“ShadowV2: บ็อตเน็ตยุคใหม่ที่ใช้ AWS Docker เป็นฐานยิง DDoS — เมื่ออาชญากรรมไซเบอร์กลายเป็นธุรกิจ SaaS เต็มรูปแบบ”
นักวิจัยจาก Darktrace ได้เปิดโปงเครือข่ายบ็อตเน็ตใหม่ชื่อว่า ShadowV2 ซึ่งไม่ใช่แค่มัลแวร์ทั่วไป แต่เป็น “DDoS-for-hire platform” หรือบริการยิง DDoS แบบเช่าใช้ ที่ถูกออกแบบให้ใช้งานง่ายเหมือนแอปพลิเคชันบนคลาวด์ โดยผู้โจมตีสามารถล็อกอินเข้าไปตั้งค่าการโจมตีผ่านแดชบอร์ดได้ทันที
สิ่งที่ทำให้ ShadowV2 น่ากลัวคือการใช้ Docker containers ที่ตั้งค่าผิดบน AWS EC2 เป็นฐานในการติดตั้งมัลแวร์ โดยเริ่มจากการใช้ Python script บน GitHub CodeSpaces เพื่อสร้าง container ชั่วคราว จากนั้นติดตั้ง Go-based Remote Access Trojan (RAT) ที่สามารถสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน RESTful API และรับคำสั่งโจมตีแบบเรียลไทม์
ระบบของ ShadowV2 ถูกออกแบบอย่างมืออาชีพ มีทั้ง UI ที่สร้างด้วย Tailwind, ระบบล็อกอิน, การจัดการผู้ใช้, การตั้งค่าการโจมตี, และแม้แต่ระบบ blacklist ซึ่งทั้งหมดนี้สะท้อนว่าอาชญากรรมไซเบอร์กำลังกลายเป็น “ธุรกิจแบบ SaaS” ที่มีการจัดการเหมือนซอฟต์แวร์องค์กร
เทคนิคการโจมตีของ ShadowV2 ยังรวมถึงการใช้ HTTP/2 rapid reset ที่สามารถทำให้เซิร์ฟเวอร์ล่มได้ทันที และการหลบหลีกระบบป้องกันของ Cloudflare ด้วยการใช้ ChromeDP เพื่อแก้ JavaScript challenge อัตโนมัติ แม้จะไม่สำเร็จทุกครั้ง แต่ก็แสดงถึงความพยายามในการพัฒนาอย่างต่อเนื่อง
Jason Soroko จาก Sectigo ระบุว่า ShadowV2 เป็นตัวอย่างของ “ตลาดอาชญากรรมที่กำลังเติบโต” โดยเน้นเฉพาะ DDoS และขายการเข้าถึงแบบ multi-tenant ซึ่งช่วยลดความเสี่ยงในการปฏิบัติการ และเพิ่มความสามารถในการขยายระบบอย่างรวดเร็ว
ข้อมูลสำคัญจากข่าว
ShadowV2 เป็นบ็อตเน็ตแบบ DDoS-for-hire ที่ใช้ Docker containers บน AWS เป็นฐาน
เริ่มต้นด้วย Python script บน GitHub CodeSpaces เพื่อสร้าง container ชั่วคราว
ติดตั้ง Go-based RAT ที่สื่อสารผ่าน RESTful API และรับคำสั่งโจมตี
มี UI แบบมืออาชีพ พร้อมแดชบอร์ด, ระบบล็อกอิน, การจัดการผู้ใช้ และ blacklist
ใช้เทคนิค HTTP/2 rapid reset และ Cloudflare UAM bypass เพื่อโจมตีเซิร์ฟเวอร์
ใช้ ChromeDP เพื่อแก้ JavaScript challenge อัตโนมัติ
Darktrace พบการโจมตีครั้งแรกเมื่อ 24 มิถุนายน 2025 และพบเวอร์ชันเก่าบน threat database
เว็บไซต์ของ ShadowV2 มีการแสดงข้อความยึดทรัพย์ปลอมเพื่อหลอกผู้ใช้
Jason Soroko ระบุว่าเป็นตัวอย่างของตลาดอาชญากรรมที่เน้นเฉพาะ DDoS
ข้อมูลเสริมจากภายนอก
Docker เป็นเทคโนโลยีที่ใช้สร้าง container สำหรับรันแอปแบบแยกส่วน
หากตั้งค่า Docker daemon ให้เข้าถึงจากภายนอกโดยไม่จำกัด จะเสี่ยงต่อการถูกโจมตี
HTTP/2 rapid reset เป็นเทคนิคใหม่ที่ใช้รีเซ็ตการเชื่อมต่อจำนวนมากพร้อมกัน
ChromeDP เป็นเครื่องมือควบคุม Chrome แบบ headless ที่ใช้ในงาน automation
การใช้ RESTful API ทำให้ระบบสามารถควบคุมจากระยะไกลได้อย่างมีประสิทธิภาพ
https://hackread.com/shadowv2-botnet-aws-docker-ddos-for-hire-service/
นักวิจัยจาก Darktrace ได้เปิดโปงเครือข่ายบ็อตเน็ตใหม่ชื่อว่า ShadowV2 ซึ่งไม่ใช่แค่มัลแวร์ทั่วไป แต่เป็น “DDoS-for-hire platform” หรือบริการยิง DDoS แบบเช่าใช้ ที่ถูกออกแบบให้ใช้งานง่ายเหมือนแอปพลิเคชันบนคลาวด์ โดยผู้โจมตีสามารถล็อกอินเข้าไปตั้งค่าการโจมตีผ่านแดชบอร์ดได้ทันที
สิ่งที่ทำให้ ShadowV2 น่ากลัวคือการใช้ Docker containers ที่ตั้งค่าผิดบน AWS EC2 เป็นฐานในการติดตั้งมัลแวร์ โดยเริ่มจากการใช้ Python script บน GitHub CodeSpaces เพื่อสร้าง container ชั่วคราว จากนั้นติดตั้ง Go-based Remote Access Trojan (RAT) ที่สามารถสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน RESTful API และรับคำสั่งโจมตีแบบเรียลไทม์
ระบบของ ShadowV2 ถูกออกแบบอย่างมืออาชีพ มีทั้ง UI ที่สร้างด้วย Tailwind, ระบบล็อกอิน, การจัดการผู้ใช้, การตั้งค่าการโจมตี, และแม้แต่ระบบ blacklist ซึ่งทั้งหมดนี้สะท้อนว่าอาชญากรรมไซเบอร์กำลังกลายเป็น “ธุรกิจแบบ SaaS” ที่มีการจัดการเหมือนซอฟต์แวร์องค์กร
เทคนิคการโจมตีของ ShadowV2 ยังรวมถึงการใช้ HTTP/2 rapid reset ที่สามารถทำให้เซิร์ฟเวอร์ล่มได้ทันที และการหลบหลีกระบบป้องกันของ Cloudflare ด้วยการใช้ ChromeDP เพื่อแก้ JavaScript challenge อัตโนมัติ แม้จะไม่สำเร็จทุกครั้ง แต่ก็แสดงถึงความพยายามในการพัฒนาอย่างต่อเนื่อง
Jason Soroko จาก Sectigo ระบุว่า ShadowV2 เป็นตัวอย่างของ “ตลาดอาชญากรรมที่กำลังเติบโต” โดยเน้นเฉพาะ DDoS และขายการเข้าถึงแบบ multi-tenant ซึ่งช่วยลดความเสี่ยงในการปฏิบัติการ และเพิ่มความสามารถในการขยายระบบอย่างรวดเร็ว
ข้อมูลสำคัญจากข่าว
ShadowV2 เป็นบ็อตเน็ตแบบ DDoS-for-hire ที่ใช้ Docker containers บน AWS เป็นฐาน
เริ่มต้นด้วย Python script บน GitHub CodeSpaces เพื่อสร้าง container ชั่วคราว
ติดตั้ง Go-based RAT ที่สื่อสารผ่าน RESTful API และรับคำสั่งโจมตี
มี UI แบบมืออาชีพ พร้อมแดชบอร์ด, ระบบล็อกอิน, การจัดการผู้ใช้ และ blacklist
ใช้เทคนิค HTTP/2 rapid reset และ Cloudflare UAM bypass เพื่อโจมตีเซิร์ฟเวอร์
ใช้ ChromeDP เพื่อแก้ JavaScript challenge อัตโนมัติ
Darktrace พบการโจมตีครั้งแรกเมื่อ 24 มิถุนายน 2025 และพบเวอร์ชันเก่าบน threat database
เว็บไซต์ของ ShadowV2 มีการแสดงข้อความยึดทรัพย์ปลอมเพื่อหลอกผู้ใช้
Jason Soroko ระบุว่าเป็นตัวอย่างของตลาดอาชญากรรมที่เน้นเฉพาะ DDoS
ข้อมูลเสริมจากภายนอก
Docker เป็นเทคโนโลยีที่ใช้สร้าง container สำหรับรันแอปแบบแยกส่วน
หากตั้งค่า Docker daemon ให้เข้าถึงจากภายนอกโดยไม่จำกัด จะเสี่ยงต่อการถูกโจมตี
HTTP/2 rapid reset เป็นเทคนิคใหม่ที่ใช้รีเซ็ตการเชื่อมต่อจำนวนมากพร้อมกัน
ChromeDP เป็นเครื่องมือควบคุม Chrome แบบ headless ที่ใช้ในงาน automation
การใช้ RESTful API ทำให้ระบบสามารถควบคุมจากระยะไกลได้อย่างมีประสิทธิภาพ
https://hackread.com/shadowv2-botnet-aws-docker-ddos-for-hire-service/
🕷️ “ShadowV2: บ็อตเน็ตยุคใหม่ที่ใช้ AWS Docker เป็นฐานยิง DDoS — เมื่ออาชญากรรมไซเบอร์กลายเป็นธุรกิจ SaaS เต็มรูปแบบ”
นักวิจัยจาก Darktrace ได้เปิดโปงเครือข่ายบ็อตเน็ตใหม่ชื่อว่า ShadowV2 ซึ่งไม่ใช่แค่มัลแวร์ทั่วไป แต่เป็น “DDoS-for-hire platform” หรือบริการยิง DDoS แบบเช่าใช้ ที่ถูกออกแบบให้ใช้งานง่ายเหมือนแอปพลิเคชันบนคลาวด์ โดยผู้โจมตีสามารถล็อกอินเข้าไปตั้งค่าการโจมตีผ่านแดชบอร์ดได้ทันที
สิ่งที่ทำให้ ShadowV2 น่ากลัวคือการใช้ Docker containers ที่ตั้งค่าผิดบน AWS EC2 เป็นฐานในการติดตั้งมัลแวร์ โดยเริ่มจากการใช้ Python script บน GitHub CodeSpaces เพื่อสร้าง container ชั่วคราว จากนั้นติดตั้ง Go-based Remote Access Trojan (RAT) ที่สามารถสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน RESTful API และรับคำสั่งโจมตีแบบเรียลไทม์
ระบบของ ShadowV2 ถูกออกแบบอย่างมืออาชีพ มีทั้ง UI ที่สร้างด้วย Tailwind, ระบบล็อกอิน, การจัดการผู้ใช้, การตั้งค่าการโจมตี, และแม้แต่ระบบ blacklist ซึ่งทั้งหมดนี้สะท้อนว่าอาชญากรรมไซเบอร์กำลังกลายเป็น “ธุรกิจแบบ SaaS” ที่มีการจัดการเหมือนซอฟต์แวร์องค์กร
เทคนิคการโจมตีของ ShadowV2 ยังรวมถึงการใช้ HTTP/2 rapid reset ที่สามารถทำให้เซิร์ฟเวอร์ล่มได้ทันที และการหลบหลีกระบบป้องกันของ Cloudflare ด้วยการใช้ ChromeDP เพื่อแก้ JavaScript challenge อัตโนมัติ แม้จะไม่สำเร็จทุกครั้ง แต่ก็แสดงถึงความพยายามในการพัฒนาอย่างต่อเนื่อง
Jason Soroko จาก Sectigo ระบุว่า ShadowV2 เป็นตัวอย่างของ “ตลาดอาชญากรรมที่กำลังเติบโต” โดยเน้นเฉพาะ DDoS และขายการเข้าถึงแบบ multi-tenant ซึ่งช่วยลดความเสี่ยงในการปฏิบัติการ และเพิ่มความสามารถในการขยายระบบอย่างรวดเร็ว
✅ ข้อมูลสำคัญจากข่าว
➡️ ShadowV2 เป็นบ็อตเน็ตแบบ DDoS-for-hire ที่ใช้ Docker containers บน AWS เป็นฐาน
➡️ เริ่มต้นด้วย Python script บน GitHub CodeSpaces เพื่อสร้าง container ชั่วคราว
➡️ ติดตั้ง Go-based RAT ที่สื่อสารผ่าน RESTful API และรับคำสั่งโจมตี
➡️ มี UI แบบมืออาชีพ พร้อมแดชบอร์ด, ระบบล็อกอิน, การจัดการผู้ใช้ และ blacklist
➡️ ใช้เทคนิค HTTP/2 rapid reset และ Cloudflare UAM bypass เพื่อโจมตีเซิร์ฟเวอร์
➡️ ใช้ ChromeDP เพื่อแก้ JavaScript challenge อัตโนมัติ
➡️ Darktrace พบการโจมตีครั้งแรกเมื่อ 24 มิถุนายน 2025 และพบเวอร์ชันเก่าบน threat database
➡️ เว็บไซต์ของ ShadowV2 มีการแสดงข้อความยึดทรัพย์ปลอมเพื่อหลอกผู้ใช้
➡️ Jason Soroko ระบุว่าเป็นตัวอย่างของตลาดอาชญากรรมที่เน้นเฉพาะ DDoS
✅ ข้อมูลเสริมจากภายนอก
➡️ Docker เป็นเทคโนโลยีที่ใช้สร้าง container สำหรับรันแอปแบบแยกส่วน
➡️ หากตั้งค่า Docker daemon ให้เข้าถึงจากภายนอกโดยไม่จำกัด จะเสี่ยงต่อการถูกโจมตี
➡️ HTTP/2 rapid reset เป็นเทคนิคใหม่ที่ใช้รีเซ็ตการเชื่อมต่อจำนวนมากพร้อมกัน
➡️ ChromeDP เป็นเครื่องมือควบคุม Chrome แบบ headless ที่ใช้ในงาน automation
➡️ การใช้ RESTful API ทำให้ระบบสามารถควบคุมจากระยะไกลได้อย่างมีประสิทธิภาพ
https://hackread.com/shadowv2-botnet-aws-docker-ddos-for-hire-service/
0 ความคิดเห็น
0 การแบ่งปัน
79 มุมมอง
0 รีวิว
English