Исследователи в области кибербезопасности выявили новую волну атак типа отказа в обслуживании (DDoS), специально нацеленных на неправильно настроенные Jupyter Notebooks. Эта кампания, получившая название Panamorfi от облачной компании Aqua, использует инструмент на базе Java, известный как mineping, для выполнения DDoS-атак с использованием TCP flood. Изначально предназначенный для серверов игры Minecraft, mineping нашел новое применение в руках киберпреступников.
Механика атаки
Стратегия атаки включает в себя эксплуатацию экземпляров Jupyter Notebook, доступных через интернет. Выполняя команды wget, злоумышленники могут загрузить ZIP-архив с платформы обмена файлами Filebin. В этом ZIP-файле находятся два Java-архива (JAR): conn.jar и mineping.jar. Первый файл отвечает за установление соединений с каналом Discord, а второй запускает выполнение пакета mineping.
Исследователь Aqua Ассаф Мораг объяснил цель этой атаки: «Эта атака направлена на потребление ресурсов целевого сервера путем отправки большого количества запросов на установление TCP-соединений. Результаты записываются в канал Discord». Этот метод не только нарушает работу целевых серверов, но и предоставляет злоумышленникам обратную связь в реальном времени.
Атрибуция и исторический контекст
Кампания была связана с угрозой, идентифицированной как yawixooo, который поддерживает публичный репозиторий на GitHub с файлом свойств сервера Minecraft. Эта связь подчеркивает эволюционирующие тактики, используемые киберпреступниками, особенно в использовании популярных платформ для злонамеренных целей.
Это не первый случай эксплуатации Jupyter Notebooks подобным образом. В октябре 2023 года сообщалось о том, что тунисская группа угроз Qubitstrike взломала Jupyter Notebooks с целью майнинга криптовалюты и проникновения в облачные среды. Повторяющиеся атаки на эти доступные ресурсы подчеркивают важность надежных мер безопасности для организаций, использующих Jupyter Notebooks.
По мере того как ландшафт киберугроз продолжает развиваться, бдительность и проактивные меры безопасности остаются необходимыми для защиты цифровых активов.