サイバーセキュリティ研究者は、顧客が標的に対して分散型サービス拒否(DDoS)攻撃を実行するためにアクセスをレンタルできる新しいボットネットの詳細を明らかにしました。
Darktraceによると、ShadowV2 ボットネットは主にAmazon Web Services(AWS)クラウドサーバー上の誤設定されたDockerコンテナを標的とし、感染したシステムを攻撃ノードに変え、より大規模なDDoSボットネットに組み込むGoベースのマルウェアを展開します。サイバーセキュリティ企業は、2025年6月24日に自社のハニーポットを標的としたこのマルウェアを検知したと述べています。
「このキャンペーンの中心には、GitHub Codespaces上にホストされたPythonベースのコマンド&コントロール(C2)フレームワークがあります」と、セキュリティ研究者のNathaniel BillはレポートでThe Hacker Newsに共有しました。
「このキャンペーンを際立たせているのは、攻撃ツールキットの高度な洗練性です。脅威アクターは、HTTP/2 Rapid Reset、Cloudflareのアンダーアタックモード(UAM)のバイパス、大規模なHTTPフラッドなどの高度な手法を用いており、分散型サービス拒否(DDoS)技術と標的型エクスプロイトを組み合わせる能力を示しています。」
この活動は、主にAWS EC2上で稼働するDockerデーモンを侵害するためのPythonベースのスプレッダーモジュールを組み込んでいる点が注目されます。一方、Goベースのリモートアクセス型トロイの木馬(RAT)は、HTTPプロトコルを用いてコマンド実行やオペレーターとの通信を可能にします。ShadowV2は、作者によって「高度な攻撃プラットフォーム」と表現されています。
公開されたDockerインスタンスを標的とするキャンペーンは、通常、カスタムイメージを展開するか、Docker Hub上の既存イメージを利用して必要なペイロードをデプロイするためにアクセスを活用します。しかし、ShadowV2はやや異なるアプローチを取り、まずUbuntuイメージから汎用的なセットアップコンテナを起動し、さまざまなツールをインストールします。
作成されたコンテナのイメージはビルドされ、ライブコンテナとしてデプロイされます。なぜ攻撃者がこの方法を選択したのかは現時点では不明ですが、Darktraceは、被害者マシン上で直接実行することでフォレンジックアーティファクトを残さないようにしている可能性があると述べています。
このコンテナは、GoベースのELFバイナリの実行を可能にし、C2サーバー(”shadow.aurozacloud[.]xyz”)と通信を確立します。これにより、オペレーターへのハートビートメッセージの定期送信や、新しいコマンドを取得するためのサーバーエンドポイントへのポーリングが行われます。
また、従来のHTTPフラッドとは異なりHTTP/2 Rapid Reset攻撃を実行する機能や、ChromeDPツールを使ってユーザーに提示されるJavaScriptチャレンジを解決し、後続リクエストで利用するためのクリアランスクッキーを取得することでCloudflareのアンダーアタックモードを回避する機能も組み込まれています。ただし、これらのチャレンジは明示的にヘッドレスブラウザのトラフィックをブロックするよう設計されているため、このバイパスは機能しない可能性が高いです。
C2インフラのさらなる分析により、サーバーはCloudflareの背後にホストされており、実際の起源を隠していることが判明しました。また、FastAPIやPydanticを利用し、ログインパネルやオペレーターインターフェースも備えていることから、このツールが「DDoS代行サービス」として提供されることを想定して開発されていることが示唆されます。
APIエンドポイントは、オペレーターがユーザーの追加・更新・削除、ユーザーが実行できる攻撃タイプの設定、攻撃を開始するエンドポイントのリストの提供、標的から除外するサイトリストの指定などを可能にします。
「コンテナ化、広範なAPI、完全なユーザーインターフェースを活用することで、このキャンペーンはサイバー犯罪のサービス化(cybercrime-as-a-service)の進化を示しています」とBill氏は述べています。「GoベースのRATによるモジュール機能の提供や、オペレーターとのやり取りのための構造化APIの公開は、一部の脅威アクターがいかに高度であるかを浮き彫りにしています。」
この発表は、F5 LabsがMozilla関連のブラウザユーザーエージェントを使用してインターネットに公開されたシステムの既知のセキュリティ脆弱性を標的とするウェブスキャンボットネットを検知したと発表したタイミングでもあります。これまでに、このボットネットはスキャンに11,690種類のMozillaユーザーエージェント文字列を使用したとされています。
また、Cloudflareが本日Xで共有した投稿によると、Cloudflareはピーク時22.2テラビット毎秒(Tbps)、106億パケット毎秒(Bpps)に達した超大規模DDoS攻撃を自律的にブロックしたと発表しました。このDDoS攻撃は、これまで記録された中で最大規模であり、わずか40秒間だけ続きました。
今月初め、ウェブインフラ企業は、ピーク時11.5テラビット毎秒(Tbps)、約35秒間続いた記録的なボリューム型分散型サービス拒否(DDoS)攻撃を緩和したことを明らかにしました。
中国のセキュリティ企業QiAnXin XLabは先週の技術レポートで、AISURUとして知られるボットネットがこの攻撃の原因であると述べました。AIRASHIの亜種であり、約30万台のデバイス(そのほとんどがルーターやセキュリティカメラ)に感染しています。同社によれば、このボットネットはSnow、Tom、Forkyの3名によって管理されており、それぞれ開発、脆弱性統合、販売を担当しています。
マルウェアの最近のバージョンには、ソースコード文字列を復号するための修正版RC4アルゴリズム、最も低遅延なサーバーを見つけるための速度テスト、tcpdumpやWiresharkなどのネットワークユーティリティや、VMware、QEMU、VirtualBox、KVMなどの仮想化フレームワークの存在を確認するためのチェック機能が含まれています。
「AISURUボットネットは世界中で攻撃を展開しており、複数の業界にまたがっています」とXLabは指摘しています。「主な標的は中国、米国、ドイツ、英国、香港などの地域に位置しています。新しいサンプルはDDoS攻撃だけでなく、プロキシ機能もサポートしています。世界的な法執行機関によるサイバー犯罪への圧力が高まる中、匿名化サービスへの需要が増加しています。」
翻訳元: https://thehackernews.com/2025/09/shadowv2-botnet-exploits-misconfigured.html