Siber güvenlik araştırmacıları, maruz kalan Docker API’lerini hedefleyen kriptaj saldırıları için TOR ağını kötüye kullanan yakın zamanda açıklanan bir kampanyanın bir varyantını keşfettiler.
Geçen ayki en son etkinliği keşfeden Akamai, diğer aktörlerin Docker API’sına internetten erişmesini engellemek için tasarlandığını söyledi.
Bulgular, Haziran 2025’in sonlarında trend micro’dan önceki bir rapor üzerine inşa edilen ve açıkta kalan Docker örneklerini, anonimlik için bir TOR alanı kullanarak bir XMRIG kripto para birimi madencisini gizlice düşürmeyi hedefleyen kötü niyetli bir kampanyayı ortaya çıkardı.
Güvenlik araştırmacısı Yonatan Gilvarg, “Bu yeni zorlama orijinaline benzer araçlar kullanıyor gibi görünüyor, ancak muhtemelen karmaşık bir botnet’in temelini kurma da dahil olmak üzere farklı bir nihai hedefi olabilir.” Dedi.
Saldırı zinciri esas olarak Alpine Docker görüntüsüne dayalı yeni bir kapsayıcı yürütmek ve ana bilgisayar dosya sistemini içine monte etmek için yanlış yapılandırılmış Docker API’lerine girmeyi içerir. Bunu, bir .onion etki alanından bir kabuk komut dosyası indiricisini indirmek için Base64 kodlu bir yükü çalıştıran tehdit aktörleri takip eder.
Komut dosyası, kalıcılığı ayarlamak için SSH yapılandırmalarını değiştirmenin yanı sıra, keşif yapmak için Masscan, LIBPCAP, LIBPCAP-DEV, ZSTD ve torsocks gibi diğer araçları da yükler, bir komut ve kontrol (C2) sunucusuyla iletişime geçin ve bir saniye.
Gilvarg, “İndirilen ilk dosya, bırakmak istediği içeriği içeren Go’da yazılmış bir damlalıktır, bu yüzden internete iletişim kurmayacak.” “Başka bir ikili dosyayı bırakması dışında, şu anda makineye giriş yaptığını bulmak için UTMP dosyasını ayrıştırır.”
İlginç bir şekilde, ikili dosyanın kaynak kodu, sisteme oturum açan kullanıcıları tasvir etmek için bir emoji içerir. Bu, eserin büyük bir dil modeli (LLM) kullanılarak hazırlanmış olabileceğini gösterir.
Droper ayrıca Port 2375’teki Open Docker API hizmetleri için İnternet’i taramak ve Base64 komutuyla bir kap oluşturma işlemini tekrarlayarak enfeksiyonu bu makinelere yaymak için Masscan’ı başlatır.
Ayrıca, ikili iki bağlantı noktası daha kontroller içerir: 23 (telnet) ve 9222 (krom tarayıcıları için uzaktan hata ayıklama portu), ancak bu bağlantı noktalarından yayılma işlevi henüz tamamen ete tabi tutulmamıştır.
Telnet saldırısı yöntemi, Brute-Force girişlerine bir dizi bilinen, varsayılan yönlendirici ve cihaz kimlik bilgilerini kullanmayı ve bir WebHook’a başarılı oturum açma girişimlerini sunmayı gerektirir[.]Hedef IP adresi ve mağdur kimlik doğrulama kimlik bilgileri hakkında ayrıntılarla site bitiş noktası.
9222 bağlantı noktası durumunda, kötü amaçlı yazılım, web tarayıcısıyla etkileşim kurmak için chromedp adlı bir Go kütüphanesi kullanır. Daha önce Kuzey Kore tehdit aktörleri tarafından C2 sunucuları ile iletişim kurmaları ve hatta Chrome’un uygulamaya bağlı şifrelemesini atlamak, krom seanslarına uzaktan bağlantı kurmak ve sifon çerezlerine ve diğer özel verileri silahlandırmak için silahlandırılmıştı.
Daha sonra açık uzak bağlantı bağlantı noktasıyla mevcut bir oturuma eklenmeye devam eder ve sonuçta kabuk komut dosyası indiricisini, kötü amaçlı yazılımın olduğu kaynak IP adresi ve 9222 bağlantı noktasına erişim bulduğu hedef hakkında bilgi ile aynı .onion etki alanına bir gönderi göndermeye devam eder.
Ayrıntılar, “HTTPBOT/ADD” adlı bir uç noktaya iletilir ve krom/krom için açık uzak hata hata ayıklama bağlantı noktalarına sahip cihazların, verileri çalabilen veya dağıtılmış Reddi (DDO’lar) saldırıları yürütmek için kullanılmak üzere bir botnet’e dahil edilme olasılığını artırır.
Gilvarg, “Kötü amaçlı yazılım sadece 2375 bağlantı noktasını tararken, 23 ve 9222 bağlantı noktalarını işleme mantığı şu anda ulaşılamıyor ve yürütülmeyecek.” Dedi. “Ancak, gelecekteki yetenekleri gösterebilecek uygulama mevcuttur.”
“Saldırganlar, istismar edilen API’lerden etkilenen sistemler üzerinde önemli kontroller kazanabilirler. Ağları bölümlere ayırmanın, hizmetlerin internete maruz kalmasını sınırlamak ve varsayılan kimlik bilgilerini güvence altına almanın önemi abartılamaz. Bu önlemleri benimseyerek kuruluşlar bu tür tehditlere karşı savunmasızlıklarını önemli ölçüde azaltabilir.”
Wiz bayrakları aws ses kötüye kullanımı kampanyası
Açıklama, bulut güvenlik firması Wiz, Mayıs 2025’te bir kitle kimlik avı saldırısı için bir lansman rampası olarak tehlikeye atılan Amazon Web Hizmetleri (AWS) erişim anahtarlarından yararlanan bir Amazon Basit E -posta Hizmeti (SES) kampanyasını detaylandırdı.
Şu anda anahtarların nasıl elde edildiği bilinmemektedir. Bununla birlikte, bir saldırganın bunu başarabileceği çeşitli yöntemler vardır: kod depolarında yanlışlıkla kamuya maruz kalma veya yanlış yapılandırılmış varlıklar veya Stealer kötü amaçlı yazılım kullanan bir geliştirici iş istasyonundan hırsızlık.
Wiz araştırmacıları Itay Harel ve Hila Ramati, “Saldırgan, kurbanın AWS ortamına erişmek, SES’in yerleşik kısıtlamalarını atlamak, yeni ‘gönderen’ kimliklerini doğrulamak ve bir kimlik avı operasyonu hazırlamak ve yürütmek için tehlikeye atılan anahtarı kullandı.” Dedi.
E-posta kampanyasını Proofpoint ile ortaklaşa daha da araştıran Wiz, e-postaların birden fazla coğrafi ve sektöre kapsayan çeşitli kuruluşları hedeflediğini ve alıcıları kimlik bilgisi hasat sayfalarına yönlendirmek için vergi temalı yemleri kullandığını söyledi.
“SES hesabınızda yapılandırılmışsa, saldırganlar doğrulanmış alanlarınızdan e -posta gönderebilir.” “Marka hasarının ötesinde, bu, sizden gelmiş gibi görünen ve iş süreçlerinde mızrak, sahtekarlık, veri hırsızlığı veya maskelenmek için kullanılabilen kimlik avı sağlar.”