DDoS как услуга. И как сервис. Обнаружен новый ботнет ShadowV2, который превращает облачные контейнеры в узлы для атак.

На фоне растущей активности киберпреступников, компания Darktrace раскрыла новую кампанию, в которой задействован ботнет ShadowV2. Исследователи зафиксировали активность вредоносной инфраструктуры 24 июня 2025 года при срабатывании своих ловушек. В основе этой системы лежит троян, написанный на языке Go, который превращает взломанные облачные контейнеры Amazon Web Services в полноценные узлы для проведения DDoS-атак.

Особенность ShadowV2 в том, что он использует уязвимые Docker-инстансы, работающие на виртуальных машинах AWS EC2. Первым шагом заражения становится развёртывание вспомогательного контейнера на базе образа Ubuntu, куда автоматически устанавливаются нужные инструменты. После этого создаётся отдельный контейнер с собранным исполняемым ELF-файлом, обеспечивающим связь с управляющим сервером по адресу «shadow.aurozacloud[.]xyz». Вредонос регулярно отправляет «heartbeat»-сообщения и получает команды с этого сервера, включая инструкции для запуска атак.

Инфраструктура управления ботнетом построена с использованием Python-фреймворка FastAPI, а также библиотеки Pydantic. Веб-интерфейс системы включает форму авторизации и панель управления для операторов, позволяя добавлять и редактировать пользователей, задавать параметры атак, список целей и исключений. Всё это указывает на то, что ShadowV2 представляет собой готовую платформу для DDoS-атак по модели «услуга за деньги».

Распределённые атаки, проводимые с помощью ShadowV2, включают в себя продвинутые техники. Среди них — HTTP/2 Rapid Reset, атака, способная обрушить серверы за счёт многократных сбросов соединений на высоких скоростях, и обход режима защиты Cloudflare Under Attack Mode. Последний реализуется через инструмент ChromeDP, позволяющий автоматически решать JavaScript-задачи и получать cookie-файлы обхода защиты. Однако надёжность этого способа вызывает сомнения, поскольку многие защиты распознают поведение headless-браузеров и блокируют его.

Кроме того, ShadowV2 использует отдельный модуль-распространитель, также написанный на Python. Этот компонент взламывает Docker-демоны, а затем разворачивает вредоносный контейнер. Подобный подход позволяет преступникам минимизировать следы на взломанных машинах и затруднить форензику.

Что особенно настораживает, так это ориентация всей архитектуры на расширение и повторное использование: управляющий API позволяет не только настраивать атаки, но и массово масштабировать инфраструктуру с полной автоматизацией. Таким образом, ShadowV2 представляет собой пример киберпреступности нового поколения, где вредоносные инструменты всё чаще напоминают легальные SaaS-продукты по удобству и масштабируемости.

На фоне этого инцидента компания F5 Labs сообщила о другой волне активности: ботнет, задействующий браузерные заголовки, маскирующиеся под Mozilla, ведёт масштабное сканирование интернета в поисках известных уязвимостей. В общей сложности зафиксировано использование более 11 тысяч различных строк User-Agent, связанных с браузерами на базе Mozilla.

Тем временем Cloudflare опубликовала собственный отчёт, где сообщается об успешной автоматической блокировке крупнейшей на текущий момент DDoS-атаки. Мощность зафиксированного удара достигала 22,2 Тбит/с при пиковой нагрузке в 10,6 миллиарда пакетов в секунду. Атака длилась всего 40 секунд, но её интенсивность поставила новый рекорд в истории киберугроз.

Все эти события подчёркивают тенденцию к усложнению атакующих инструментов и росту индустрии «киберпреступности как сервиса». Современные ботнеты вроде ShadowV2 разрабатываются с прицелом на масштабируемость, функциональность и удобство использования даже для технически неподготовленных заказчиков.