Akamai’nin av ekibi, bu yaz başlarında belgelenen bir kampanyada genişleyen açık Docker API’lerini hedefleyen yeni bir kötü amaçlı yazılım varyantını bildirdi. Haziran 2025’te trend micro tarafından detaylandırılan ilk suş, bir TOR alanı aracılığıyla teslim edilen bir Cryptominer yüklemek için yanlış yapılandırılmış Docker hizmetlerini kullandı.
Akamai’nin şirketin hackread.com ile paylaştığı son araştırmasında, Ağustos ayındaki Honeypot etkinliğine dayanan kötü amaçlı yazılımlar farklı bir hedef gösteriyor. Bir madenciyi bırakmak yerine, Docker API’sına harici erişimi engeller ve sistem kontrolü için araçlar yükler, operatörlerin kripto para madenciliğinden daha büyük bir şeye hazırlandığını gösterir.
Akamai’nin blog yazısına göre, saldırganlar hala içeri girmek için maruz kalan Docker API’lerini kullanıyorlar, ancak erişim kazandıktan sonra yaptıkları değişti. Bu yeni varyantta, kötü amaçlı yazılım ana bilgisayar dosya sistemine erişir, baz 64 kodlu bir komut dosyası çalıştırır ve aynı zamanda engelleme sırasında kalıcılık mekanizmalarını yükler port 2375 Diğer saldırganları dışarıda tutmak için.
Botnet’e doğru bina
Oradan, enfeksiyon Go’da yazılmış bir ikili damlalık aşağı çeker. Kod, büyük bir dil modelinden (LLM) yardımla oluşturulmuş olabileceğini ima eden “kullanıcı” emojisi gibi olağandışı ayrıntılar içerir.
Ek olarak, Masscan kullanarak aktif Docker API’leri için damlalık taraması, daha sonra enfeksiyon döngüsünü diğer sunucular boyunca tekrarlamaya çalışır. Bu, bir botnet yaratmanın erken bir işareti olan kendi kendini tanıtan bir ağın başlangıcını yaratır.
Mevcut etkinlik Docker API’lerini kullanmayı amaçlamaktadır, ancak kod ayrıca Telnet ve Chrome’un uzaktan hata ayıklama bağlantı noktası için rutinler içerir. Bu özellikler henüz etkin değil, ancak operatörlerin gelecekteki sürümlerde kötü amaçlı yazılımların erişimini genişletmenin yollarını test edebileceğini öne sürüyorlar.
Rakipleri temizlemek
Akamai’nin analizi de rekabetle uğraşırken kötü amaçlı yazılımın seçici olduğunu gösterdi. Diğer tehdit aktörleri tarafından kriptominlere ev sahipliği yapmak için sıklıkla kullanılan Ubuntu çalıştıran kapları kontrol eder. Saldırganlar, bunları kaldırarak, güvenliği ihlal edilmiş sunucular üzerindeki kontrolü pekiştirerek, bu kampanyanın hızlı geri dönüşleri toplamak yerine altyapı oluşturmakla ilgili olduğu izlenimini güçlendiriyor.
Araştırma, yüksek etkileşim hizmetlerini simüle eden açık kaynaklı bir Honeypot projesi olan Beelzebub’a dayanıyordu. Docker’ın API yanıtlarını taklit ederek Akamai, saldırganları kontrollü bir ortamda taktiklerini açığa çıkarmaya ve iki soğan alanı, bir webhook adresi ve kötü amaçlı yazılımlara bağlı dosya karmaları da dahil olmak üzere uzlaşma göstergelerini yayınlamaya çalıştı.
Araştırmacılar, kampanyanın hala geliştiğini ve saldırganların zaten maruz kalan Docker API’lerini kullanma şeklini değiştirdiğini söylüyor. Docker kullanıcıları için API’leri genel internetten uzak tutmak ve izleme faaliyetlerini yakından, uzlaşma riskini azaltmak için en etkili adımlar olmaya devam etmektedir.