Eine kürzlich durchgeführte Distributed Denial of Service (DDoS)-Kampagne namens „Panamorfi“ hat in der Cybersicherheitsgemeinschaft für Aufsehen gesorgt. Im Gegensatz zu traditionellen DDoS-Angriffen richtet sich diese Kampagne gezielt gegen falsch konfigurierte Jupyter-Notebooks, die online zugänglich sind. Der Bedrohungsakteur hinter der Kampagne, der als yawixooo bekannt ist, nutzt ein öffentlich verfügbares Minecraft-Server-DDoS-Tool, um Zielserver zu überlasten.
Die Anatomie des Angriffs
Laut Forschern von Aqua Nautilus beginnt der Angriff damit, dass der Bedrohungsakteur Zugriff auf internetbasierte Notebooks erhält. Anschließend führen sie einen Befehl aus, der eine Zip-Datei von einer Filesharing-Plattform herunterlädt. Die Zip-Datei, etwa 17 MB groß und mit einem zufälligen Zeichenfolgenamen, enthält zwei JAR-Dateien namens conn.jar und mineping.jar. Diese JAR-Dateien waren zuvor unbekannt und wurden nur einmal erkannt.
Die Datei ‚conn.jar‘ spielt eine entscheidende Rolle beim Angriff. Sie nutzt Discord zur Steuerung der DDoS-Operation. Der Rechner des Opfers verbindet sich mit einem bestimmten Discord-Kanal und lädt die Datei ‚mineping.jar‘. Diese Datei ist ein bekanntes Minecraft-Server-DDoS-Tool, das auf GitHub verfügbar ist und mehrere Java-Dateien für verschiedene Funktionalitäten enthält.
Die Durchführung des Angriffs
Sobald das Minecraft-Server-DDoS-Tool bereitgestellt ist, initiiert der Bedrohungsakteur einen TCP-Flut-DDoS-Angriff. Das Hauptziel ist es, die Ressourcen des Ziel-Servers zu erschöpfen. Die Angreifer haben das Tool so konfiguriert, dass die Angriffsergebnisse direkt im Discord-Kanal geschrieben werden, um den möglichen Einfluss des Angriffs in Echtzeit zu überwachen.
Bedrohung minimieren
Glücklicherweise konnten die Forscher von Aqua Nautilus eingreifen und den Angriff stoppen, indem sie eine Laufzeitrichtlinie implementierten, die die Ausführung der Datei conn.jar blockiert. Durch diese proaktiven Maßnahmen wurde die gesamte Kampagne effektiv neutralisiert.
Um sich vor ähnlichen Kampagnen zu schützen, ist es entscheidend, folgende Maßnahmen zu befolgen:
– Sicherheitspraktiken implementieren, um den Zugriff auf Jupyter-Notebooks zu beschränken.
– Die Ausführung von Dateien, die mit der Kampagne in Verbindung stehen, wie conn.jar und mineping.jar, blockieren.
– Die Ausführung von Code innerhalb von Jupyter-Notebooks begrenzen.
– Jupyter-Notebooks regelmäßig mit den neuesten Sicherheitsupdates aktualisieren.
Zusätzlich ist es ratsam, keine sensiblen Informationen oder Zugangsdaten auf Jupyter-Notebooks zu teilen, da sie potenziell attraktive Ziele für Bedrohungsakteure darstellen können.
Durch Wachsamkeit und die Umsetzung dieser Verteidigungsmaßnahmen können Datenpraktiker wie Dateningenieure, Datenanalysten und Datenwissenschaftler sich vor der Panamorfi-DDoS-Kampagne und ähnlichen Angriffen in der Zukunft schützen.