ShadowV2将DDoS攻击转变为云原生订阅服务

一种新型的ShadowV2僵尸网络活动正在将分布式拒绝服务攻击转变为成熟的租赁业务，将传统恶意软件与云原生部署相结合。

根据Darktrace在周二发布前与CSO分享的分析报告，该活动利用AWS上配置错误的Docker容器，并将其武器化为DDoS即服务。

ShadowV2的突出特点在于其专业化的设置，包括API接口、仪表板、操作员登录功能，甚至还有动画界面。

暴露的Docker成为入侵通道

Darktrace研究人员发现，ShadowV2通过AWS EC2上暴露的Docker API进入，将云原生配置错误转化为DDoS攻击的发射台。攻击者使用Python Docker SDK与暴露的Docker守护进程进行通信。

攻击者并非依赖预构建的恶意镜像，而是在受害者机器上直接构建容器。Darktrace研究人员认为，这种方法可能是为了减少导入恶意容器时留下的取证痕迹。

一旦入侵成功，恶意软件会部署基于Go语言的远程访问木马，通过每秒回连建立持久性，轮询操作员获取命令，并发动大规模的HTTP洪水攻击。攻击者还使用了HTTP/2快速重置和Cloudflare"受攻击模式"绕过等高级功能以最大化破坏效果。

从僵尸网络到商业平台

ShadowV2不仅仅是恶意软件，更是一个市场平台。Darktrace发现了一个使用Tailwind和FastAPI构建的完整操作界面，包含Swagger文档、管理员和用户权限层级、黑名单和模块化攻击选项。其设计模仿合法的SaaS平台，具有仪表板和动画功能，使发动DDoS攻击变得像点击"开始"一样简单。

配置错误的容器仍然是攻击者的主要目标，正如ECScape漏洞、暴露的Kubernetes API和Silentbob蠕虫攻击所显示的那样，这些案例都表明小小的疏忽可能使DevOps面临大规模攻击的风险。