Aqua Securityは8月2日(米国時間)、「Panamorfi: A New Discord DDoS Campaign」において、Minecraft分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)ツールのminepingを用いる新しいサイバー攻撃のキャンペーン「Panamorfi」を発見したと報じた。このキャンペーンではインターネットに公開されているJupyter Notebookを悪用することが確認されている。

  • Panamorfi: A New Discord DDoS Campaign

    Panamorfi: A New Discord DDoS Campaign

侵害経路

Jupyter Notebookは複数のプログラミング言語をサポートする無料のWebアプリケーション。デフォルトではローカル(localhost)からのアクセスのみ可能だが、外部からのアクセスを許可した環境などが標的となる。

キャンペーンは脅威アクター「yawixooo」により実施されたとみられている。脅威アクターはJupyter Notebookへのアクセスを確保すると標的の環境にZipファイルを展開する。Zipファイルには2つのJava Archiveファイル「conn.jar」および「mineping.jar」が含まれる。Aqua Securityによると、これらファイルはESETを除く主要なセキュリティソリューションから検出されないという。

  • ESETのみ攻撃ツールを検出 - 引用:Aqua Security

    ESETのみ攻撃ツールを検出 引用:Aqua Security

conn.jarには脅威アクターのDiscordに接続して攻撃を制御する機能があるという。mineping.jarはGitHubから入手可能なMinecraft分散型サービス拒否攻撃ツールとされる。

対策

サイバー攻撃キャンペーン「Panamorfi」では、不正に利用できるJupyter Notebookを悪用して標的に分散型サービス拒否攻撃を実施する。そのため、Jupyter Notebookの利用者は設定を見直し、インターネットからのアクセスを禁止するか、適切なアクセス制限を実施することが推奨されている。