Die aktulle ddos-for-hire-kampagne nutzt falsch konfiguririerte docker-container auf aws aus, um im kundenauftrag angriffe im großen stil vorzunehmen.
Laut Einer Darktrace-Analyse Nutzt Eine Shadowv2-Bot-Kampagne Falsch Konfiguririerte Docker-Container auf aws und rüstet Sie Für Ddos-As-A-Service-Angriffe auf.
Était Shadowv2 Dabei Besonders Macht, ist die Profrephelle Ausstattung MIT API, Tableaux de bord, Betreiber-Logins und Sogar Animierten Benutzeroberflächen. „Dies ist eine Weitere Erinnerung Daran, Dass Cyberkriminalität Kein Nebenjob Mehr ist, Sondern Eine Industrie”, Erklärt Shane Barney, Ciso Bei Keeper Security. „Diese Art der Industrialisierung Sollte für verteidiger ein weckruf sein“, so der Experi.
Offènes Docker-System Wird Zum Einfallstor
Wie die Forschenden von darktrace Herausfanden, dringt dass shadowv2 über exponierte docker-apis auf aws ec2 ein und nutzt fehlkonfigurationn in cloud-native-uggebungen als startrampe für ddos-attacken. Die angreifer Verwendeten Hierfür python docker sdk, um mit den offengelegten daemons-daemons zu kommunieren.
„Diese Kampagne Richtet Sich Gezielt Gegen Exponierte Docker-Daemons, Insbesondere Solche, Die Auf aws ec2 laufen”, Erklären die darktrace-forscher dans einem blogbeitrag. „Darktrace BetReibt Mehrere Honeypots über Verschiedene Cloud-Anbieter Hinweg und hat angriffe bislang nur gegen honeypots auf aws ec2 beobachtet. Zugriff Möglich ist.
Conteneur der Trojanische
Bei Ihren attaçait Verlassen Sich Die Hacker Dabei Nicht auf Vorgefertigte Schad-iMages, Sondern Erstellen Container Auf Dem Gerät des Opfers Selbst. Die Genauen Hintergründe für diesen Ansatz Sind Allerdings Noch Unklar. Die Forschenden Vermuten Aber, Dass Die Kriminellen So Versuchen Wollen, Forensische Spuren Durch Den Import Eines Schad-Containers Zu Reduzieren.
Einmal eindedrungen, setzt die malware einen go-basierten à distance à distance de Troie (rat) ein, der sich dauerhaft Etabliert, indem er Sekündliche anrufe tätigt, befehle bei seinen opérateur abfragt und http-flood-angriffe Vornimt.
Die angreifer nutzten zudem Fortgeschrittene funktionen wie http / 2 réinitialisation rapide und cloudflares «sous le mode d’attaque» -pypass ein, um für störungen zu sorgen, donc der Bericht.
Geargere Hürden Für Kriminelle
„DDOS-AS-A-SERVICE Senkt Die Eintritthürden Für Hacker”, Erklärt Kevin Lim, directeur principal de l’ingénierie de la sécurité (APAC) Bei Black Duck. Zudem ermögliche er es selbst Weniger Erfahrennen Akteuren, Mit Minimalem aufwand Groß Angelegte angriffe Zu Starten. „Falsch konfiguririerte docker-umbungen werden dabei immer ein hauptziel sein“, so der Expere.
Lim Rät Unternehmen Deshalb, Docker-Umbungen Zu Härten, Das Prinzip der Geringsteten Privilegien Durchzusetzen und Sicherheit Frühzeitig dans Die CI / CD-Pipeline Zu Integrrieren.
VOM BOTNET ZUR Business-Pattform
Shadowv2 Ist Aber Nicht Nur Eine Malware, Sondern Auch Ein Marktplatz. So Entdecke darktrace eine vollständige benutzeroberfläche, die mit tailwind und fastapi erstellt wurde, komplett mit swagger-dokuments, administrateur- und-privilege-tfen, Blacklists und modularen Agriffsoptionen. Das Design ähnelte dabei laut den experten légitime saas-plaattformren, table de bord mit sowie animationen, ddos-angriffe so einfach machen wie einen klick auf „start”.
Jason Soroko, camarade principal Bei Sectigo, Sieht meurt aussi Teil Eines Breiteren Kriminellen Trends, Bei Dem Spezialisierung Gegenüber Ausbreitung Siegt. „Das vorhandensein einer api und einer vollständigen benutzeroberfläche macht botnets zu einem problème, wodurch sich die erkennung von host-indekator auf das das verhalten der kontrollebene verlagert“, sowo.
„STATT ISORIETER KAMPAGNEN SEHEN SICH VERTEIDIGER NUN MIT Produkten Konfrontier, Die über Road Maps, Funktionserweiterungen und Kunden-Support-Modelle Verfügen”, Fügt er Hinzu. Diese einschätzung teilen auch die experten von darktrace und ergänzten, dass ein mehrschichtiger ansatz erforderlich ist, um shadowv2 zu bekämpfen.
Dieser beinhalte Tiefe Einblicke dans Containerisierte Umgebungen Sowie Verhaltensanalysen, um anomalien in docker-apis und Der Container-Orchestrierungsaktivität Zu Erkennen. (TF / MB)
