Uus DDoS-kampaania kasutab ära valesti seadistatud Jupyteri märkmikke.

by Frank McDougall
in News, VR
on 5 august 2024

New DDoS Campaign Exploits Misconfigured Jupyter Notebooks

Hiljuti on Interneti-laialipuudulises teenuse keeldumise rünnaku (DDoS) kampaania nimega “Panamorfi” teinud laineid küberturbe kogukonnas. Erinevalt tavapärastest DDoS-rünnakutest suunatakse see kampaania spetsiaalselt valesti konfigureeritud Jupyteri märkmikke, mis on veebis välja toodud. Kampaaniat toetav ähvardusaktor, tuntud nimega yawixooo, kasutab sihtmärgi serverite ülekoormamiseks avalikult saadaval Minecrafti serveri DDoS-tööriista.

Rünnaku anatoomia

Aqua Nautilus’ teadlaste sõnul algab rünnak ähvardusaktori algse juurdepääsu saamisega interneti kaudu kättesaadavatele märkmetele. Seejärel jätkavad nad käsu täitmist, mis laeb alla failijagamise platvormilt zip-faili. Umbes 17 MB suurune ja juhusliku märgijadadena nimetatud zip-fail sisaldab kahte Jar-faili nimega conn.jar ja mineping.jar. Need Jar-failid olid turvafirmadele eelnevalt teadmata ning igale neist oli ainult üks avastus.

“conn.jar” fail mängib rünnakus võtmerolli. See kasutab Dicord’i DDoS-operatsiooni juhtimiseks. Ohvri masin ühendub määratud Discordi kanaliga, laadides “mineping.jar” faili. See fail on tuntud Minecrafti serveri DDoS-tööriist, mis on saadaval GitHubis ja sisaldab mitmeid Java-faile erinevate funktsioonide jaoks.

Rünnaku täideviimine

Kui Minecrafti serveri DDoS-tööriist on rakendatud, käivitab ähvardusaktor TCP tulvarünnaku. Peamine eesmärk on sihtmärgi serveri ressursid ammendada. Ründajad on seadistanud tööriista ründetulemused otse kirjutama Discordi kanalisse, võimaldades neil rünnaku mõju reaalajas jälgida.

Ohu leevendamine

Õnneks suutsid Aqua Nautilus’ teadlased sekkuda ja peatada rünnaku, rakendades runtime-politikat, mis blokeerib “conn.jar” faili täitmise. Nende proaktiivsete meetmete võtmine neutraliseeris kogu kampaania tõhusalt.

Sarnaste kampaaniate vastu kaitsmiseks on oluline järgida neid leevendusstrateegiaid:

– Rakendage turvalised tavapärased praktikad Jupyteri märkmikele juurdepääsu piiramiseks.
– Blokeerige kampaaniaga seotud failide, näiteks conn.jar ja mineping.jar, täitmine.
– Piirake koodi täitmist Jupyteri märkmike sees.
– Ajakohastage regulaarselt Jupyteri märkmikke viimaste turvapaikadega.

Lisaks on soovitatav vältida tundlike andmete või volituste jagamist Jupyteri märkmikes, kuna need võivad potentsiaalselt muutuda ähvardusaktoritele atraktiivseteks sihtmärkideks.

Jäädes valvsaks ja võttes kasutusele need kaitsemeetmed, saavad andmepraktikud nagu andmetehnikud, andmeanalüütikud ja andmeteadlased ennast kaitsta Panamorfi DDoS-kampaania ja sarnaste tulevaste rünnakute eest.

The source of the article is from the blog zaman.co.at