Meşru AWS altyapısını, konteynerizasyon ve dağıtılmış hizmet reddi yeteneklerinin yenilikçi bir kombinasyonu yoluyla silahlandırılmış saldırı platformlarına dönüştüren sofistike bir siber suç kampanyası ortaya çıktı.
Shadowv2 botnet, siber tehditlerde önemli bir evrimi temsil eder ve büyük ölçekli DDoS işlemleri için kalıcı dayanaklar oluşturmak için Amazon Web Services EC2 örneklerinde maruz kalan Docker daemons’dan yararlanır.
Bu kampanya, hem tasarım hem de işlevsellikte meşru bulut yerli uygulamaları yansıtan profesyonel, hizmet odaklı siber suç altyapısına endişe verici bir değişim gösteriyor.
Saldırı, GitHub kod alanlarından faaliyet gösteren tehdit aktörleriyle başlar ve yanlış yapılandırılmış Docker kurulumlarını taramak ve kullanmak için Python tabanlı bir komut ve kontrol çerçevesi kullanır.
Önceden inşa edilmiş kötü niyetli kaplara dayanan geleneksel botnet işlemlerinden farklı olarak, Shadowv2, doğrudan kurban makinelerinde özel kapsayıcı ortamlar oluşturan benzersiz bir çok aşamalı dağıtım süreci kullanır.
Kötü amaçlı yazılım, meşru görünen ağ trafiği yoluyla tespitten kaçınırken kalıcı bağlantı sağlayan gelişmiş yoklama ve kalp atışı mekanizmaları uygulayarak, dinlendirici bir API mimarisi aracılığıyla operatörleriyle iletişim kurar.
Darktrace analistleri, rutin balkon izleme sırasında kötü amaçlı yazılımları tanımladı ve kampanyanın özellikle açık docker daemons çalıştıran AWS EC2 örneklerini hedeflediğini keşfetti.
.webp)
Araştırmacılar, HTTP/2 hızlı sıfırlama saldırıları, CloudFlare alt saldırı mod bypass ve büyük ölçekli HTTP sel kampanyaları gibi gelişmiş saldırı tekniklerini kullanan tehdit aktörlerini gözlemlediler.
Bu özellikler, tamamen operasyonel bir kullanıcı arayüzü ve OpenAPI spesifikasyonu ile birleştiğinde, ShadowV2’nin geleneksel bir botnet yerine kapsamlı bir DDOS platformu olarak işlev gördüğünü gösterir ve ödeme yapan müşterilere hedeflenen altyapıya karşı gelişmiş dağıtılmış saldırılar başlatma yeteneği sunar.
.webp)
Kötü amaçlı yazılım mimarisi, tüm operasyon, kullanıcı kimlik doğrulaması, ayrıcalık yönetimi ve abonelik katmanlarına dayanan saldırı sınırlamalarını içeren modüler, hizmet odaklı bir yaklaşım etrafında tasarlanmış bir profesyonellik seviyesini ortaya koymaktadır.
Bu evrim, kötü niyetli altyapının kullanıcı deneyimi, güvenilirliği ve özellik bütünlüğü açısından giderek daha fazla hizmet olarak yazılım tekliflerine benzediği siber suç ekonomisinde temel bir değişimi temsil etmektedir.
Teknik enfeksiyon ve dağıtım mekanizması
Shadowv2 Botnet, onu geleneksel Docker tabanlı kötü amaçlı yazılım kampanyalarından ayıran sofistike üç aşamalı bir dağıtım süreci kullanır.
İlk uzlaşma, GitHub kod alanlarında barındırılan Python komut dosyaları aracılığıyla gerçekleşir ve farklı HTTP başlıkları aracılığıyla tanımlanabilir User-Agent: docker-sdk-python/7.1.0 Ve X-Meta-Source-Client: github/codespaces.
Bu göstergeler, saldırganların Docker Daemon API’leri ile programlı etkileşimin hedef sistemlerde kapsayıcı ortamlar oluşturmak ve yönetmesini sağlayan Python Docker SDK kütüphanesini kullanımını ortaya koymaktadır.
.webp)
Saldırı metodolojisi tipik Docker sömürü modellerinden önemli ölçüde sapmaktadır. Önceden inşa edilmiş kötü amaçlı görüntüleri Docker Hub’dan dağıtmak veya özel kapları yüklemek yerine, kötü amaçlı yazılım önce genel bir Ubuntu tabanlı kurulum kapsayıcısını ortaya çıkarır ve içine gerekli araçları dinamik olarak yükler.
Bu kap daha sonra yeni bir görüntü olarak işlenir ve çevresel değişkenlerden geçirilen kötü amaçlı yazılım argümanlarına sahip canlı bir kap olarak dağıtılır. MASTER_ADDR Ve VPS_NAME tanımlayıcılar.
Kapsayıcı yük yükü, /app/deployment Bu, komut ve kontrol altyapısı ile sağlam bir iletişim protokolünü uygular.
Yürütme üzerine, kötü amaçlı yazılım benzersiz bir VPS_ID sağlananları birleştirerek VPS_NAME Mevcut UNIX zaman damgası ile, her tehlikeye atılan sistem için farklı bir tanımlama sağlar.
Bu tanımlayıcı, komut yönlendirmesini kolaylaştırır ve kötü amaçlı yazılım yeniden başlatma veya yeniden yapılanma arasında bile oturum sürekliliğini korur.
İkili, iki kalıcı iletişim döngüsü oluşturur: VPS_ID ile hxxps://shadow.aurozacloud[.]xyz/api/vps/heartbeat Post istekleri ve sorgulayan bir komut yoklama sistemi yoluyla her saniye hxxps://shadow.aurozacloud[.]xyz/api/vps/poll/ Get istekleri yoluyla her beş saniyede bir.
Bu çift kanallı yaklaşım, hem saldırganlar için operasyonel görünürlüğü hem de tehlike altyapısına güvenilir komut teslimatını sağlarken, ağ tabanlı algılama mekanizmalarından kaçınabilecek meşru API trafiğinin görünümünü korur.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
