ShadowV2-Botnetz nutzt AWS-Docker-Container für DDoS-Angriffe

LONDON (IT BOLTWISE) – Ein neues Botnetz namens ShadowV2 nutzt Schwachstellen in AWS-Docker-Containern, um DDoS-Angriffe durchzuführen. Diese Bedrohung zeigt die zunehmende Komplexität von Cyberangriffen und die Notwendigkeit verstärkter Sicherheitsmaßnahmen in Cloud-Umgebungen.

Cybersecurity-Experten haben Details zu einem neuen Botnetz veröffentlicht, das es Kunden ermöglicht, Zugang zu mieten, um verteilte Denial-of-Service (DDoS)-Angriffe gegen ausgewählte Ziele durchzuführen. Das ShadowV2-Botnetz zielt hauptsächlich auf falsch konfigurierte Docker-Container auf Amazon Web Services (AWS)-Cloud-Servern ab, um eine Go-basierte Malware zu installieren, die infizierte Systeme in Angriffsknoten verwandelt und sie in ein größeres DDoS-Botnetz integriert.

Im Zentrum dieser Kampagne steht ein Python-basiertes Command-and-Control (C2)-Framework, das auf GitHub Codespaces gehostet wird. Was diese Kampagne besonders macht, ist die Raffinesse ihres Angriffswerkzeugs. Die Bedrohungsakteure setzen fortschrittliche Methoden wie HTTP/2 Rapid Reset, einen Cloudflare-Unter-Angriff-Modus-Bypass und groß angelegte HTTP-Floods ein, um DDoS-Techniken mit gezielter Ausnutzung zu kombinieren.

Die Aktivität ist bemerkenswert, da sie ein Python-basiertes Verbreitungsmodul verwendet, um Docker-Daemons zu kompromittieren, hauptsächlich solche, die auf AWS EC2 laufen. Der Go-basierte Remote Access Trojan (RAT) ermöglicht die Ausführung von Befehlen und die Kommunikation mit seinen Betreibern über das HTTP-Protokoll. ShadowV2 wird von den Autoren als eine “fortschrittliche Angriffsplattform” beschrieben.

Kampagnen, die auf exponierte Docker-Instanzen abzielen, nutzen in der Regel den Zugriff, um entweder ein benutzerdefiniertes Image abzulegen oder ein vorhandenes Image auf Docker Hub zu verwenden, um die erforderlichen Payloads bereitzustellen. ShadowV2 verfolgt jedoch einen leicht anderen Ansatz, indem es zunächst einen generischen Setup-Container aus einem Ubuntu-Image erstellt und verschiedene Tools darin installiert.

Das erstellte Container-Image wird dann als Live-Container bereitgestellt. Es ist derzeit nicht bekannt, warum diese Methode von den Angreifern gewählt wurde, obwohl Darktrace vermutet, dass sie versuchen, forensische Artefakte zu vermeiden, indem sie es direkt auf der Opfermaschine durchführen.

Der Container ebnet den Weg für die Ausführung eines Go-basierten ELF-Binarys, das die Kommunikation mit einem C2-Server (“shadow.aurozacloud[.]xyz”) herstellt, um regelmäßig eine Herzschlagnachricht an die Betreiber zu senden und einen Endpunkt auf dem Server für neue Befehle abzufragen. Es enthält auch Funktionen, um HTTP/2 Rapid Reset-Angriffe durchzuführen, anstatt eines traditionellen HTTP-Floods, und den Cloudflare-Unter-Angriff-Modus zu umgehen, indem das ChromeDP-Tool verwendet wird, um die JavaScript-Herausforderung zu lösen und das Clearance-Cookie für nachfolgende Anfragen zu erhalten.

Die Analyse der C2-Infrastruktur hat ergeben, dass der Server hinter Cloudflare gehostet wird, um seine wahren Ursprünge zu verbergen. Es nutzt auch FastAPI und Pydantic und unterstützt ein Login-Panel und eine Betreiberoberfläche, was darauf hindeutet, dass das Tool mit der Idee entwickelt wird, einen “DDoS-for-Hire”-Service anzubieten.

Die API-Endpunkte ermöglichen es den Betreibern, Benutzer hinzuzufügen, zu aktualisieren oder zu löschen, die Art der Angriffe zu konfigurieren, die diese Benutzer ausführen können, eine Liste von Endpunkten bereitzustellen, von denen aus der Angriff gestartet werden muss, und eine Liste von Sites auszuschließen, die nicht angegriffen werden sollen.

Die Offenlegung erfolgt, während F5 Labs ein Web-Scanning-Botnetz entdeckt hat, das Mozilla-bezogene Browser-User-Agents verwendet, um internet-exponierte Systeme auf bekannte Sicherheitslücken zu scannen. Bisher soll das Botnetz 11.690 verschiedene Mozilla User-Agent-Strings für seine Scans verwendet haben.

Cloudflare hat autonom hyper-volumetrische DDoS-Angriffe blockiert, die Spitzenwerte von 22,2 Terabit pro Sekunde (Tbps) und 10,6 Milliarden Pakete pro Sekunde (Bpps) erreichten. Anfang dieses Monats hatte das Web-Infrastrukturunternehmen bekannt gegeben, dass es einen rekordverdächtigen volumetrischen DDoS-Angriff abgewehrt hatte, der Spitzenwerte von 11,5 Tbps erreichte und nur etwa 35 Sekunden dauerte.

Das Botnetz AISURU, eine Variante von AIRASHI, ist für den Angriff verantwortlich und hat fast 300.000 Geräte infiziert, von denen die meisten Router und Sicherheitskameras sind. Das Botnetz wird von drei Personen verwaltet – Snow, Tom und Forky –, die sich um Entwicklung, Schwachstellenintegration und Vertrieb kümmern.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 "Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player

30,50 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer

20,99 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku

36,99 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

169,00 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!