ShadowV2がDDoSをクラウドネイティブなサブスクリプションサービスに変える

新たなShadowV2ボットキャンペーンは、分散型サービス拒否（DDoS）攻撃を本格的なレンタルビジネスへと変貌させ、従来型マルウェアとクラウドネイティブなデプロイメントを融合させている。

火曜日に公開予定のDarktraceの分析によると、このキャンペーンはAWS上の誤設定されたDockerコンテナを悪用し、DDoS-as-a-serviceとして武器化しているという。

ShadowV2が際立っているのは、API、ダッシュボード、オペレーター用ログイン、さらにはアニメーション付きインターフェースまで備えたプロフェッショナルな構成だ。

「これはサイバー犯罪がもはや副業ではなく、産業であることを改めて示しています」とKeeper SecurityのCISO、Shane Barney氏は述べている。「脅威アクターはDDoS攻撃をビジネスサービスとして扱い、APIやダッシュボード、ユーザーインターフェースまで用意しています。このような産業化はディフェンダーにとって警鐘となるべきです。」

公開されたDockerが侵入口に

攻撃者は事前に用意した悪意のあるイメージを使うのではなく、被害者のマシン上でコンテナを構築している。この手法の正確な理由は不明だが、Darktraceの研究者は、悪意のあるコンテナをインポートする際のフォレンジック痕跡を減らすための可能性があると指摘している。

侵入後、マルウェアはGoベースのRATを展開し、毎秒本部に通信してコマンドを取得し、巨大なHTTPフラッド攻撃を実行することで永続化を確立する。攻撃者はさらに、HTTP/2ラピッドリセットやCloudflareの「アンダーアタックモード」回避など、高度な機能も利用していた。

Black Duckのシニアディレクター兼セキュリティエンジニアリング責任者（APAC）、Kevin Lim氏は「DDoS-as-a-serviceはハッカーの参入障壁を下げ、スキルの低い攻撃者でも最小限の労力で大規模攻撃を仕掛けられるようにします。誤設定されたDocker環境は常に主要な標的となるでしょう」と説明する。組織はDocker環境を強化し、最小権限を徹底し、CI/CDパイプラインの早い段階でセキュリティを統合すべきだと付け加えた。

ボットネットからビジネスプラットフォームへ

Soroko氏は、もはや単発のキャンペーンではなく、ロードマップや機能アップグレード、カスタマーサポートモデルを備えた製品にディフェンダーが直面していると付け加えた。Darktraceの研究者もSoroko氏の懸念に同意し、ShadowV2に対抗するには、コンテナ化環境への深い可視性や、Docker APIやコンテナオーケストレーションの異常を検知するための行動分析など、多層的なアプローチが必要だと述べている。

誤設定されたコンテナは依然として主要な標的であり、ECScape脆弱性、公開されたKubernetes API、Silentbobワーム攻撃など、ちょっとした見落としがDevOpsを大規模攻撃にさらすことを示している。