Une nouvelle campagne de déni de service distribué (DDoS), nommée « Panamarfi », menée par l'acteur malveillant yawixooo, exploite des notebooks Jupyter mal configurés exposés en ligne.

Les attaquants déploient un outil DDoS de serveur Minecraft accessible au public sur un canal Discord pour effectuer l'opération d'attaque, dans le but de submerger les serveurs ciblés. Les praticiens des données tels que les ingénieurs de données, les analystes de données et les scientifiques de données qui s'appuient sur le bloc-notes Jupyter sont considérés comme les principales victimes de telles campagnes et doivent prendre des précautions particulières.

Table des matières hide
1 L'anatomie de l'attaque de Panamorfi
2 Atténuation des risques d'attaque
3 En rapport

L'anatomie de l'attaque de Panamorfi

Des chercheurs de Aqua Nautilus Il a été signalé que l'attaque utilisait un notebook Jupyter honeypot exposé ciblé par yawixooo. Ils ont observé que l'attaque commence par l'accès initial de l'acteur malveillant aux notebooks connectés à Internet, puis exécute une commande pour Télécharger un fichier zip à partir d'une plateforme de partage de fichiers :

wget https://filebin.net/archive/h4fhifnlykw224h9/zip

Le fichier zip, avec un nom aléatoire et un hachage MD5 de 42989a405c8d7c9cb68c323ae9a9a318, fait environ 17 Mo et contient deux fichiers Jar. Ces fichiers, conn.jar et mineping.jar, étaient tous deux nouveaux dans Virus Total et n'avaient qu'une seule détection pour chaque fichier à partir d'un Sécurité entreprise.

Panamorfi Minecraft DDoSJupyter Notebook Discord 89
Source: https://www.aquasec.com/blog/

Le fichier « conn.jar », qui contient le code d'exécution initial, utilise Discord pour contrôler l'attaque DDoS. La machine de la victime se connecte au canal Discord spécifié, chargeant le fichier « mineping.jar » – un fichier connu serveur minecraft Outil DDoS disponible sur GitHub qui contient 12 fichiers Java pour faciliter le chargement des sockets http, l'utilisation de proxys, la possibilité d'inonder une victime et la création de détails liés à la connexion.

Publicité
Panamorfi Minecraft DDoS Jupyter Notebook Discord
Source: https://www.aquasec.com/blog/

Cet outil est ensuite utilisé pour lancer un flood TCP Attaque DDoSvisant à consommer les ressources du serveur cible. Les attaquants ont configuré l'outil pour écrire les résultats sur le canal Discord.

L'acteur de menace yawixooo, a une présence active sur GitHub, où il maintient une configuration de serveur Minecraft et un site Web actuellement en construction.

Atténuation des risques d'attaque

Les chercheurs ont réussi à stopper la progression de l'attaque grâce à une politique d'exécution qui bloque l'exécution du fichier conn.jar. Cela met fin de facto à l'attaque dans son intégralité.

Pour se défendre contre de telles campagnes :

  • Limitez l'accès aux notebooks Jupyter grâce à des pratiques sécurisées.
  • Bloquez l'exécution des fichiers associés à la campagne tels que conn.jar et mineping.jar.
  • Limiter l'exécution du code
  • Mettez à jour régulièrement avec les derniers correctifs de sécurité disponibles.

Les chercheurs en sécurité déconseillent généralement le partage d'informations sensibles ou d'informations d'identification sur les notebooks Jupyter, qui peuvent être des cibles privilégiées pour les campagnes d'acteurs malveillants.

5/5 - (412 votes)
Publicité
Article précédentL'artisanat dans les jeux d'artisanat peut être nul, mais il semble étonnamment décent dans les règles mises à jour de Donjons et Dragons de toutes choses
Article suivantL'équipe britannique remporte deux autres médailles à quelques minutes d'intervalle, malgré une quatrième place dans un sport fou surnommé « Mario Kart sur des bateaux »
Papillion Linville
Papillion Linville

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici