Специалисты по кибербезопасности из компании Aqua Security выявили новую волну DDoS-атак, нацеленных на неправильно настроенные экземпляры Jupyter Notebook. Эта вредоносная кампания, получившая название Panamorfi, использует инструмент mineping, изначально разработанный для игровых серверов Minecraft, для проведения масштабных TCP-флуд атак.
Механизм атаки Panamorfi
Злоумышленники эксплуатируют открытые для доступа через интернет экземпляры Jupyter Notebook, популярной среды для интерактивных вычислений и анализа данных. Атака начинается с выполнения команды wget для загрузки ZIP-архива с файлообменного сервиса Filebin. Архив содержит два ключевых компонента:
- conn.jar — устанавливает связь с определенным Discord-каналом
- mineping.jar — непосредственно осуществляет DDoS-атаку
После загрузки и распаковки архива, conn.jar инициирует выполнение mineping.jar, запуская тем самым атаку типа TCP-флуд на целевые серверы.
Цели и последствия атаки
Основная цель Panamorfi — истощение ресурсов атакуемых серверов путем отправки огромного количества TCP-запросов. Эта тактика может привести к серьезным нарушениям в работе сервисов, вплоть до полной недоступности. Результаты атак фиксируются злоумышленниками в специально созданном Discord-канале, что позволяет им отслеживать эффективность своих действий.
Предполагаемый организатор кампании
Исследователи Aqua Security связывают эту кампанию с хакером, использующим псевдоним yawixooo. Его GitHub-аккаунт содержит публичный репозиторий с файлом настроек сервера Minecraft, что подтверждает связь между игровым сообществом и используемыми инструментами атаки.
Уязвимость Jupyter Notebook как тренд в киберпреступности
Атаки на экземпляры Jupyter Notebook становятся все более распространенным явлением в мире кибербезопасности. Например, в октябре 2023 года группировка Qubitstrike использовала уязвимые инсталляции Jupyter Notebook для майнинга криптовалюты и проникновения в облачные инфраструктуры. Эта тенденция подчеркивает важность правильной настройки и защиты подобных инструментов, особенно в корпоративной среде.
Для защиты от подобных атак организациям рекомендуется регулярно обновлять программное обеспечение, использовать сильные методы аутентификации и ограничивать доступ к Jupyter Notebook только через VPN или другие защищенные каналы. Кроме того, крайне важно проводить регулярный мониторинг сетевой активности для раннего выявления подозрительных действий и попыток несанкционированного доступа. Повышение осведомленности сотрудников о кибербезопасности также играет ключевую роль в предотвращении подобных инцидентов.