网络安全研究人员披露了一个新型僵尸网络的细节,用户可以租用该网络来对目标发动分布式拒绝服务(DDoS)攻击。
据Darktrace称,ShadowV2僵尸网络主要针对亚马逊云服务(AWS)云服务器上配置错误的Docker容器,以部署一种基于Go语言的恶意软件,该软件会将受感染的系统变成攻击节点,并将它们纳入一个更大的分布式拒绝服务(DDoS)僵尸网络。这家网络安全公司表示,其于2025年6月24日检测到该恶意软件针对其蜜罐发起攻击。
“这次活动的核心是一个基于Python的命令与控制(C2)框架,托管在GitHub Codespaces上,”安全研究员纳撒尼尔·比尔在与《黑客新闻》分享的一份报告中表示。
“这场攻击活动的独特之处在于其攻击工具包的复杂性。威胁 actors 采用了先进的方法,如HTTP/2 快速重置、Cloudflare 攻击模式(UAM)绕过以及大规模 HTTP 泛洪,这表明他们有能力将分布式拒绝服务(DDoS)技术与针对性利用相结合。”
该活动的显著之处在于其整合了一个基于Python的传播模块,用于入侵Docker守护进程,主要是那些运行在AWS EC2上的守护进程,而基于Go语言的远程访问特洛伊木马(RAT)则能够执行命令,并通过HTTP协议与其操作者进行通信。ShadowV2被其开发者描述为一个“高级攻击平台”。
针对暴露的Docker实例的攻击活动通常会利用访问权限来植入自定义镜像,或者利用Docker Hub上的现有镜像来部署必要的有效载荷。然而,ShadowV2采用了一种略有不同的方法,它首先从Ubuntu镜像启动一个通用的设置容器,并在其中安装各种工具。
随后,一个已创建容器的镜像被构建并部署为运行中的容器。目前尚不清楚攻击者为何选择这种方法,不过Darktrace表示,他们有可能是想通过直接在受害者机器上实施攻击来避免留下任何取证痕迹。
该容器为基于Go语言的ELF二进制文件的执行铺平了道路,该文件与一个C2服务器(“shadow.aurozacloud[.]xyz”)建立通信,定期向操作者发送心跳消息,并轮询服务器上的一个端点以获取新命令。
它还集成了实施HTTP/2快速重置攻击的功能,而非传统的HTTP泛洪攻击,并且通过使用ChromeDP工具来解决向用户呈现的JavaScript挑战并获取验证Cookie以用于后续请求,从而规避Cloudflare的“攻击模式”。尽管如此,这种绕过方法不太可能奏效,因为这些挑战是专门设计用来拦截无头浏览器流量的。
对C2基础设施的进一步分析发现,该服务器托管在Cloudflare背后,以隐藏其真实来源。它还使用了FastAPI和Pydantic,并支持登录面板和操作员界面,这表明该工具的开发理念是提供“出租式DDoS”服务。
这些API端点允许操作员添加、更新或删除用户,配置这些用户可以执行的攻击类型,提供必须从其发起攻击的端点列表,并排除一系列网站使其不成为攻击目标。
“通过利用容器化技术、广泛的应用程序编程接口以及完整的用户界面,这次活动展示了‘网络犯罪即服务’的持续发展,”比尔说。“通过基于Go语言的远程访问工具提供模块化功能,并为操作者交互提供结构化的应用程序编程接口,这凸显了一些威胁行为者的 sophistication。”
这一披露发布之际,F5 Labs表示其检测到一个网络扫描僵尸网络,该网络利用与Mozilla相关的浏览器用户代理,针对暴露在互联网上的系统,寻找已知的安全漏洞。据称,到目前为止,该僵尸网络已使用11690个不同的Mozilla用户代理字符串进行扫描。
与此同时,Cloudflare在今日于X平台发布的一篇帖子中表示,其自主拦截了超大规模DDoS攻击,峰值分别达到22.2太比特每秒(Tbps)和106亿数据包每秒(Bpps)。这是迄今为止记录到的最大规模DDoS攻击,仅持续了40秒。
本月早些时候,这家网络基础设施公司透露,其成功缓解了一次创纪录的 volumetric 分布式拒绝服务(DDoS)攻击,该攻击峰值达到11.5太比特每秒(Tbps),持续时间仅约35秒。
中国安全公司奇安信X实验室在上周的一份技术报告中表示,名为AISURU的僵尸网络是此次攻击的幕后黑手。作为AIRASHI的一个变种,它已感染近30万台设备,其中大部分是路由器和安防摄像头。该公司称,这个僵尸网络由三人管理——Snow、Tom和Forky,他们分别负责开发、漏洞整合和销售工作。
该恶意软件的最新版本包含经过修改的RC4算法,用于解密源代码字符串,进行速度测试以找到延迟最低的服务器,还会采取步骤检查受感染设备,以确定是否存在tcpdump、Wireshark等网络工具,以及VMware、QEMU、VirtualBox和KVM等虚拟化框架。
“爱洲(AISURU)僵尸网络已在全球范围内发起攻击,涉及多个行业,”XLab指出。“其主要目标位于中国、美国、德国、英国和香港等地区。这些新样本不仅支持分布式拒绝服务(DDoS)攻击,还具备代理功能。随着全球执法部门加大对网络犯罪的打击力度,对匿名服务的需求正在上升。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
