Egy új, „Panamorfi” néven elkeresztelt Elosztott Szolgáltatás-eléréses (DDoS) kampány hozott lázba a kiberbiztonsági közösségben. A hagyományos DDoS támadásokkal ellentétben ez a kampány kifejezetten az online exponáltan elérhető, hibásan beállított Jupyter jegyzetfüzetekre összpontosít. A kampány mögött álló fenyegetési szereplő, yawixooo álnéven, egy nyilvánosan elérhető Minecraft szerver DDoS eszközt használ a célpont szerverek túlterhelésére.
A támadás anatómiája
Az Aqua Nautilus kutatói szerint a támadás a fenyegetési szereplő által megszerezett kezdeti hozzáféréssel az interneten elérhető jegyzetfüzetekhez kezdődik. Ezután végrehajtanak egy parancsot, ami letölt egy zip fájlt egy fájlmegosztó platformról. A kb. 17 MB-os zip fájl véletlenszerű karakterlánc nevű, conn.jar és mineping.jar nevű Jar fájlokat tartalmaz. Ezek a Jar fájlok korábban ismeretlenek voltak a biztonsági cégek számára, mindössze egy-egy detektálásuk volt.
A „conn.jar” fájl kulcsfontosságú szerepet játszik a támadásban. A Discordot használja a DDoS művelet irányítására. Az áldozat gépe kapcsolatot teremt egy meghatározott Discord csatornával, és betölti a „mineping.jar” fájlt. Ez a fájl egy jól ismert Minecraft szerver DDoS eszköz, amely a GitHubon elérhető, és több Java fájlt tartalmaz különböző funkcionalitásokhoz.
A támadás végrehajtása
Amint a Minecraft szerver DDoS eszköz be lett telepítve, a fenyegetési szereplő elindít egy TCP áradású DDoS támadást. A fő cél az, hogy kimerítse a célpont szerver erőforrásait. Az elkövetők beállították az eszközt úgy, hogy írja az támadás eredményeit közvetlenül a Discord csatornára, lehetővé téve számukra a támadás hatásának valós idejű figyelemmel kísérését.
A fenyegetés kezelése
Szerencsére az Aqua Nautilus kutatói képesek voltak közbelépni és megakadályozni a támadást, bevezetve egy futásidejű irányelveket, amelyek blokkolják a conn.jar fájl végrehajtását. Ezek a proaktív lépések hatékonyan semlegesítették az egész kampányt.
Hogy megvédjük magunkat hasonló kampányok ellen, fontos követni ezeket az ellensúlyozási stratégiákat:
– Végrehajtani biztonságos gyakorlatokat az interneten elérhető Jupyter jegyzetfüzetek hozzáférésének korlátozására.
– Blokkolni az a kampányhoz kapcsolódó fájlok (például conn.jar és mineping.jar) végrehajtását.
– Korlátozni a kódvégrehajtást a Jupyter jegyzetfüzetekben.
– Rendszeresen frissíteni a Jupyter jegyzetfüzeteket a legújabb biztonsági javításokkal.
Ezenkívül ajánlott kerülni az érzékeny információk vagy hitelesítő adatok megosztását a Jupyter jegyzetfüzeteken, mivel potenciálisan vonzó célpontokká válhatnak a fenyegetési szereplők számára.
Szemfülesek maradva és ezeket a védekező intézkedéseket elfogadva a data szakemberek, például adatelemzők, adatmérnökök és adat tudósok megvédték magukat a Panamorfi DDoS kampánytól és hasonló támadásoktól a jövőben.