24 июня 2025 года компания по кибербезопасности Darktrace зафиксировала активность нового ботнета, получившего название ShadowV2. Его основной целью являются неправильно сконфигурированные контейнеры Docker на облачных серверах Amazon Web Services (AWS). По данным исследователя Натаниэля Билла, которыми он поделился с изданием The Hacker News, ботнет функционирует как коммерческая платформа DDoS-атак по найму, сдавая свои мощности в аренду заказчикам.
Злоумышленники, стоящие за ShadowV2, сами называют свое детище «продвинутой платформой для атак». В арсенал ботнета входят современные методы, включая атаки HTTP/2 Rapid Reset, крупномасштабные HTTP-флуды и механизм обхода режима «Under Attack Mode» от Cloudflare. Командный центр (C2) управления написан на языке Python и размещен на платформе GitHub Codespaces, что усложняет его обнаружение и блокировку.
Процесс заражения и развертывания ботнета отличается нетипичной скрытностью. Сначала модуль-распространитель на Python проникает в уязвимые Docker-демоны, преимущественно на инстансах AWS EC2. Вместо немедленного запуска вредоносного контейнера, он создает временный контейнер из стандартного образа Ubuntu. Внутри этого контейнера устанавливаются все необходимые инструменты, после чего на его основе создается новый кастомный образ, который и развертывается как боевой узел ботнета. Аналитики Darktrace предполагают, что такая многоступенчатая схема используется для минимизации криминалистических следов на хост-машине жертвы.
Внутри активного контейнера запускается исполняемый ELF-файл, написанный на языке Go, который представляет собой троян удаленного доступа (RAT). Этот вредоносный компонент устанавливает связь с командным сервером по адресу
Инфраструктура ShadowV2 построена как полноценный коммерческий сервис. Командный сервер, скрытый за Cloudflare, использует фреймворки FastAPI и Pydantic. Он оснащен панелью входа для операторов и полнофункциональным интерфейсом, который позволяет управлять пользователями, добавлять и удалять их, настраивать доступные типы атак, а также вести списки целевых и исключенных из атак сайтов. Это свидетельствует о продолжающейся профессионализации рынка «киберпреступности как услуги».
Появление ShadowV2 происходит на фоне общей высокой активности ботнетов. По данным F5 Labs, в сети действует ботнет, который непрерывно сканирует интернет-ресурсы на предмет известных уязвимостей. Для маскировки своей деятельности он использовал 11 690 различных строк User-Agent, имитирующих браузеры семейства Mozilla.
Одновременно с этим компания Cloudflare сообщила о недавнем отражении двух рекордных DDoS-атак. Крупнейшая из них достигла пиковой мощности 22,2 терабита в секунду (Tbps) и 10,6 миллиарда пакетов в секунду (Bpps), продлившись всего 40 секунд. Другая атака, зафиксированная ранее в этом месяце, имела пиковую мощность 11,5 Tbps и продолжалась около 35 секунд.
Китайская фирма по кибербезопасности QiAnXin XLab установила, что за этими гипермасштабными атаками стоит ботнет AISURU. Он является вариантом более старого ботнета AIRASHI и, по оценкам, включает в себя почти 300 000 зараженных устройств, в основном маршрутизаторов и камер видеонаблюдения.
Управление ботнетом AISURU распределено между тремя операторами: «Snow» отвечает за разработку, «Tom» — за интеграцию новых уязвимостей, а «Forky» — за продажи. Вредоносное ПО использует модифицированный алгоритм шифрования RC4 для сокрытия своих строк, проводит тесты скорости для подключения к C2-серверу с наименьшей задержкой и проверяет зараженные устройства на наличие инструментов сетевого анализа (tcpdump, Wireshark) и систем виртуализации (VMware, QEMU, VirtualBox, KVM), чтобы избежать обнаружения.
География атак AISURU охватывает множество отраслей в Китае, США, Германии, Великобритании и Гонконге. Последние версии ботнета демонстрируют эволюцию его бизнес-модели: помимо DDoS-атак, они начали поддерживать функциональность прокси-серверов, удовлетворяя растущий спрос на услуги анонимизации в сети.
Изображение носит иллюстративный характер
Злоумышленники, стоящие за ShadowV2, сами называют свое детище «продвинутой платформой для атак». В арсенал ботнета входят современные методы, включая атаки HTTP/2 Rapid Reset, крупномасштабные HTTP-флуды и механизм обхода режима «Under Attack Mode» от Cloudflare. Командный центр (C2) управления написан на языке Python и размещен на платформе GitHub Codespaces, что усложняет его обнаружение и блокировку.
Процесс заражения и развертывания ботнета отличается нетипичной скрытностью. Сначала модуль-распространитель на Python проникает в уязвимые Docker-демоны, преимущественно на инстансах AWS EC2. Вместо немедленного запуска вредоносного контейнера, он создает временный контейнер из стандартного образа Ubuntu. Внутри этого контейнера устанавливаются все необходимые инструменты, после чего на его основе создается новый кастомный образ, который и развертывается как боевой узел ботнета. Аналитики Darktrace предполагают, что такая многоступенчатая схема используется для минимизации криминалистических следов на хост-машине жертвы.
Внутри активного контейнера запускается исполняемый ELF-файл, написанный на языке Go, который представляет собой троян удаленного доступа (RAT). Этот вредоносный компонент устанавливает связь с командным сервером по адресу
shadow.aurozacloud[.]xyz, отправляя периодические сигналы о своей активности и ожидая команд для атаки. Для обхода защиты Cloudflare используется инструмент ChromeDP, который пытается решить JavaScript-задачи и получить разрешающий cookie-файл. Однако отмечается, что этот метод вряд ли будет эффективен против современных систем защиты, способных блокировать безголовые браузеры. Инфраструктура ShadowV2 построена как полноценный коммерческий сервис. Командный сервер, скрытый за Cloudflare, использует фреймворки FastAPI и Pydantic. Он оснащен панелью входа для операторов и полнофункциональным интерфейсом, который позволяет управлять пользователями, добавлять и удалять их, настраивать доступные типы атак, а также вести списки целевых и исключенных из атак сайтов. Это свидетельствует о продолжающейся профессионализации рынка «киберпреступности как услуги».
Появление ShadowV2 происходит на фоне общей высокой активности ботнетов. По данным F5 Labs, в сети действует ботнет, который непрерывно сканирует интернет-ресурсы на предмет известных уязвимостей. Для маскировки своей деятельности он использовал 11 690 различных строк User-Agent, имитирующих браузеры семейства Mozilla.
Одновременно с этим компания Cloudflare сообщила о недавнем отражении двух рекордных DDoS-атак. Крупнейшая из них достигла пиковой мощности 22,2 терабита в секунду (Tbps) и 10,6 миллиарда пакетов в секунду (Bpps), продлившись всего 40 секунд. Другая атака, зафиксированная ранее в этом месяце, имела пиковую мощность 11,5 Tbps и продолжалась около 35 секунд.
Китайская фирма по кибербезопасности QiAnXin XLab установила, что за этими гипермасштабными атаками стоит ботнет AISURU. Он является вариантом более старого ботнета AIRASHI и, по оценкам, включает в себя почти 300 000 зараженных устройств, в основном маршрутизаторов и камер видеонаблюдения.
Управление ботнетом AISURU распределено между тремя операторами: «Snow» отвечает за разработку, «Tom» — за интеграцию новых уязвимостей, а «Forky» — за продажи. Вредоносное ПО использует модифицированный алгоритм шифрования RC4 для сокрытия своих строк, проводит тесты скорости для подключения к C2-серверу с наименьшей задержкой и проверяет зараженные устройства на наличие инструментов сетевого анализа (tcpdump, Wireshark) и систем виртуализации (VMware, QEMU, VirtualBox, KVM), чтобы избежать обнаружения.
География атак AISURU охватывает множество отраслей в Китае, США, Германии, Великобритании и Гонконге. Последние версии ботнета демонстрируют эволюцию его бизнес-модели: помимо DDoS-атак, они начали поддерживать функциональность прокси-серверов, удовлетворяя растущий спрос на услуги анонимизации в сети.
