Une nouvelle campagne de déni de service distribué (DDoS), nommée « Panamarfi », menée par l'acteur malveillant yawixooo, exploite des notebooks Jupyter mal configurés exposés en ligne.
Les attaquants déploient un outil DDoS de serveur Minecraft accessible au public sur un canal Discord pour effectuer l'opération d'attaque, dans le but de submerger les serveurs ciblés. Les praticiens des données tels que les ingénieurs de données, les analystes de données et les scientifiques de données qui s'appuient sur le bloc-notes Jupyter sont considérés comme les principales victimes de telles campagnes et doivent prendre des précautions particulières.
L'anatomie de l'attaque de Panamorfi
Des chercheurs de Aqua Nautilus Il a été signalé que l'attaque utilisait un notebook Jupyter honeypot exposé ciblé par yawixooo. Ils ont observé que l'attaque commence par l'accès initial de l'acteur malveillant aux notebooks connectés à Internet, puis exécute une commande pour Télécharger un fichier zip à partir d'une plateforme de partage de fichiers :
Le fichier zip, avec un nom aléatoire et un hachage MD5 de 42989a405c8d7c9cb68c323ae9a9a318, fait environ 17 Mo et contient deux fichiers Jar. Ces fichiers, conn.jar et mineping.jar, étaient tous deux nouveaux dans Virus Total et n'avaient qu'une seule détection pour chaque fichier à partir d'un Sécurité entreprise.
Le fichier « conn.jar », qui contient le code d'exécution initial, utilise Discord pour contrôler l'attaque DDoS. La machine de la victime se connecte au canal Discord spécifié, chargeant le fichier « mineping.jar » – un fichier connu serveur minecraft Outil DDoS disponible sur GitHub qui contient 12 fichiers Java pour faciliter le chargement des sockets http, l'utilisation de proxys, la possibilité d'inonder une victime et la création de détails liés à la connexion.
Cet outil est ensuite utilisé pour lancer un flood TCP Attaque DDoSvisant à consommer les ressources du serveur cible. Les attaquants ont configuré l'outil pour écrire les résultats sur le canal Discord.
L'acteur de menace yawixooo, a une présence active sur GitHub, où il maintient une configuration de serveur Minecraft et un site Web actuellement en construction.
Atténuation des risques d'attaque
Les chercheurs ont réussi à stopper la progression de l'attaque grâce à une politique d'exécution qui bloque l'exécution du fichier conn.jar. Cela met fin de facto à l'attaque dans son intégralité.
Pour se défendre contre de telles campagnes :
- Limitez l'accès aux notebooks Jupyter grâce à des pratiques sécurisées.
- Bloquez l'exécution des fichiers associés à la campagne tels que conn.jar et mineping.jar.
- Limiter l'exécution du code
- Mettez à jour régulièrement avec les derniers correctifs de sécurité disponibles.
Les chercheurs en sécurité déconseillent généralement le partage d'informations sensibles ou d'informations d'identification sur les notebooks Jupyter, qui peuvent être des cibles privilégiées pour les campagnes d'acteurs malveillants.