Geleneksel kriptominasyon operasyonlarının ötesine geçen gelişmiş enfeksiyon yetenekleri ile açık bir docker API’lerini hedefleyen sofistike bir kötü amaçlı yazılım gerginliği ortaya çıkmıştır.
Ağustos 2025’te keşfedilen tehdit, diğer saldırganların tehlikeye atılan sistemlere erişimini reddederken kalıcı kök erişimi oluşturmak için tasarlanmış gelişmiş taktikleri gösteriyor.
Kötü amaçlı yazılım, Haziran 2025’te trend micro tarafından bildirilen bir varyanttan önemli bir evrimi temsil etmektedir.
İlk suş öncelikle TOR altyapısının arkasına gizlenmiş kripto para madenciliği operasyonlarına odaklanırken, bu yeni yineleme daha karmaşık davranış kalıpları sergiliyor.
Saldırı, internetten erişilebilen yanlış yapılandırılmış Docker API’lerinden yararlanarak başlar ve özellikle yöneticilerin uygun kimlik doğrulaması olmadan Docker daemon’larını yanlışlıkla açığa çıkardıkları 2375 numaralı bağlantı noktasını hedefler.
Enfeksiyon süreci, saldırganların Alpine Linux görüntülerine dayalı kötü niyetli kaplar oluşturduklarında başlar ve ayrıcalıklı erişim elde etmek için ana bilgisayar dosya sistemini monte eder.
Base64 kodlu bir yük aracılığıyla, kötü amaçlı yazılım, Tor gizli bir hizmetten bir kabuk komut dosyası indirir ve yürütür ve tehlikeye atılan sistem boyunca birden fazla kalıcılık mekanizması oluşturur.
Akamai analistleri, rutin honeypot izleme sırasında bu varyantı tanımladı ve daha önce belgelenmiş saldırılardan farklı davranışsal farklılıklara dikkat çekti.
Araştırmacılar, öncekilerden farklı olarak, bu türün rakip tehdit aktörlerini aynı savunmasız sistemlerden kilitlemek için tasarlanmış üstünlük taktiklerini uyguladığını gözlemledi.
Gelişmiş Kalıcılık ve Savunma Kaçma Mekanizmaları
Kötü amaçlı yazılımların en dikkat çekici ilerlemesi, tehlikeye atılan altyapıya özel erişimi korumak için kapsamlı yaklaşımında yatmaktadır.
İlk uzlaştıktan sonra saldırı, docker-init.sh Bu, çoklu kalıcılık ve savunma önlemleri katmanını uygular.
Kalıcılık mekanizması birkaç koordineli eylemle çalışır. İlk olarak, kötü amaçlı yazılım, saldırgan kontrollü bir SSH genel anahtarı ekler /root/.ssh/authorized_keysdoğrudan kök erişimini etkinleştirme normal kimlik doğrulama prosedürlerini atar.
Daha sonra, IPTables, UFW, Güvenlik Duvarı-CMD, PFCTL ve NFT dahil olmak üzere birden fazla güvenlik duvarı platformunda 2375 numaralı bağlantı noktasına erişimi sistematik olarak engelleyen her dakika yürüten bir CRON işi oluşturur.
PORT=2375
PROTOCOL=tcp
for fw in firewall-cmd ufw pfctl iptables nft; do
if command -v "$fw" >/dev/null 2>&1; then
case "$fw" in
firewall-cmd)
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' port protocol="tcp" port="2375" reject"
firewall-cmd --reloadBu savunma engelleme, konteyner tabanlı saldırılarda nadiren görülen bölgesel bir yaklaşımı temsil eder.
Saldırganlar, ilk erişimlerini sağlayan Docker API bağlantı noktasını sistematik olarak kapatarak diğer kötü niyetli aktörlerin SSH erişimi yoluyla yerleşik tabanlarını korurken aynı güvenlik açığını kullanmasını önler.
.webp)
Kötü amaçlı yazılım ayrıca, anonim iletişim için torsocks ile birlikte ağ taraması için MassCan dahil keşif araçları da kurar.
Bu bileşenler, kötü amaçlı yazılımların ağ genelinde ek savunmasız Docker örneklerini tanımlamasını ve tehlikeye atmasını sağlar ve büyük ölçekli botnet işlemleri için potansiyel oluşturur.
Kalıcı erişim, rekabetçi dışlama ve yayılma yeteneklerinin birleşimi, bu kötü amaçlı yazılımları konteyner ortamları için önemli bir tehdit olarak konumlandırır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.