Moved Permanently

Kaspersky Security Services uzmanları, konteynerleştirilmiş ortamları hedef alan ve Dero kripto para birimi için bir madenci yerleştiren karmaşık bir siber saldırı kampanyasını ortaya çıkardı. Saldırganlar, açıkta bırakılmış Docker API'lerini — açık kaynaklı bir konteyner geliştirme platformu olan Docker'ın parçalarını — kötüye kullanıyor. 2025 yılında, dünya genelinde her ay ortalama 500 civarında Docker API varsayılan portunun güvensiz şekilde yayımlandığı tespit edildi. Keşfedilen kampanyada, siber suçlular ele geçirilen sistemlere iki tür kötü amaçlı yazılım enjekte ediyor: biri madenci yazılımı, diğeri ise kampanyayı diğer güvensiz konteyner ağlarına yayabilen bir yayılma (propagasyon) yazılımı.

Kaspersky uzmanları, bu kötü amaçlı kampanyayı bir güvenlik ihlali değerlendirme projesi kapsamında keşfetti. Uzmanların tahminlerine göre, konteynerleştirilmiş altyapı kullanan ve Docker API'lerini sağlam güvenlik önlemleri olmadan açıkta bırakan her kuruluş potansiyel bir hedef olabilir. Bu kuruluşlar arasında teknoloji şirketleri, yazılım geliştirme firmaları, barındırma (Hosting) hizmeti sağlayıcıları, bulut hizmeti sağlayıcıları ve diğer çeşitli işletmeler yer alabilir.

Shodan'a göre, 2025 yılında dünya genelinde her ay ortalama 485 adet Docker API varsayılan portu yayımlandı. Bu rakam, saldırganların hedef alabileceği güvensiz şekilde açıkta bırakılmış portları — yani “giriş noktalarını” — sayarak kampanyanın potansiyel saldırı yüzeyini gözler önüne seriyor.

Saldırganlar güvensiz şekilde yayımlanmış bir Docker API’si tespit ettiklerinde, ya mevcut konteynerleri ele geçiriyor ya da standart ve yasal bir Ubuntu imajı temelinde yeni kötü amaçlı konteynerler oluşturuyor. Ardından ele geçirilen konteynerlere iki tür kötü amaçlı yazılım enjekte ediyorlar: “nginx” ve “cloud”. Bunlardan “cloud”, Dero kripto para birimini madenciliği yapan bir yazılımdır; “nginx” ise kalıcılığı sağlayan, madencinin çalışmasını güvence altına alan ve diğer açıkta bırakılmış ortamları tarayan zararlı bir yazılımdır. Bu kötü amaçlı yazılım, saldırganların geleneksel Komuta ve Kontrol (C2) sunucularına ihtiyaç duymadan faaliyet göstermelerine olanak tanıyor; her enfekte konteyner bağımsız olarak interneti tarıyor ve madenciyi yeni hedeflere yayabiliyor.

Bir enfeksiyon zinciri şeması

Kaspersky Security Services’te olay müdahale ve güvenlik ihlali değerlendirme uzmanı Amged Wageh “Bu kampanya, hedef alınabilecek ağlarda güvenlik önlemleri derhal uygulanmadığı takdirde, her ele geçirilmiş konteynerin yeni bir saldırı kaynağı haline gelmesiyle enfeksiyonların üstel şekilde artma potansiyeline sahip. Konteynerler, yazılım geliştirme, dağıtım ve ölçeklenebilirliğin temelini oluşturuyor. Bulut tabanlı ortamlar, DevOps süreçleri ve mikro hizmet mimarileri genelinde yaygın kullanımları, onları siber saldırganlar için cazip bir hedef haline getiriyor. Bu artan bağımlılık, kuruluşların güçlü güvenlik çözümlerini proaktif tehdit avcılığı ve düzenli güvenlik ihlali değerlendirmeleriyle birleştiren 360 derece bir güvenlik yaklaşımını benimsemelerini zorunlu kılıyor.”

Saldırganlar, “nginx” ve “cloud” isimlerini doğrudan ikili dosyanın (binary) içine gömmüşler — bu dosya, insanlar için değil, işlemci için talimatlar ve veriler içeren esnek olmayan bir çalıştırılabilir dosyadır. Bu, yüklenen zararlı yazılımın meşru bir araç gibi görünmesini sağlayan klasik bir gizlenme (maskeleme) taktiğidir ve hem güvenlik analistlerini hem de otomatik savunma sistemlerini aldatmayı amaçlıyor.

Kaspersky, konteynerle ilgili tehditlere karşı önlem almak için şunları öneriyor:

Docker API’lerini kullanan şirketler, olası şekilde açıkta bulunan altyapılarının güvenliğini derhal gözden geçirmelidir — özellikle, operasyonel bir gereklilik olmadıkça Docker API’lerini yayımlamaktan kaçınmalı ve yayımlanması gerekiyorsa bu API’leri TLS (Aktarım Katmanı Güvenliği) ile korumayı düşünmelidir.

Kaspersky Güvenlik İhlali Değerlendirmesi (Compromise Assessment) ile, devam eden siber saldırıları ve daha önce fark edilmeden atlatılmış gizli saldırıları ortaya çıkarın.

Konteynerleştirme, günümüzde en popüler uygulama geliştirme yöntemidir. Ancak bir konteyner altyapısının her bileşeninde riskler ortaya çıkabilir ve bu durum iş süreçlerini ciddi şekilde etkileyebilir. Konteynerleştirilmiş ortamların korunması son derece önemlidir ve özel güvenlik çözümleri gerektirir. Kaspersky Container Security konteyner tabanlı uygulama geliştirmenin tüm aşamalarında güvenlik sağlar. Geliştirme sürecinin yanı sıra, çalışma zamanı sırasında da koruma sunar; örneğin yalnızca güvenilir konteynerlerin başlatılmasına izin verir, konteyner içindeki uygulama ve hizmetlerin çalışmasını denetler ve ağı izler.

Kaspersky’nin Güvenlik İhlali Değerlendirmesi (Compromise Assessment), Yönetilen Tespit ve Müdahale (Managed Detection and Response - MDR) ve Olay Müdahalesi (Incident Response) gibi yönetilen güvenlik hizmetlerini benimseyin. Bu hizmetler, tehditlerin tespitinden sürekli koruma ve iyileştirmeye kadar olay yönetim döngüsünün tamamını kapsar. Söz konusu hizmetler, sinsi siber saldırılara karşı koruma sağlar, olayları araştırır ve siber güvenlik personeli eksik olsa bile kuruluşa ek uzmanlık desteği sunar.

Tam teknik analiz Securelist üzerinde mevcut. Kaspersky ürünleri, bu kötü amaçlı yazılımları şu şekilde tespit etmektedir: Trojan.Linux.Agent.gen ve RiskTool.Linux.Miner.gen.