TokyoBlackHatNews

海外のセキュリティニュースをお届けします

infosecurity-magazine-com

ShadowV2ボットネットがDDoS-as-a-serviceプラットフォームの台頭を露呈

Byt0ddycat

9月 25, 2025 #.NET malware, #African Cybercrime, #AI Cloud Security, #AI-powered botnets, #API security, #Azure DevOps Server, #DDoS-as-a-Service, #Docker, #GitHub CodeSpaces, #ShadowV2

従来型マルウェアと最新のDevOpsツールを組み合わせた新たなキャンペーンが、サイバーセキュリティアナリストによって観測されました。

Darktraceによって発見されたShadowV2 DDoSオペレーションは、GitHub CodeSpaces上にホストされたコマンド&コントロールフレームワーク、初期アクセスのためにマルチステージのDockerデプロイメントを行うPythonスプレッダー、コマンドを受信するためにRESTful APIに登録・ポーリングするGo製リモートアクセス型トロイの木馬を利用しています。

初期アクセスとデプロイメント

初期侵害は、GitHub CodeSpaces上で実行されるPythonスクリプトから始まり、User-Agent: docker-sdk-python/7.1.0やX-Meta-Source-Client: github/codespacesといったヘッダーや、IPアドレス23.97.62[.]139からの外向き通信で識別されます。

攻撃者はAWS EC2上で公開されているDockerデーモンを標的とし、一時的なセットアップコンテナを起動してツールをインストールし、そのコンテナのイメージを作成した後、環境変数を介してマルウェアを渡したライブインスタンスをデプロイします。この被害者上でのビルド方式は、フォレンジックアーティファクトを減少させる可能性があります。

「この調査は、専門化が拡散を凌駕する成熟した犯罪市場を示しています」と認証局Sectigoのシニアフェロー、ジェイソン・ソロコ氏は述べています。「DDoSのみに集中し、キャパシティへのアクセスを販売することで、運用リスクを減らし、ツールを簡素化し、支払う顧客とインセンティブを一致させています。」

マルウェアの挙動と攻撃手法

稼働を開始すると、GoバイナリはMASTER_ADDRとVPS_NAMEを使って本部に連絡し、ユニークなVPS_IDを生成、その後2つのループを維持します:毎秒ハートビートを送信し、5秒ごとにコマンドをポーリングします。

研究者はインプラントをエミュレートし、HTTP2ラピッドリセットや高スレッドHTTPフラッドなどのコマンドを取得しました。例えば、アムステルダムにホストされたターゲットに対する120スレッドの攻撃です。

攻撃クライアントはValyalaのfasthttpライブラリを使用し、ランダムなクエリストリング、偽装されたフォワーディングヘッダー、バンドルされたChromeDPによるCloudflareアンダーアタックモードのバイパス、リクエストスループットを増幅するHTTP2ラピッドリセットモードなどのフラグをサポートしています。

Cloudflareバイパステクニックの詳細:CloudflareおよびPalo Alto NetworksがSalesloft Drift侵害で被害

「ShadowV2ボットネットは、サイバー犯罪がもはや副業ではなく産業であることを改めて示しています」とKeeper SecurityのCISO、シェーン・バーニー氏は述べています。「脅威アクターは分散型サービス妨害(DDoS)攻撃をビジネスサービスとして扱い、API、ダッシュボード、ユーザーインターフェースまで備えています。」

API、UI、プラットフォーム設計

このキャンペーンは、FastAPIとPydanticで実装されたOpenAPI仕様、完全なログインパネル、Tailwindで構築されたオペレーターUIを公開しています。

APIはマルチテナント機能、権限の区別、ゾンビシステムのリストを必要とする攻撃開始用エンドポイントを示しています。サイトには偽の押収通知が表示されていますが、ログイン画面では「高度な攻撃プラットフォーム」が依然として公開されています。主な特徴は以下の通りです:

  • CodeSpacesにホストされたPython C2

  • ホスト上でイメージをビルドするDockerベースのスプレッダー

  • RESTful登録とポーリングを行うGo RAT

  • HTTP2ラピッドリセットやUAMバイパスを含むDDoSオプション

Darktraceはこれを、正規のクラウドネイティブアプリを模倣した「サービスとしてのサイバー犯罪」と位置付けています。

「完全なユーザー機能を備えたDDoS-as-a-serviceパネルの存在は、防御側がこれらのキャンペーンを単なる個別ツールではなく、進化するプラットフォームとして捉える必要性をさらに強調しています」とサイバーセキュリティ企業は記しています。

「防御側にとって、その影響は重大です。効果的な防御には、コンテナ化環境への深い可視性、クラウドワークロードの継続的な監視、異常なAPI利用やコンテナオーケストレーションパターンを識別できる行動分析が必要です。」

翻訳元: https://www.infosecurity-magazine.com/news/shadowv-botnet-ddos-service/

By t0ddycat

Related Post

infosecurity-magazine-com

npmパッケージがQRコードステガノグラフィーを利用して認証情報を盗む

9月 25, 2025 t0ddycat
infosecurity-magazine-com

ラスベガスの大手ギャンブル企業がサイバーインシデント被害、従業員データが流出

9月 24, 2025 t0ddycat
infosecurity-magazine-com

国連総会を前に携帯基地局ハッキング機器を押収

9月 24, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

bleepingcomputer.com

Cisco、攻撃で悪用されているIOSのゼロデイ脆弱性について警告

2025年9月25日 t0ddycat
thehackernews.com

中国のハッカー集団RedNovember、PanteganaとCobalt Strikeを用いて世界各国政府を標的に

2025年9月25日 t0ddycat
cybersecuritydive-com

CISA、Shai-Huludによる侵害を受け依存関係のチェックを呼びかけ

2025年9月25日 t0ddycat
cybersecuritydive-com

英国当局、航空業界ベンダーへのサイバー攻撃に関連して男性を逮捕

2025年9月25日 t0ddycat