新たに発見された分散型サービス妨害(DDoS)ボットネットが、設定ミスのあるDockerコンテナを感染対象とし、顧客自身が攻撃を実行できる新しいサービスモデルを提供しているとDarktraceが報告しています。
このオペレーションはShadowV2と名付けられており、GitHub CodeSpaces上にホストされたPythonベースのコマンド&コントロール(C&C)プラットフォームと、従来型マルウェアと最新のDevOps技術を組み合わせた高度な攻撃ツールキットを用いることで、従来のDDoSサービスモデルを打ち破っています。
感染の連鎖は、GitHub CodeSpaces上にホストされたPythonスクリプトから始まり、攻撃者がDockerとやり取りしてコンテナを作成できるようにします。攻撃者は、インターネットからアクセス可能なAWSクラウドインスタンス上で稼働するDockerデーモンを標的としています。
攻撃者はDocker Hubからイメージを使用したり、事前に用意したイメージをアップロードしたりする代わりに、汎用的な「setup」コンテナを起動します。その後、さまざまなツールを内部に展開し、カスタマイズされたコンテナの新しいイメージを作成して、ライブコンテナとしてデプロイします。
Darktraceによると、このコンテナはGoベースのバイナリのラッパーとして機能しており、このバイナリはVirusTotalで検出されていません。2つのバージョンがそれぞれ6月25日と7月30日に提出されています。
マルウェアの解析により、ValyalaのオープンソースFast HTTPライブラリを使用して高性能なHTTPリクエストを行う設定可能なHTTPクライアントを複数のスレッドで実行していることが判明しました。マルウェアはこれらのクライアントを使ってHTTPフラッド攻撃を実行します。
この脅威には、HTTP2ラピッドリセット、ランダムなIPアドレスを持つ偽造転送ヘッダー、Cloudflareのアンダーアタックモード(UAM)など、複数のバイパスメカニズムも含まれています。
マルウェアのC&CサーバーはCloudflareによって保護されていますが、セキュリティ企業はGitHub CodeSpaces上で稼働している可能性が高いと考えています。設定ミスにより、DarktraceはサーバーのAPIドキュメントのコピーを入手し、すべてのAPIエンドポイントを明らかにしました。
広告。スクロールして記事を読み続けてください。
認証、異なるアカウント権限レベル、利用可能な攻撃タイプの制限を備えたユーザーAPIにより、サイバーセキュリティ企業はShadowV2が従来のDDoSボットネットではなく、DDoS-as-a-serviceプラットフォームとして運用されていると結論付けました。
「ボットネット運営者自身が攻撃を仕掛けるのではなく、感染ネットワークへのアクセスを顧客に貸し出し、顧客が自らDDoSキャンペーンを実行できるプラットフォームを構築しています」とDarktraceは説明しています。
この仮説は、攻撃を開始するためのエンドポイントが、攻撃に使用する感染システムのリストをユーザーに提供させる点でも裏付けられています。さらに、C&Cには攻撃できないホストを定義できるエンドポイントも存在します。
「APIと完全なUIの存在により、ボットネットはプラットフォームへと進化し、検知はホストインジケーターから、異常なDocker APIコール、スクリプト化されたコンテナライフサイクルイベント、エフェメラルノードからの反復的な外向き通信といったコントロールプレーンの挙動へとシフトします。防御側はこれを単発のキャンペーンではなく、モジュール式のアップグレードや正規クラウドサービスの悪用、新しいテナンシーモデルなどを備えた製品として捉え、注意を払うべきです」とSectigoのシニアフェロー、ジェイソン・ソロコ氏は述べています。
関連記事: Cloudflare、記録的な11.5TbpsのDDoS攻撃を阻止
関連記事: 公開されたDocker APIがボットネット構築に悪用された可能性
関連記事: Google、1,000万台規模のBadbox 2.0ボットネット運営者を提訴
関連記事: ウクライナでサイバー戦争が激化、影響は水面下に
翻訳元: https://www.securityweek.com/shadowv2-ddos-service-lets-customers-self-manage-attacks/