Güvensiz docker portları siber suçlulara davetiye çıkardı
Kaspersky, açık konteyner ortamları üzerinden yayılan Dero kripto madencisi kampanyasını ortaya çıkardı. Siber güvenlik uzmanları, konteynerleştirilmiş altyapıları hedef alan karmaşık bir saldırı tespit etti.
Konteynerlerde gizli kripto madencilik tehdidi
Saldırganlar, Docker API’lerinin açıkta bırakıldığı durumları kötüye kullanarak sisteme iki tür kötü amaçlı yazılım yerleştiriyor. Bunlardan biri Dero kripto para madencisi, diğeri ise saldırının yayılmasını sağlayan zararlı yazılım.
2025 yılında dünya genelinde her ay ortalama 485 adet Docker API varsayılan portu güvensiz şekilde açık bulunuyor. Bu durum, siber saldırganların geniş bir hedef yüzeyine erişmesini sağlıyor. Açıkta kalan Docker API’lerine erişim sağlayan saldırganlar, ya var olan konteynerleri ele geçiriyor ya da Ubuntu tabanlı yeni kötü amaçlı konteynerler oluşturuyor.
Ele geçirilen konteynerlere enjekte edilen “cloud” isimli kötü amaçlı yazılım Dero madenciliği yaparken, “nginx” isimli diğer kötü amaçlı yazılım ise kalıcılığı sağlıyor ve yeni hedefleri otomatik olarak tarayarak enfeksiyonu yayabiliyor.
Bu kötü amaçlı yazılımlar Komuta ve Kontrol (C2) sunucularına ihtiyaç duymadan bağımsız şekilde interneti tarıyor ve bulaştıkları konteynerler üzerinden yayılıyor. Kaspersky uzmanları, her enfekte konteynerin yeni saldırı kaynağı olarak işlev gördüğünü ve bu nedenle enfeksiyonların hızlı şekilde artabileceğini belirtiyor. Konteynerlerin yazılım geliştirme ve dağıtımda kritik bir rol oynaması, bu saldırıları özellikle tehlikeli hale getiriyor.
Saldırganların “nginx” ve “cloud” isimlerini kötü amaçlı dosyanın içinde doğrudan ikili kod olarak gizlediği, böylece zararlının meşru bir araç gibi görünmesini sağladığı tespit edildi. Bu yöntem hem otomatik güvenlik sistemlerini hem de analistleri yanıltmayı hedefliyor.
Kaspersky, Docker API’lerini kullanan kurumların güvenlik önlemlerini derhal gözden geçirmesini tavsiye ediyor. Özellikle Docker API’lerinin gereksiz yere açıkta bırakılmaması ve zorunlu ise TLS ile korunması gerektiği vurgulanıyor. Ayrıca, Kaspersky’nin Güvenlik İhlali Değerlendirmesi hizmetiyle devam eden veya geçmişte fark edilmeden gerçekleşmiş saldırıların tespit edilmesi öneriliyor.
Konteyner altyapılarında risklerin iş süreçlerini olumsuz etkileyebileceği ve özel güvenlik çözümlerine ihtiyaç duyulduğu belirtiliyor. Kaspersky Container Security çözümü, hem geliştirme aşamasında hem de çalışma zamanı sürecinde koruma sunuyor. Bu çözüm yalnızca güvenilir konteynerlerin çalışmasına izin veriyor, uygulamaları ve ağı izleyerek güvenliği sağlıyor.
Kaspersky ayrıca Yönetilen Tespit ve Müdahale (MDR) ile Olay Müdahalesi (Incident Response) hizmetleriyle tehditlerin tespitinden sürekli korumaya ve olay yönetimine kadar kapsamlı destek sağlıyor. Bu hizmetler, sinsi saldırılara karşı koruma sunarken kurumlardaki siber güvenlik personeli eksikliğini tamamlıyor.
