La campagne DDOS-FOR-HIRE exploite les conteneurs Docker mal configurés sur AWS, en utilisant des environnements natifs du cloud pour les attaques industrielles.
Une nouvelle campagne Shadowv2 BOT transforme les attaques de déni de service distribué (DDOS) en une entreprise de location à part entière, mélangeant des logiciels malveillants à l’ancienne avec un déploiement natif du cloud.
Ce qui distingue Shadowv2, c’est sa configuration professionnelle, qui comprend des API, des tableaux de bord, des connexions de l’opérateur et même des interfaces animées.
« C’est un autre rappel que la cybercriminalité n’est plus une bousculade, mais une industrie », a déclaré Shane Barney, CISO chez Keeper Security. «Les acteurs de la menace traitent les attaques DDOS comme un service commercial, avec des API, des tableaux de bord et des interfaces utilisateur. Ce type d’industrialisation devrait être un réveil pour les défenseurs.»
Docker exposé devient la porte
Les chercheurs de Darktrace ont découvert que Shadowv2 entre via des API Docker exposées sur AWS EC2, transformant les erreurs de configuration native du cloud en un lancement de DDOS. Les attaquants ont utilisé le SDK Python Docker pour parler aux démons Docker exposés.
« Cette campagne cible les démons Docker exposés, en particulier ceux qui exécutent AWS EC2 », a noté des chercheurs de Darktrace dans un article de blog. «DarkTrace exécute un certain nombre de pots de miel sur plusieurs fournisseurs de cloud et n’a observé des attaques que contre les pots de miel fonctionnant sur AWS EC2. Par défaut, Docker n’est pas accessible à Internet; cependant, peut être configuré pour permettre un accès externe.»
Au lieu de s’appuyer sur des images malveillantes préconduées, les attaquants construisent des conteneurs sur la machine de la victime elle-même. La justification exacte de l’approche n’est pas claire, bien que les chercheurs Darktrace suggèrent que cela pourrait avoir été un moyen de réduire les traces médico-légales de l’importation d’un récipient malveillant.
Une fois à l’intérieur, le malware déploie un rat basé sur GO qui établit de la persistance en téléphonant à la maison chaque seconde, interrogeant ses opérateurs pour les commandes et en faisant tourner des attaques d’inondation HTTP massives. Les attaquants ont également été vus en utilisant des capacités avancées comme HTTP / 2 Rapid Reset et le contournement «Under Attack» de Cloudflare pour une perturbation maximale.
Kevin Lim, directeur principal et responsable de l’ingénierie de la sécurité (APAC) à Black Duck, a expliqué: «DDOS-AS-A-SERVICE réduit la barrière d’entrée pour les pirates et permet aux acteurs même peu qualifiés de lancer des attaques à grande échelle avec un effort minimal. Les environnements Docker mal configurés seront toujours une cible principale.» Les organisations doivent durcir les environnements Docker, appliquer le moins de privilèges et intégrer la sécurité plus tôt dans le pipeline CI / CD, a-t-il ajouté.
Du botnet à la plate-forme commerciale
Shadowv2 n’est pas seulement des logiciels malveillants, c’est un marché. DarkTrace a découvert une interface d’opérateur complète construite avec le vent arrière et Fastapi, avec une documentation de fanfaronnade, des niveaux de privilège d’administration et d’utilisateur, des listes noires et des options d’attaque modulaire. La conception reflète des plates-formes SaaS légitimes, avec des tableaux de bord et des animations qui facilitent les DDO que de cliquer sur «Démarrer».
Jason Soroko, chercheur principal à Sectigo, le voit comme faisant partie d’une tendance criminelle plus large. « Cette recherche indique un marché criminel en maturité où la spécialisation bat l’étalement. La présence d’une API et d’une interface utilisateur complète transforme le botnet en un problème, ce qui déplace la détection des indicateurs de l’hôte vers des comportements du plan du plan », a déclaré Soroko.
Plutôt que des campagnes isolées, les défenseurs sont désormais confrontés à des produits avec des feuilles de route, des améliorations de fonctionnalités et des modèles de support client, a ajouté Soroko. Les chercheurs de Darktrace ont fait écho aux préoccupations de Soroko, ajoutant que la lutte contre Shadowv2 aurait besoin d’une approche en couches, notamment une visibilité profonde dans les environnements conteneurisés et l’analyse comportementale pour signaler les anomalies dans les API Docker et l’activité d’orchestration des conteneurs.
Les conteneurs mal configurés restent une cible incontournable, comme on le voit dans la faille ECScape, les API de Kubernetes exposées et l’attaque de ver silentbob, tous montrant comment les petites surveillants peuvent exposer DevOps aux attaques à grande échelle.
