Servidores Apache Tomcat mal configurados estão sendo alvo de uma nova campanha projetada para entregar o malware botnet Mirai e mineradores de criptomoedas.

Os pesquisadores detectaram mais de 800 ataques contra seus honeypots de servidor Tomcat ao longo de um período de dois anos, com 96% dos ataques ligados ao botnet Mirai.

O ator da ameaça escaneou servidores Tomcat e lançou um ataque de força bruta contra eles, tentando ganhar acesso ao gerenciador de aplicativos web do Tomcat e tentando diferentes combinações de credenciais associadas a ele.

Após obter acesso, os atores de ameaças foram observados implantando um arquivo malicioso que contém uma web shell chamada ‘cmd.jsp’ que, por sua vez, é projetada para ouvir solicitações remotas e executar comandos arbitrários no servidor Tomcat.

O malware final é uma variante do infame botnet Mirai que usa os hosts infectados para orquestrar ataques de negação de serviço distribuídos (DDoS).