Frank McDougall
O recentă campanie de tip Distributed Denial of Service (DDoS), numită „Panamorfi”, a atras atenția comunității de securitate cibernetică. Spre deosebire de atacurile DDoS tradiționale, această campanie vizează în mod specific notițe Jupyter configurate greșit, expuse online. Actorul malefic din spatele campaniei, cunoscut sub numele de yawixooo, folosește o unealtă DDoS pentru servere Minecraft disponibilă public pentru a suprasolicita serverele țintă.
Anatomia Atacului
Conform cercetătorilor de la Aqua Nautilus, atacul începe cu actorul malefic obținând acces inițial la notițele de internet. Ei continuă apoi să execute o comandă care descarcă un fișier zip de pe o platformă de partajare a fișierelor. Fișierul zip, de aproximativ 17 MB în dimensiune și denumit cu un șir aleatoriu de caractere, conține două fișiere Jar numite conn.jar și mineping.jar. Aceste fișiere Jar nu erau cunoscute anterior companiilor de securitate, având o singură detectare pentru fiecare.
Fișierul ‘conn.jar’ joacă un rol crucial în atac. Acesta folosește Discord pentru a controla operațiunea de tip DDoS. Mașina victimei se conectează la un canal Discord specific, încărcând fișierul ‘mineping.jar’. Acest fișier este o unealtă bine-cunoscută pentru DDoS pe serverele Minecraft disponibilă pe GitHub și conține mai multe fișiere Java pentru funcționalități diferite.
Execuția Atacului
Odată ce unealta DDoS pentru serverele Minecraft este implementată, actorul malefic inițiază un atac de tip TCP flood DDoS. Obiectivul principal este de a epuiza resursele serverului țintă. Atacatorii au configurat unealta pentru a scrie rezultatele atacului direct în canalul Discord, permițându-le să monitorizeze impactul atacului în timp real.
Contracararea Amenințării
În mod fericit, cercetătorii de la Aqua Nautilus au intervenit și au oprit atacul prin implementarea unei politici de rulare care blochează execuția fișierului conn.jar. Adoptarea acestor măsuri proactive a neutralizat eficient întreaga campanie.
Pentru a proteja împotriva unor campanii asemănătoare, este crucial să urmați aceste strategii de contracarare:
– Implementarea practicilor sigure pentru a restricționa accesul la notițe Jupyter.
– Blocarea execuției fișierelor asociate campaniei, precum conn.jar și mineping.jar.
– Limitarea execuției de cod în notițele Jupyter.
– Actualizarea regulată a notițelor Jupyter cu cele mai recente actualizări de securitate.
De asemenea, este recomandabil să evitați partajarea informațiilor sensibile sau a credențialelor în notițele Jupyter, deoarece acestea pot deveni potențiale ținte atrăgătoare pentru actorii malefici.
Stându-vă de strajă și adoptând aceste măsuri defensive, practicienii în domeniul datelor precum inginerii de date, analiștii de date și oamenii de știință ai datelor își pot proteja datele de campania Panamorfi DDoS și de atacuri similare în viitor.
