最近、分散型サービス拒否(DDoS)キャンペーンとして名付けられた「Panamorfi」がサイバーセキュリティコミュニティで波紋を広げています。このキャンペーンは従来のDDoS攻撃と異なり、オンラインで公開された設定ミスのあるJupyterノートブックを特定的に狙っています。このキャンペーンの背後にある脅威行為者である”yawixooo”は、公開されているMinecraftサーバーDDoSツールを使用してターゲットサーバーを圧倒しています。
攻撃の構造
Aqua Nautilusの研究者によると、攻撃は脅威行為者が最初にインターネットに面したノートブックにアクセスし、ファイル共有プラットフォームからzipファイルをダウンロードするコマンドを実行することから始まります。この約17MBのサイズのzipファイルには、ランダムな文字列で命名された2つのJarファイルであるconn.jarとmineping.jarが含まれています。これらのJarファイルはセキュリティ企業には以前から知られておらず、それぞれに1つだけの検出がありました。
‘conn.jar’ファイルは攻撃で重要な役割を果たします。これはDiscordを使用してDDoSオペレーションを制御します。被害者のマシンは特定のDiscordチャンネルに接続し、’mineping.jar’ファイルを読み込みます。このファイルはGitHubで利用可能なよく知られたMinecraftサーバーDDoSツールで、さまざまな機能のための複数のJavaファイルが含まれています。
攻撃の実行
MinecraftサーバーDDoSツールが展開されると、脅威行為者はTCP flood DDoS攻撃を開始します。主たる目的は、ターゲットサーバーのリソースを使い果たすことです。攻撃者は、ツールを設定して攻撃結果を直接Discordチャンネルに書き込むようにし、攻撃の影響をリアルタイムでモニターできるようにしています。
脅威の緩和
幸いにも、Aqua Nautilusの研究者は、conn.jarファイルの実行をブロックするランタイムポリシーを実装することで攻撃に介入し停止させることができました。これらの積極的な手段を取ることで、攻撃を完全に無力化することができました。
同様のキャンペーンに対処するためには、以下の緩和戦略を実施することが重要です:
– Jupyterノートブックへのアクセスを制限するためにセキュアなプラクティスを実装する。
– conn.jarやmineping.jarなどのキャンペーンに関連するファイルの実行をブロックする。
– Jupyterノートブック内でのコード実行を制限する。
– Jupyterノートブックを定期的に最新のセキュリティパッチで更新する。
さらに、Jupyterノートブック上で機密情報や資格情報を共有することを避けることが望ましいです。なぜなら、それらは脅威行為者にとって魅力的なターゲットになり得るからです。
こういった防御策を取ることで、データエンジニア、データアナリスト、データサイエンティストなどのデータプラクティショナーはPanamorfi DDoSキャンペーンや今後の同様の攻撃から身を守ることができます。