Tehdit aktörleri, 5 Haziran 2025’te zirve yapan yoğun bir saldırıda yaklaşık 400 benzersiz IP adresinden yararlanan Apache Tomcat Manager arayüzlerini hedefleyen önemli bir koordineli saldırı kampanyası.
Saldırı, kötü niyetli aktivitede önemli bir artışı temsil eder, gözlemlenen hacimler normal başlangıç seviyelerinin 10-20 katına ulaşır, bu da maruz kalan Tomcat hizmetlerini eşi görülmemiş ölçekte tehlikeye atmak için sofistike ve kasıtlı bir girişim olduğunu gösterir.
Kaba kuvvet ve giriş denemelerinde büyük artış
Koordineli saldırı kampanyası ilk olarak Geynoise’in Apache Tomcat Manager arayüzünü hedefleyen iki farklı ancak ilgili saldırı vektörünü tespit eden tehdit istihbarat izleme sistemleri ile tanımlandı.
.png
)
TOMCAT Manager Brute Force Girişim Tag Kaydedi 250 benzersiz IP adresi, 1-15 IP adresinin tipik temel aralığından şaşırtıcı bir artışı temsil eder.
Eşzamanlı olarak, Tomcat Manager Giriş Giriş Tag 298 benzersiz IP adresi kaydetti ve 10-40 IP adresinin normal taban çizgisini çok aştı.
Brute kuvvet denemelerinde yer alan tüm IP adresleri kötü niyetli olarak sınıflandırılırken, oturum açma girişimi trafiğinin% 99,7’sinin doğada kötü niyetli olduğu belirlenmiştir.
Saldırı zaman çizelgesi, Haziran ayı başlarında inşa etmeye başlayan ve en önemli artış 5 Haziran 2025’te gerçekleşen yoğun bir faaliyet patlaması gösteriyor.
Veri görselleştirmesi, tehdit aktörlerinin birkaç gün boyunca sürekli baskı sağladığını ve fırsatçı tarama yerine iyi koordine edilmiş bir kampanya olduğunu gösteriyor.
ASN 14061 (DigitalOcean) altyapısı, saldıran IP adreslerinin önemli bir bölümünü barındırdı, bu da tehdit aktörlerinin saldırı altyapılarını dağıtmak ve IP tabanlı bloke etme mekanizmaları aracılığıyla tespitten kaçınmak için bulut bilişim kaynaklarından yararlandığını gösteriyor.
Saldırının teknik analizi, tehdit aktörleri tarafından kullanılan sofistike operasyonel güvenlik uygulamalarını ortaya koymaktadır.
Saldırganlar, özellikle Tomcat Manager arayüzlerini hedefleyen ve ek güvenlik uyarılarını tetikleyebilecek daha geniş tarama etkinliklerinden kaçınan dar bir odak gösterdi.
Bu hedeflenen yaklaşım, saldırganların potansiyel hedefler hakkında önceden istihbarat bulunduğunu ve kampanyalarını tespit olasılığını en aza indirirken başarıyı en üst düzeye çıkarmak için tasarladığını gösteriyor.
Birincil saldırı vektörü olarak DigitalOcean’ın bulut altyapısının (ASN 14061) kullanılması, kötü niyetli faaliyetler yürütmek için meşru bulut hizmetlerini giderek daha fazla kullanan siber suçluların gelişen taktiklerini vurgulamaktadır.
Bu yaklaşım, saldırganlara hızlı dağıtım yetenekleri, saldırı kaynaklarının coğrafi dağılımı ve kötü niyetli trafiği meşru bulut tabanlı iletişim ile harmanlama yeteneği gibi çeşitli avantajlar sağlar.
Saldırganlar muhtemelen yüzlerce IP adresinde eşzamanlı kabarık kuvveti ve giriş denemelerini koordine etmek için otomatik araçlar ve komut dosyaları kullandı ve bu da yüksek düzeyde teknik sofistike ve kaynak yatırımını gösterdi.
Hafifletme
Apache Tomcat kurulumlarını çalıştıran kuruluşlar, bu devam eden tehdit kampanyasına karşı korunmak için derhal kapsamlı savunma önlemleri uygulamalıdır.
Güvenlik ekipleri, mevcut koruma seviyelerini korumak için güncellenmiş tehdit istihbarat beslemelerini kullanarak hem kaba kuvvet hem de giriş girişimi kategorilerinde yer alan tüm tanımlanmış tüm kötü amaçlı IP adreslerinin engellenmesine öncelik vermelidir.
Belirlenen 400’den fazla kötü niyetli adrese yönelik IP tabanlı engelleme kurallarının derhal uygulanması, daha fazla uzlaşma denemesini önlemek için çok önemlidir.
Anında engelleme önlemlerinin ötesinde, kuruluşlar, sağlam kimlik doğrulama mekanizmalarının çok faktörlü kimlik doğrulama (MFA) ve güçlü şifre politikaları dahil olmak üzere TOMCAT yöneticisi arayüzlerini koruduğunu doğrulamalıdır.
Erişim kısıtlamaları, Tomcat Manager kullanılabilirliğini yalnızca yetkili ağlarla, tercihen VPN bağlantıları veya idari erişim için IP beyaz listesi yoluyla sınırlandırmalıdır.
Güvenlik ekipleri, tespit edilen kampanyadan önceki başarılı uzlaşma denemelerini gösterebilecek anormal kalıplar için kimlik doğrulama günlüklerini inceleyerek son giriş etkinliğinin kapsamlı incelemelerini yapmalıdır.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin