Siber güvenlik araştırmacıları, müşterilerin ilgilenilen hedeflere karşı dağıtılmış hizmet reddi (DDOS) saldırıları yürütmek için erişim kiralayabilecekleri yeni bir botnet ayrıntılarını açıkladılar.
. Shadowv2 Botnet, DarkTrace’e göre, enfekte olmuş sistemleri saldırı düğümlerine dönüştüren ve daha büyük bir DDOS botnet’e dönüştüren Go tabanlı bir kötü amaçlı yazılım dağıtmak için ağırlıklı olarak Amazon Web Services (AWS) bulut sunucularındaki yanlış yapılandırılmış Docker kaplarını hedefler. Siber güvenlik şirketi, 24 Haziran 2025’te Honeypot’larını hedefleyen kötü amaçlı yazılımları tespit ettiğini söyledi.
Güvenlik Araştırmacısı Nathaniel Bill, Hacker News ile paylaşılan bir raporda, “Bu kampanyanın merkezinde GitHub kod alanlarında barındırılan Python tabanlı bir komut ve kontrol (C2) çerçevesi var.” Dedi.
“Bu kampanyayı birbirinden ayıran şey, saldırı araç setinin karmaşıklığıdır. Tehdit aktörleri, HTTP/2 hızlı sıfırlama, saldırı modu (UAM) bypass altında bir bulutflare ve büyük ölçekli HTTP selleri gibi ileri yöntemler kullanır ve dağıtılmış hizmet (DDOS) tekniklerini hedeflenen kullanma ile birleştirme yeteneği gösterir.”
Etkinlik, özellikle AWS EC2’de çalışanlar olan Docker Daemons’u ihlal etmek için Python tabanlı bir serpme modülü dahil etmek için dikkat çekicidir, GO tabanlı uzaktan erişim Truva (RAT), HTTP protokolünü kullanarak operatörleriyle komut yürütme ve iletişim sağlar. Shadowv2 yazarlar tarafından “gelişmiş bir saldırı platformu” olarak tanımlanmıştır.
Maruz kalan Docker örneklerini hedefleyen kampanyaların genellikle özel bir görüntüyü bırakmaya veya gerekli yükleri dağıtmak için Docker Hub’daki mevcut bir görüntüden yararlanmaya erişimi kullandığı bilinmektedir. Bununla birlikte, Shadowv2, önce bir Ubuntu görüntüsünden genel bir kurulum kabını ortaya çıkararak ve içine çeşitli araçlar yükleyerek biraz farklı bir yaklaşım benimser.
Daha sonra oluşturulan kabın bir görüntüsü, canlı bir kap olarak oluşturulur ve dağıtılır. Şu anda bu yöntemin neden saldırganlar tarafından seçildiği bilinmemektedir, ancak Darktrace, doğrudan kurban makinesinde gerçekleştirerek adli eserleri bırakmaktan kaçınmaya çalıştıklarını söyledi.
Konteyner, bir C2 sunucusu ile iletişim kuran GO tabanlı bir ELF ikili uygulamasının yolunu açar (“Shadow.aurozacloud[.]xyz “) periyodik olarak operatörlere bir kalp atışı mesajı göndermek ve yeni komutlar için sunucudaki bir bitiş noktasını anlatmak için.
Ayrıca, kullanıcılara sunulan JavaScript zorluğunu çözmek ve sonraki isteklerde kullanım için boşluk çerezini elde etmek için ChromedP aracını kullanarak geleneksel bir HTTP seli ve Sideste Saldırı Modunu Sideste Saldırı Modunu Sınırlama Modunu Almak için HTTP/2 hızlı sıfırlama saldırıları gerçekleştirme özelliklerini de içerir. Bununla birlikte, bu zorlukların başsız tarayıcı trafiğini engellemek için açıkça tasarlandığı göz önüne alındığında, bypass’ın çalışması olası değildir.
C2 altyapısının daha fazla analizi, sunucunun gerçek kökenlerini gizlemek için Cloudflare’nin arkasında barındırıldığını bulmuştur. Ayrıca fastapi ve pydantic’i kullanır ve bir giriş paneli ve operatör arayüzünü destekler, bu da aletin “DDOS için DDOS” hizmeti sunma fikriyle geliştirildiğini gösterir.
API uç noktaları, operatörlerin kullanıcıları eklemesine, güncellemesine veya silmesine, kullanıcıların yürütebileceği saldırı türünü yapılandırmasına, saldırının başlatılması gereken uç noktaların bir listesini sağlamasına ve bir sitelerin bir listesini hedeflenmesine izin verir.
Bill, “Kapsamlı bir API olan konteynerizasyondan yararlanarak ve tam bir kullanıcı arayüzü ile bu kampanya, hizmet olarak siber suçların sürekli gelişimini gösteriyor.” Dedi. “GO tabanlı bir sıçan aracılığıyla modüler işlevsellik sağlama ve operatör etkileşimi için yapılandırılmış bir API ortaya çıkarma yeteneği, bazı tehdit aktörlerinin ne kadar sofistike olduğunu vurgular.”
Açıklama, F5 Labs’ın bilinen güvenlik kusurları için internete maruz kalan sistemleri hedeflemek için Mozilla ile ilgili tarayıcı kullanıcı aracılarını kullanan bir web tarayıcı botnet tespit ettiğini söylediği gibi geliyor. Şimdiye kadar, Botnet’in taramaları için 11.690 farklı Mozilla kullanıcı ajanı dizesi kullandığı söyleniyor.
Cloudflare’nin, X’ta paylaşılan bir gönderiye göre, saniyede 22.2 terabit (TBPS) ve saniyede 10.6 milyar pakette (BPPS) zirve yapan hiper-hesetrik DDOS saldırılarını özerk bir şekilde engellediğini söylediği gibi geliyor. Bugüne kadar kaydedilen en büyük DDOS saldırısı sadece 40 saniye sürdü.
Bu ayın başlarında, web altyapı şirketi, saniyede 11.5 terabit (TBPS) ile zirve yapan ve sadece yaklaşık 35 saniye süren rekor kıran hacimsel dağıtılmış hizmet reddi (DDOS) saldırısını azalttığını açıkladı.
Çinli güvenlik firması Qianxin XLab, geçen hafta teknik bir raporda, Aisuru olarak bilinen botnet’in saldırıdan sorumlu olduğunu söyledi. Airashi’nin bir çeşidi olan, çoğu yönlendirici ve güvenlik kameraları olan yaklaşık 300.000 cihazı enfekte etti. Şirket başına Botnet, sırasıyla geliştirme, güvenlik açığı entegrasyonu ve satışlarla ilgilenen üç kişi – kar, Tom ve Forky – tarafından yönetilir.
Kötü amaçlı yazılımların son yinelemeleri, kaynak kod dizelerinin şifresini çözmek için değiştirilmiş bir RC4 algoritması, en düşük gecikme sunucusunu bulmak için hız testleri yapmak ve TCPDump, Wireshark ve VMware, qemu, KVM gibi sanallaştırma çerçevelerinin varlığını belirlemek için uzlaşmış cihazları kontrol etme adımlarını içerir.
XLab, “Aisuru Botnet, dünya çapında saldırılar başlattı ve birden fazla endüstriyi kapsadı.” “Birincil hedefleri Çin, ABD, Almanya, Birleşik Krallık ve Hong Kong gibi bölgelerde bulunuyor. Yeni örnekler sadece DDOS saldırılarını değil, aynı zamanda vekil işlevselliği de destekliyor. Küresel kolluk siber suçlar üzerindeki baskıyı arttırdıkça anonimleştirme hizmetleri talebi artıyor.”