Зафиксирована новая волна масштабных атак с использованием ботнета ShadowV2

Лаборатория FortiGuard Labs зафиксировала новую волну атак вредоносного ПО ShadowV2. Они нацелены на устройства Интернета вещей (IoT). Событие совпало с крупным сбоем в работе AWS в конце октября 2025 года. В списке затронутых атакой стран — более 20 стран Северной и Южной Америки, Европы, Африки, Азии и Океании, пострадали различные отрасли — от технологий до транспорта и образования.

Как отметили ИБ-специалисты, ShadowV2 распространяется через известные уязвимости в популярных платформах и устройствах. Злоумышленники получают удалённый доступ к системам, что оценивается как высокий уровень риска для организаций всех секторов. Под прицелом оказались устройства: DD-WRT 24 sp1, D-Link DNS-320 версии Ax v2.06B01, роутеры D-Link Go-RT-AC750 в ревизиях A и B с прошивками v101b03 и v200b02, Digiever DS-2105 Pro версии 3.1.0.71-11, видеорегистраторы TBK DVR-4104 и DVR-4216, линейка D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L, серия TP-Link Archer.

ShadowV2 представляет собой модификацию известного ботнета Mirai, использующую скрипт-загрузчик binary.sh для доставки вредоносного кода. Атаки шли с одного IP, а сам скрипт качал полезную нагрузку с другого адреса, где были файлы с префиксом shadow под разные архитектуры. Вредоносная программа запускается на архитектуре x86-64, имеет закодированную XOR-конфигурацию с методом атаки и подключается к серверу управления (C2) с доменом silverpath.shadowstresser.info. Если DNS-запрос не удаётся, подключение к серверу осуществляется напрямую по IP. При запуске вредоносное ПО выводит надпись «ShadowV2 Build v1.0.0 IoT version», что указывает на первую версию для устройств IoT.

Методы атаки ShadowV2 включают разнообразные варианты DDoS: UDP-, TCP- и HTTP-флуды с внутренними обозначениями UDP Plain, TCP SYN, TCP ACK STOMP и другие. Управление атаками идёт через команды с C2-сервера, что позволяет злоумышленникам масштабировать и варьировать воздействия на цели.