Son zamanlarda dağıtık reddetme saldırısı (DDoS) kampanyası olan “Panamorfi” adlı saldırı, siber güvenlik topluluğunda dikkat çekiyor. Geleneksel DDoS saldırılarından farklı olarak, bu kampanya özellikle çevrimiçi olarak açıkta bulunan yanlış yapılandırılmış Jupyter not defterlerini hedef almaktadır. Kampanyanın arkasındaki tehdit aktörü yawixooo adında ve hedef sunucuları aşırı yüklemek için halka açık bir Minecraft sunucusu DDoS aracını kullanmaktadır.
Saldırının Anatomisi
Aqua Nautilus’ten araştırmacılara göre, saldırı tehdit aktörünün ilk olarak internete açık not defterlerine erişim sağlamasıyla başlıyor. Daha sonra, bir dosya paylaşım platformundan bir zip dosyasını indiren bir komutu gerçekleştirmeye devam ederler. Yaklaşık 17 MB boyutunda ve rastgele karakterlerle adlandırılmış bu zip dosyası, conn.jar ve mineping.jar adında iki Jar dosyası içermektedir. Bu Jar dosyaları, daha önce güvenlik şirketleri tarafından bilinmeyen, her biri için yalnızca bir tane algılama bulunan dosyalardır.
‘conn.jar’ dosyası saldırıda önemli bir rol oynamaktadır. Bu, Discord’u DDoS operasyonunu kontrol etmek için kullanmaktadır. Kurbanın makinesi, belirlenmiş bir Discord kanalına bağlanır ve ‘mineping.jar’ dosyasını yükler. Bu dosya GitHub üzerinde bulunan ve farklı işlevler için birden fazla Java dosyası içeren iyi bilinen bir Minecraft sunucu DDoS aracıdır.
Saldırının Uygulanması
Minecraft sunucu DDoS aracı dağıtıldığında, tehdit aktörü bir TCP sel DDoS saldırısını başlatır. Temel amaç, hedef sunucunun kaynaklarını tüketmektir. Saldırganlar, saldırı sonuçlarını direkt olarak Discord kanalına yazacak şekilde aracı kurmuşlar, bu sayede saldırının etkisini gerçek zamanlı olarak izleyebilmektedirler.
Tehditin Azaltılması
Neyse ki, Aqua Nautilus araştırmacıları, conn.jar dosyasının yürütülmesini engelleyen bir çalışma zamanı politikasını uygulayarak saldırıya müdahale edebilmişlerdir. Bu proaktif önlemlerin alınması, tüm kampanyayı etkisiz hale getirmiştir.
– Jupyter not defterlerine erişimi kısıtlamak için güvenli uygulamaları uygulamak.
– conn.jar ve mineping.jar gibi kampanyayla ilişkilendirilen dosyaların yürütülmesini engellemek.
– Jupyter not defterlerinde kod yürütmesini sınırlamak.
– Jupyter not defterlerini düzenli olarak en son güvenlik yamaları ile güncellemek.
Ayrıca, hassas bilgileri veya kimlik bilgilerini Jupyter not defterlerinde paylaşmaktan kaçınılması önerilir, çünkü bunlar tehdit aktörleri için potansiyel olarak cazip hedefler haline gelebilir.
Bu savunma önlemlerini alarak ve dikkatli kalarak, veri mühendisleri, veri analistleri ve veri bilimcileri gibi veri uygulayıcıları Panamorfi DDoS kampanyasından ve gelecekteki benzer saldırılardan korunabilirler.