Команда GreyNoise зафиксировала резкий всплеск скоординированной вредоносной активности, направленной на интерфейсы Apache Tomcat Manager. 5 июня 2025 года два тега GreyNoise - Tomcat Manager Brute Force Attempt и Tomcat Manager Login Attempt - показали аномально высокую активность, что свидетельствует о целенаправленной попытке массового поиска и взлома уязвимых сервисов Tomcat.
Описание
В рамках наблюдаемой атаки было задействовано около 400 уникальных IP-адресов, большинство из которых классифицированы как вредоносные. Для тега Tomcat Manager Brute Force Attempt зафиксировано 250 уникальных IP, что значительно превышает обычный диапазон в 1–15 адресов. Аналогично, для тега Tomcat Manager Login Attempt обнаружено 298 IP, при базовом уровне 10–40. Практически все эти адреса (99,7%) признаны злоумышленниками.
Особое внимание привлекает то, что значительная часть атак исходила от инфраструктуры, размещенной у DigitalOcean (ASN 14061). Это указывает на возможное использование облачных сервисов для организации масштабных кибератак. Эксперты предупреждают, что подобные действия могут быть подготовкой к более серьезным угрозам, включая эксплуатацию уязвимостей или развертывание вредоносного ПО.
Специалисты по кибербезопасности рекомендуют администраторам серверов Tomcat проверить настройки доступа к Manager-интерфейсам, применить строгую аутентификацию и заблокировать подозрительные IP-адреса из списков GreyNoise. Игнорирование подобных инцидентов может привести к компрометации критически важных систем.
