Kaspersky, açık konteyner ortamları aracılığıyla yayılan Dero kripto madencisi kampanyasını gün yüzüne çıkardı. Siber güvenlik uzmanları, konteynerleştirilmiş altyapıları hedef alan karmaşık bir saldırı türünü tespit etti.
Konteynerlerde gizli kripto madencilik tehdidi
Saldırganlar, Docker API’lerinin herhangi bir koruma olmaksızın açık bırakıldığı durumları istismar ederek sisteme iki farklı kötü amaçlı yazılım yerleştiriyor. Bu yazılımlardan biri Dero kripto para madencisi, diğeri ise saldırının yayılmasını sağlamak amacıyla kullanılan zararlı yazılımdır.
2025 yılı itibarıyla dünya genelinde her ay ortalama 485 adet Docker API varsayılan portunun güvensiz şekilde açık bulunduğu rapor edilmiştir. Bu durum, siber saldırganlara geniş bir hedef yüzeyi sunuyor. Açık Docker API’lerine erişim sağlayan saldırganlar, mevcut konteynerleri ele geçirebiliyor veya Ubuntu tabanlı yeni zararlı konteynerler oluşturabiliyor.
Ele geçirilen konteynerlerde “cloud” isimli kötü amaçlı yazılım Dero madenciliği gerçekleştirirken, “nginx” olarak adlandırılan diğer kötü amaçlı yazılım, kalıcı bir etki sağlamakta ve yeni hedefleri otomatik olarak tarayıp enfeksiyonu yaymaktadır.
Söz konusu kötü amaçlı yazılımlar, Komuta ve Kontrol (C2) sunucularına ihtiyaç duymaksızın bağımsız bir şekilde interneti taramakta ve etki altına aldığı konteynerlerden yayılmaktadır. Kaspersky uzmanları, her enfekte konteynerin yeni bir saldırı kaynağı olarak işlev gördüğünü ve bu sebeple enfeksiyonların hızla artabileceğini vurgulamaktadır. Konteynerlerin yazılım geliştirme ve dağıtmada kritik bir rol oynaması, bu tür saldırıları daha da tehlikeli hale getirmektedir.
Ayrıca, saldırganların “nginx” ve “cloud” isimli kötü amaçlı dosyayı doğrudan ikili kod olarak gizlediği ve böylece zararlının meşru bir araç olarak görünmesini sağladığı tespit edilmiştir. Bu yöntem, hem otomatik güvenlik sistemlerini hem de analistleri yanıltmayı amaçlamaktadır.
Kaspersky, Docker API’lerini kullanan kuruluşların güvenlik önlemlerini derhal gözden geçirmelerini önermektedir. Özellikle Docker API’lerinin gereksiz yere açık bırakılmaması ve zorunlu durumlarda TLS ile korunması gerektiği vurgulanmaktadır. Ek olarak, Kaspersky’nin Güvenlik İhlali Değerlendirmesi hizmeti ile geçmişte fark edilmeyen saldırıların tespit edilmesi önerilmektedir.
Konteyner altyapılarındaki risklerin iş süreçlerini olumsuz yönde etkileyebileceği ve özel güvenlik çözümlerine ihtiyaç duyulacağı belirtilmiştir. Kaspersky Container Security çözümü, hem geliştirme aşamasında hem de çalışma zamanı sürecinde kapsamlı bir koruma sunmaktadır. Bu çözüm, yalnızca güvenilir konteynerlerin çalışmasına müsaade etmekte ve uygulamaları ile ağı izleyerek güvenliği sağlamaktadır.
Ayrıca, Kaspersky, Yönetilen Tespit ve Müdahale (MDR) ile Olay Müdahalesi (Incident Response) hizmetleriyle tehditlerin tespiti, sürekli koruma ve olay yönetimi konularında kapsamlı destek sağlamaktadır. Bu hizmetler, sinsi saldırılara karşı koruma sunarken, kurumlarda siber güvenlik uzmanı eksikliğini gidermeye yardımcı olmaktadır.
Leave a comment