mengeksekusi perintah dari jarak jauh dan melancarkan serangan."

Untuk mengurangi kampanye yang sedang berlangsung, disarankan agar organisasi mengamankan lingkungan mereka dan mengikuti kebersihan kredensial untuk mencegah serangan brute-force.

Perkembangan tersebut terjadi ketika Pusat Tanggap Darurat Keamanan AhnLab (ASEC) melaporkan bahwa server MS-SQL yang dikelola dengan buruk dilanggar untuk menyebarkan malware rootkit yang disebut Purple Fox, yang bertindak sebagai pemuat untuk mengambil malware tambahan seperti penambang koin.

Temuan ini juga menunjukkan sifat menguntungkan dari penambangan cryptocurrency, yang telah menyaksikan peningkatan 399% dari tahun lalu, dengan 332 juta serangan cryptojacking tercatat pada paruh pertama tahun 2023 secara global, menurut SonicWall.[]