ShadowV2：クラウド／コンテナ環境を悪用する攻撃

最近の報告では、ShadowV2 は従来型の IoT 機器だけでなく、誤設定された Docker デーモン（API が外部公開された状態のもの）を標的とするモードを持つことがわかっています。

攻撃の流れは以下の通りです：

1. スキャン

   攻撃者がインターネットに公開された Docker API / Docker デーモンをスキャン。特にクラウド環境（例：Amazon EC2 のインスタンス上）の Docker が標的になりやすい。

2. 初期コンテナの起動

   API 経由で Docker コンテナを起動。最初は汎用イメージ（例：Ubuntu コンテナ）を使用し、必要なツールやマルウェアをその中にインストール。

3. カスタムコンテナの生成／デプロイ

   “build-on-victim” 型でカスタムコンテナイメージを生成し、マルウェア（Go ベースのバイナリ）を内包させて稼働させる。

4. C2 接続と攻撃活動

   コンテナ内のマルウェアは C2 サーバに接続し、ボットネットの一部として機能。HTTP/TCP/UDP フラッドや HTTP/2 Rapid Reset など、高度な DDoS 攻撃手法を実行可能。

5. DDoS-as-a-Service の提供

   このモードでは攻撃者の顧客が Web UI や API を通じて攻撃対象や手法を指定可能で、典型的なボットネットから「クラウド／コンテナ時代の新しいボット／DDoS プラットフォーム」へと変化している。