{"id":5055,"date":"2025-09-25T15:28:21","date_gmt":"2025-09-25T15:28:21","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5055"},"modified":"2025-09-25T15:28:21","modified_gmt":"2025-09-25T15:28:21","slug":"mit-shadowv2-wird-ddos-zu-einem-cloud-nativen-abo-dienst","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5055","title":{"rendered":"Mit ShadowV2 wird DDoS zu einem Cloud-nativen Abo-Dienst"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

DDoS-Attacken sind ein attraktives Auftragsmodell, wie eine aktuelle Analyse zeigt.<\/p>\n

Bogdan Pigulyak | shutterstock.com<\/p>\n<\/div>\n

Laut einer Darktrace-Analyse<\/a> nutzt eine ShadowV2-Bot-Kampagne falsch konfigurierte Docker-Container auf AWS und r\u00fcstet sie f\u00fcr DDoS-as-a-Service-Angriffe auf.<\/p>\n

Was ShadowV2 dabei besonders macht, ist die professionelle Ausstattung mit APIs, Dashboards, Betreiber-Logins und sogar animierten Benutzeroberfl\u00e4chen. \u201eDies ist eine weitere Erinnerung daran, dass Cyberkriminalit\u00e4t kein Nebenjob mehr ist, sondern eine Industrie\u201c, erkl\u00e4rt Shane Barney, CISO bei Keeper Security. \u201eDiese Art der Industrialisierung sollte f\u00fcr Verteidiger ein Weckruf sein\u201c, so der Experte.<\/p>\n

Offenes Docker-System wird zum Einfallstor<\/h2>\n

Wie die Forschenden von Darktrace herausfanden, dringt dass ShadowV2 \u00fcber exponierte Docker-APIs auf AWS EC2 ein und nutzt Fehlkonfigurationen in Cloud-Native-Umgebungen als Startrampe f\u00fcr DDoS-Attacken. Die Angreifer verwendeten hierf\u00fcr Python Docker SDK, um mit den offengelegten Docker-Daemons zu kommunizieren.<\/p>\n

\u201eDiese Kampagne richtet sich gezielt gegen exponierte Docker-Daemons, insbesondere solche, die auf AWS EC2 laufen\u201c, erkl\u00e4ren die Darktrace-Forscher in einem Blogbeitrag. \u201eDarktrace betreibt mehrere Honeypots \u00fcber verschiedene Cloud-Anbieter hinweg und hat Angriffe bislang nur gegen Honeypots auf AWS EC2 beobachtet. Sie erg\u00e4nzen, standardm\u00e4\u00dfig sei Docker nicht \u00fcber das Internet erreichbar, k\u00f6nne aber so konfiguriert werden, dass externer Zugriff m\u00f6glich ist.<\/p>\n

Der trojanische Container<\/h2>\n

Bei ihren Attacken verlassen sich die Hacker dabei nicht auf vorgefertigte Schad-Images, sondern erstellen Container auf dem Ger\u00e4t des Opfers selbst. Die genauen Hintergr\u00fcnde f\u00fcr diesen Ansatz sind allerdings noch unklar. Die Forschenden vermuten aber, dass die Kriminellen so versuchen wollen, forensische Spuren durch den Import eines Schad-Containers zu reduzieren.<\/p>\n

Einmal eingedrungen, setzt die Malware einen Go-basierten Remote Access Trojan (RAT) ein, der sich dauerhaft etabliert, indem er sek\u00fcndliche Anrufe t\u00e4tigt, Befehle bei seinen Operatoren abfragt und massive HTTP-Flood-Angriffe vornimmt.<\/p>\n

Die Angreifer nutzten zudem fortgeschrittene Funktionen wie HTTP\/2 Rapid Reset und Cloudflares \u201eUnder Attack Mode<\/a>\u201c-Bypass ein, um f\u00fcr St\u00f6rungen zu sorgen, so der Bericht.<\/p>\n

Geringere H\u00fcrden f\u00fcr Kriminelle<\/h2>\n

\u201eDDoS-as-a-Service senkt die Eintrittsh\u00fcrden f\u00fcr Hacker\u201c, erkl\u00e4rt Kevin Lim, Senior Director und Head of Security Engineering (APAC) bei Black Duck. Zudem erm\u00f6gliche er es selbst weniger erfahrenen Akteuren, mit minimalem Aufwand gro\u00df angelegte Angriffe zu starten. \u201eFalsch konfigurierte Docker-Umgebungen werden dabei immer ein Hauptziel sein\u201c, so der Experte.<\/p>\n

Lim r\u00e4t Unternehmen deshalb, Docker-Umgebungen zu h\u00e4rten, das Prinzip der geringsten Privilegien durchzusetzen und Sicherheit fr\u00fchzeitig in die CI\/CD-Pipeline zu integrieren.<\/p>\n

Vom Botnet zur Business-Plattform<\/h2>\n

ShadowV2 ist aber nicht nur eine Malware, sondern auch ein Marktplatz. So entdecke Darktrace eine vollst\u00e4ndige Benutzeroberfl\u00e4che, die mit Tailwind und FastAPI erstellt wurde, komplett mit Swagger-Dokumentation, Administrator- und User-Privilege-Stufen, Blacklists und modularen Angriffsoptionen. Das Design \u00e4hnelte dabei laut den Experten legitime SaaS-Plattformen, mit Dashboards sowie Animationen, die DDoS-Angriffe so einfach machen wie einen Klick auf \u201eStart\u201c.<\/p>\n

Jason Soroko, Senior Fellow bei Sectigo, sieht dies als Teil eines breiteren kriminellen Trends, bei dem Spezialisierung gegen\u00fcber Ausbreitung siegt. \u201eDas Vorhandensein einer API und einer vollst\u00e4ndigen Benutzeroberfl\u00e4che macht Botnets zu einem Problem, wodurch sich die Erkennung von Host-Indikatoren auf das Verhalten der Kontrollebene verlagert\u201c, so Soroko.<\/p>\n

\u201eStatt isolierter Kampagnen sehen sich Verteidiger nun mit Produkten konfrontiert, die \u00fcber Roadmaps, Funktionserweiterungen und Kunden-Support-Modelle verf\u00fcgen\u201c, f\u00fcgt er hinzu. Diese Einsch\u00e4tzung teilen auch die Experten von Darktrace und erg\u00e4nzten, dass ein mehrschichtiger Ansatz erforderlich ist, um ShadowV2 zu bek\u00e4mpfen.<\/p>\n

Dieser beinhalte tiefe Einblicke in containerisierte Umgebungen sowie Verhaltensanalysen, um Anomalien in Docker-APIs und der Container-Orchestrierungsaktivit\u00e4t zu erkennen. (tf\/mb)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

DDoS-Attacken sind ein attraktives Auftragsmodell, wie eine aktuelle Analyse zeigt. Bogdan Pigulyak | shutterstock.com Laut einer Darktrace-Analyse nutzt eine ShadowV2-Bot-Kampagne falsch konfigurierte Docker-Container auf AWS und r\u00fcstet sie f\u00fcr DDoS-as-a-Service-Angriffe auf. Was ShadowV2 dabei besonders macht, ist die professionelle Ausstattung mit APIs, Dashboards, Betreiber-Logins und sogar animierten Benutzeroberfl\u00e4chen. \u201eDies ist eine weitere Erinnerung daran, dass […]<\/p>\n","protected":false},"author":0,"featured_media":5042,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5055","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5055"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5055"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5055\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5042"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}