Panamorfi TCP flood DDoS Saldırısı Jupyter Notebook’ları Hedefliyor


Yawixooo adlı bir saldırgan, ilk erişim vektörü olarak herkese açık bir Jupyter Notebook bal tuzağını kullandı.

Bal küpünün internete açılması, karmaşık teknikler gerektirmeden Yawixooo’nun istismar edilmesini mümkün kıldı.

Saldırgan sisteme bir kez yerleştikten sonra filebin.net’ten yeni bir zip dosyası (MD5: 42989a405c8d7c9cb68c323ae9a9a318) indirdi. Bu dosya yalnızca ESET tarafından VirusTotal’da kötü amaçlı olarak işaretlendi ve iki JAR dosyası içeriyordu.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access

Bu JAR dosyaları da yeniydi ve yalnızca ESET tarafından tespit edilmişti; bu da bunların muhtemelen gizlenmiş veya geleneksel antivirüs taramalarından kaçan dosyalar olduğunu gösteriyordu.

Tek bir tespit içeren zip dosyası

Bağlantı JAR dosyası, Discord’u bir komuta ve kontrol kanalı olarak kullanan kötü amaçlı bir yük görevi görüyor.

Çalıştırıldığında, bilinen bir DDoS aracı olan madencilik JAR’ını indirir ve çalıştırır, bu da hedef sunucuyu bağlantı istekleriyle boğan bir TCP flood saldırısı başlatır.

Saldırının ilerleyişi ve sonuçları, Discord kanalı aracılığıyla tehdit aktörüne iletilir ve DDoS operasyonunun uzaktan kontrol edilmesi ve izlenmesi kolaylaştırılır.

Discord kanalını güncelleyen fonksiyon

Tehdit aktörü ‘yawixooo’nun Panamorfi DDoS kampanyasıyla bağlantısı var.

Saldırıda, HTTP soket yükleme, proxy kullanımı, kurbana saldırı ve rastgele bağlantı oluşturma için tasarlanmış 12 dosya içeren mineping.jar adlı Java tabanlı bir araç kullanılıyor.

Muhtemelen bir Minecraft sunucu aracından alınarak kullanılan bu kötü amaçlı paket, hedeflenen sistemlere karşı dağıtılmış hizmet reddi saldırısının başlatılmasını sağlıyor.

Panamorfi DDoS logosu

Olayın arkasındaki tehdit aktörü, şu anda bir Minecraft sunucu yapılandırması ve yapım aşamasındaki bir HTML sayfasını barındıran aktif bir genel depoya sahip bir GitHub kullanıcısı olan ‘yawixooo’ olarak tanımlandı.

Araştırmacılar, tehdit aktörüyle ilişkili olası bir tehlikeye veya ek kötü amaçlı aktiviteye dair göstergeleri tespit etmek için deponun içeriğini aktif bir şekilde inceliyorlar.

Tehdit aktörünün web sitesi yapım aşamasındadır

Aqua’nın CNAPP’si, Jupyter not defterlerini kullanan veri uygulayıcılarıyla ilişkili güvenlik risklerini, anormal davranışları tespit etmek ve engellemek için çalışma zamanı korumasını kullanarak ele alır; bu, sıfırıncı gün tehditlerine ve yetkisiz eylemlere karşı gerçek zamanlı bir savunma sağlayarak geleneksel güvenlik açığı yönetimi ve yanlış yapılandırma düzeltmesini tamamlar.

Ayrıntılı çalışma zamanı politikalarının uygulanması, Jupyter Notebook kapsamı dışında kötü amaçlı yüklerin yürütülmesini önleyerek olası veri ihlallerini azaltır ve sistem bütünlüğünü korur.

Aqua Nautilus araştırmacıları, Java tabanlı Minecraft DDoS aracı “mineping”i kullanan yeni bir DDoS kampanyası olan “Panamorfi”yi tespit etti. Tehdit aktörleri bu saldırıyı yalnızca yanlış yapılandırılmış Jupyter not defterleri aracılığıyla uyguluyor.

Kampanya, açık dizüstü bilgisayarlardaki güvenlik açıklarını istismar ederek DDoS’lu sistemleri hedef alıyor. Kuruluşlar, bu tehdidi azaltmak için Jupyter dizüstü bilgisayarlarını güvence altına almaya ve sağlam DDoS koruma önlemleri uygulamaya öncelik vermelidir.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide



Source link