Исследователи из команды Aqua Nautilus обнаружили новую DDoS-кампанию под кодовым названием "Panamorfi", которая нацелена на пользователей интерактивных блокнотов Jupyter. По данным экспертов, злоумышленник, скрывающийся под псевдонимом Yawixooo, сумел получить первоначальный доступ к системам жертв, эксплуатируя ошибки конфигурации в среде Jupyter Notebook. Эта платформа, популярная среди разработчиков и исследователей данных, часто используется для анализа и визуализации информации, но, как оказалось, может стать легкой мишенью для киберпреступников, если не соблюдаются базовые меры безопасности.
Описание
Атака начинается с того, что жертва загружает zip-архив с ресурса filebin.net, который содержит два вредоносных JAR-файла. По данным исследователей, эти файлы были тщательно обфусцированы, что позволило им избежать обнаружения традиционными антивирусными решениями. Единственным продуктом, способным идентифицировать угрозу, оказался ESET, что свидетельствует о высокой степени скрытности вредоносного кода. Один из JAR-файлов, названный коннектором, выполнял роль основного инструмента для установки связи с сервером злоумышленника, используя для этого мессенджер Discord в качестве канала команд и управления.
После успешного внедрения в систему вредоносный код загружал и запускал второй JAR-файл - mineping.jar. Этот компонент, известный как специализированный инструмент для организации DDoS-атак, инициировал TCP flood - метод, при котором на целевой сервер отправляется огромное количество запросов с целью перегрузить его ресурсы и вызвать отказ в обслуживании. По данным Aqua Nautilus, mineping.jar содержал 12 отдельных файлов, каждый из которых был запрограммирован для выполнения определенных вредоносных действий, расширяя функциональность атаки и делая ее более разрушительной.
Особый интерес представляет личность злоумышленника, скрывающегося за ником Yawixooo. Исследователи обнаружили связь между этим псевдонимом и активным пользователем GitHub, чей публичный репозиторий включает конфигурационные файлы для сервера Minecraft, а также незавершенную HTML-страницу. Хотя прямых доказательств причастности этого аккаунта к атаке пока нет, совпадение идентификаторов и специфика используемого кода указывают на возможную связь.
Эксперты по кибербезопасности подчеркивают, что подобные атаки становятся возможными из-за халатного отношения к настройкам безопасности. Jupyter Notebook, несмотря на свою популярность, часто остается незащищенным, если администраторы пренебрегают рекомендациями по ограничению доступа и использованию надежных паролей. В случае с Panamorfi злоумышленник воспользовался именно такими уязвимостями, чтобы получить контроль над системами жертв.
Для защиты от подобных угроз специалисты рекомендуют регулярно обновлять ПО, использовать сложные пароли и двухфакторную аутентификацию, а также ограничивать доступ к Jupyter Notebook только доверенным IP-адресам. Кроме того, важно избегать загрузки и запуска подозрительных файлов, особенно если они получены из сомнительных источников. В случае обнаружения необычной активности на серверах или ноутбуках следует немедленно провести аудит безопасности и при необходимости обратиться к профессионалам для анализа инцидента.
Пока остается неизвестным, сколько именно систем пострадало от кампании Panamorfi, но исследователи не исключают, что атака может продолжиться, учитывая ее относительную успешность. В связи с этим пользователям Jupyter Notebook стоит проявить особую бдительность и проверить свои настройки на предмет возможных уязвимостей.
Индикаторы компрометации
MD5
- 42989a405c8d7c9cb68c323ae9a9a318