Konteyner altyapılarını hedefleyen yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı ve kötü niyetli kaplar ve mayın dero kripto para birimini yaymak için güvensiz olarak maruz kalan Docker API’lerini kullandı.
Kaspersky’deki siber güvenlik araştırmacıları tarafından bir “Docker zombi salgını” olarak adlandırılan bu saldırı, tehlikeye atılan kapları kripto para birimine dönüştüren ve yeni kurbanları enfekte eden “zombiler” e dönüştürmek için kendini kopyalayan bir yayılma mekanizmasını kullanıyor.
Yakın tarihli bir uzlaşma değerlendirmesi sırasında tespit edilen kampanya, dünya çapında savunmasız ağlara katlanarak yayıldığı için hiçbir komut ve kontrol (C2) sunucusu gerektirmeyen endişe verici bir otomasyon derecesi sergiliyor.
.png
)
Konteyner ortamlarında yeni bir tehdit
Saldırı, bir tehdit oyuncusu, konteynerize bir ortama erişmek için genellikle 2375 bağlantı noktasında maruz kalan bir Docker API’sını kullandığında başlar.
İçeri girdikten sonra, iki Golang tabanlı, UPX dolu kötü amaçlı yazılım implantları dağıtılır: “Nginx” (trojan.linux.agent.gen olarak tespit edilen) ve “bulut” adlı bir dero kripto para madencisi (risstool.linux.miner.gen) olarak tespit edilir.
Nginx kötü amaçlı yazılım, “/var/log/nginx.log” da günlüğe kaydederek ve enfekte kapları tanımlamak için “/usr/bin/version.dat” da bir sürüm işaretleyicisini koruyarak sürekliliği ve yayılmayı sağlayan orkestratördür.
Diğer savunmasız Docker API’lerini bulmak için Masscan aracını kullanarak rastgele IPv4 /16 alt ağlarını acımasızca tarar, 12 rastgele karakter adlı yeni kötü niyetli kaplar oluşturur ve uzak ana bilgisayarlarda mevcut Ubuntu 18.04 tabanlı kapları tehlikeye atar.
Her yeni kap, Masscan ve Docker.io gibi bağımlılıklarla donatılmıştır ve kötü amaçlı yazılım implantları enfeksiyon döngüsünü sürdürmek için kopyalanır.
Otomatik enfeksiyon zinciri kaos
Açık kaynaklı Derohe CLI projesinden türetilen bulut madencisi, bir cüzdan adresi (dero1qy8xjrdjcn2dvr6pwe477vux60xxkx6hs7zqgde993y) ve dere de dahil olmak üzere sert kodlanmış, şifreli yapılandırmalar ile çalışır ve (D.Windowsupdatesupport[.]Link ve H.Windowsupdatesupport[.]link), yürütme sırasında AES-CTR ile şifre çözüldü.
Bu madenci, ev sahibinin dero madenciliği için kaynaklarını kaçırırken, Nginx kesintiye uğradığı takdirde yeniden başlatarak sürekli çalışmasını sağlar.
Kubernetes kümelerini gizli taktiklerle hedefleyen önceki kampanyaların aksine, bu saldırı agresif yan harekete öncelik verir, yeni ağları tereddüt etmeden tarar ve enfekte eder.
Nisan 2025’teki Shodan verileri, küresel olarak 520 maruz kalan Docker API’lerini ortaya koyuyor ve bu tehdidin yarattığı geniş yıkım potansiyelinin altını çiziyor.
Bir C2 sunucusunun olmaması, bu kampanyayı, yalnızca çoğaltılacak güvensiz Docker API’lerinin kullanılabilirliğine dayanarak, özerk bir şekilde çalıştığı için özellikle sinsi hale getirir.
Rapora göre, Kaspersky bu tür saldırılarla mücadele etmek için sağlam izleme ve proaktif tehdit avının önemini vurgulayarak, yanlış yakınlaştırmaları tespit etmek ve kayıt defteri görüntülerini izlemek için Kaspersky konteyner güvenliği gibi araçlar öneriyor.
Kapsayıcı ortamlar giderek daha yaygın hale geldikçe, bu Docker zombi kötü amaçlı yazılım, çalışma zamanı güvenliğinin güvenilir görüntülerden bina kadar kritik olduğunu hatırlatır.
Kuruluşlar, bu kendi kendini kopyalayan dijital veba için kurbanın düşmesini önlemek için Docker API’lerini güvence altına almaya ve kapsamlı koruma stratejileri uygulamaya öncelik vermelidir.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| Dosya karma (nginx) | 094085675570a18a922539438471cc9 |
| Dosya karma (bulut) | 14e7fb298049a57222254ef0f47464a7 |
| Dosya Yolu | /usr/bin/nginx,/usr/bin/bulut, /var/log/nginx.log, /usr/bin/version.dat |
| Derod düğümü adresleri | D.Windowsupdatesupport[.]bağlantı, h.windowsupdatesupport[.]bağlantı |
| Dero cüzdan adresi | dero1qy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537Vux60xxkx6hs7zqgde993y |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!