Pesquisadores da Darktrace identificaram uma nova botnet chamada ShadowV2, que está sendo usada para ataques DDoS em larga escala a partir de containers mal configurados em servidores da Amazon Web Services. A campanha explora APIs abertas do Docker para instalar malware que transforma os ambientes em plataformas de ataque sob demanda.
O vetor inicial começa com um script em Python que localiza instâncias vulneráveis do Docker com portas expostas na internet. Uma vez acessadas, essas instâncias recebem um container que executa um trojan remoto escrito em Go, permitindo controle total do sistema por meio de um servidor de comando e controle. A botnet opera como um serviço. Há um painel de controle com interface gráfica e API pública, no qual os operadores podem lançar ataques, escolher alvos e até configurar níveis de acesso para diferentes usuários. Essa estrutura sugere um modelo de aluguel de ataques, tornando ShadowV2 uma ameaça comercializada como DDoS as a Service.
Os servidores de controle estão hospedados em ambientes legítimos, como GitHub Codespaces e Cloudflare, dificultando o rastreamento da origem dos ataques. A campanha inclui métodos de negação de serviço sofisticados, como o recém popular ataque HTTP/2 rapid reset, além de técnicas para evitar mitigação por serviços de proteção como o Cloudflare. A facilidade com que a ShadowV2 compromete containers mal protegidos levanta alertas sobre a segurança em ambientes cloud. Instâncias Docker expostas e sem autenticação representam alvos fáceis e valiosos para atores maliciosos.
