Apache Axis es un motor de servicios web que brinda la capacidad de agregar interfaces de servicios web a aplicaciones web.
Funciona como un servidor de aplicaciones independiente y admite SOAP 1.1, SOAP 1.2 y servicios web de estilo REST.
Recientemente, los investigadores de Binary Defense confirmaron que los piratas informáticos están atacando activamente los servidores Apache AXIS para implementar shells web maliciosos.
servidor apache eje
En agosto de 2024, actores de amenazas vinculados a China comprometieron tres servidores AIX no administrados a los que se accedía a través de Internet utilizando las contraseñas subyacentes utilizadas para administrar los servidores Apache Axis.
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
Luego, el atacante cargó un shell web AxisInvoker, obtuvo acceso SSH y utilizó Fast Reverse Proxy (FRP) para establecer una comunicación persistente con la red objetivo.
Las operaciones de reconocimiento se llevaron a cabo entre marzo y agosto utilizando LDAP, recursos compartidos SMB y archivos de configuración locales.
Luego, el actor de amenazas cambió al sistema operativo Windows e intentó inyectar una baliza Cobalt Strike y un shell web escrito en JavaScript.
Actividad del atacante (Fuente: Defensa binaria)
Realizaron ataques de retransmisión NTLM para realizar reconocimiento de Active Directory y suplantación de cuentas.
La intrusión se limitó a un intento de volcar la memoria del proceso LSASS, una técnica bien conocida para recopilar credenciales en servidores Windows.
Eventos como este ilustran los peligros de la TI en la sombra cuando las soluciones de TI se implementan sin la supervisión del equipo de seguridad.
Esto resalta la importancia de la detección avanzada de amenazas en toda la red, incluidos los sistemas obsoletos, para evitar ataques complejos que utilicen vectores discretos.
Un informe de Binary Defense encontró que los servidores AIX (Advanced Interactive eXecutive) no administrados son vulnerables a ataques avanzados.
Los actores de amenazas que se cree que provienen de China pudieron aprovechar estos sistemas y obtener acceso inicial utilizando el shell web AXISInvoker y las herramientas Fast Reverse Proxy (FRP).
Se trasladaron a un entorno Windows e intentaron la expansión lateral, pero se vieron frustrados por los mecanismos y controles de seguridad existentes.
Al atacante se le impidió crear un canal de comando y control (C2) a través de cobalt Strike porque estaba usando comandos de Linux como 'wget' y 'curl' que no son compatibles con las soluciones AIX.
Este incidente demuestra la necesidad de un monitoreo integral de la seguridad de todos los dispositivos conectados a una red, incluidos los sistemas heredados y aparentemente de baja prioridad.
Advierte sobre las amenazas de TI en la sombra y explica la necesidad de monitoreo y auditoría regulares, gestión de credenciales y elementos de integración de seguridad.
Las organizaciones deben asegurarse de que ningún sistema quede sin visibilidad y protección para evitar que un escenario como este vuelva a ocurrir y fortalecer sus defensas de seguridad aún más que antes.
¿Es usted parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
Hackers Attacking Apache AXIS Server To Deploy Malicious Web Shells
