Kripto Para Saldırıları ve Açık Docker API’lerinin Tehlikesi
Son dönemde, siber güvenlik araştırmacıları, TOR ağı aracılığıyla kripto para madenciliği yapmak için kullanılan bir kampanya varyantı keşfettiler. Bu saldırılar, açık durumda bulunan Docker API’lerini hedef alıyor. Akamai’nin geçen ay yaptığı araştırmalara göre, bu kampanya, diğer aktörlerin Docker API’sine internet üzerinden erişimini engellemeyi amaçlıyor.
Docker API Saldırıları: Yeni Varyantın Gelişimi
Trend Micro tarafından 2025 yılının Haziran ayında yapılan bir rapora dayanan bu bulgular, kötü niyetli bir kampanyanın hali hazırda mevcut olan Docker örneklerini hedef alarak gizlice bir XMRig kripto para madencisi yerleştirdiğini öne sürüyor. Güvenlik araştırmacısı Yonatan Gilvarg, yeni varyantın orijinal kampanyayla benzer araçları kullandığını ancak daha farklı bir son hedefe sahip olabileceğini belirtiyor; bu hedefin karmaşık bir botnet kurmak olabileceği düşünülüyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırı zinciri, yanlış yapılandırılmış Docker API’lerine sızarak Alpine Docker görüntüsüne dayalı yeni bir konteyner oluşturmakla başlıyor. Bu süreç, tehdit aktörlerinin Base64 ile kodlanmış bir yükü çalıştırarak .onion uzantılı bir alan adı üzerinden bir kabuk betiği indirmesini içeriyor. Bu kabuk betiği, yalnızca SSH yapılandırmalarını değiştirmenin yanı sıra, masscan, libpcap, libpcap-dev, zstd ve torsocks gibi çeşitli araçlar kurarak keşif yapıyor, bir komuta ve kontrol (C2) sunucusuyla iletişime geçiyor ve başka bir .onion alanından sıkıştırılmış bir ikili dosya indiriyor.
Gilvarg, “İndirilen ilk dosya, içeriğini bırakmak için yazılmış bir Go dropper’ıdır, böylece internete iletişim kurmaz” diyor. “Başka bir ikili dosya bırakmanın yanı sıra, utmp dosyasını çözerek makineye şu anda kimlerin giriş yaptığını buluyor.”
İkili Dosyanın Özellikleri ve Tehlikeleri
Bu dropper, internet üzerinde açık durumda bulunan port 2375 üzerindeki Docker API hizmetlerini taramak için Masscan’i çalıştırıyor ve enfeksiyonu bu makineler üzerinde yaymak amacıyla aynı kapsayıcı oluşturma işlemini tekrarlıyor. Ayrıca, ikili dosya, iki port için de kontroller içeriyor: 23 (Telnet) ve 9222 (Chromium tarayıcıları için uzaktan hata ayıklama portu). Ancak bu portlar aracılığıyla yayılma işlevselliği, henüz tam anlamıyla geliştirilmiş değil.
Telnet saldırı yöntemi, bilinen varsayılan yönlendirici ve cihaz kimlik bilgilerini kullanarak brute-force giriş denemeleri yapmayı ve başarılı oturum açma girişimlerini bir webhook site endpoint’ine göndererek hedef IP adresi ve kurban kimlik bilgileri hakkında detaylar iletmeyi içeriyor.
Malware ve Botnet Tehdidi
Port 9222 durumunda, kötü amaçlı yazılım, tarayıcıyla etkileşimde bulunmak için chromedp adı verilen bir Go kütüphanesini kullanıyor. Bu kütüphane daha önce Kuzey Koreli tehdit aktörleri tarafından C2 sunucularıyla iletişim kurmak için ve çerezler gibi özel verileri sızdırmak için kullanılmıştı. Kötü amaçlı yazılım, açık uzaktan port ile mevcut bir oturuma bağlanarak, aynı .onion alanına gönderim yapmakta ve bu esnada kaynak IP adresi ile erişim sağladığı yeri ile ilgili bilgi göndermektedir.
Bu detaylar “httpbot/add” adı verilen bir uç noktaya iletilerek, açık uzaktan hata ayıklama portlarına sahip cihazların botnet’lere dahil olabileceği ihtimalini artırıyor. Gilvarg, “Kötü amaçlı yazılım yalnızca port 2375’i tarıyor, bu nedenle 23 ve 9222’ye ilişkin mantık şu anda erişilemez durumda. Ancak, uygulama mevcut olduğu için gelecekteki yeteneklere işaret ediyor.” diyerek durumu özetliyor.
Önleme Yöntemleri ve Güvenlik Önerileri
Saldırganlar, kötüye kullanılan API’ler üzerinde ciddi bir kontrol sahibi olabilirler. Ağların segmentasyonu, hizmetlerin internet üzerindeki görünürlüğünün kısıtlanması ve varsayılan kimlik bilgilerini güvence altına almak gibi önlemlerin önemi asla abartılamaz. Bu tür tedbirlerin benimsenmesi, organizasyonların yukarıda bahsedilen tehditlere karşı duyarlılığını önemli ölçüde azaltabilir.
Bu bağlamda, siber güvenlik alanında alınacak önlemler ve yapılacak iyileştirmeler, kuruluşların hem kendi sistemlerini hem de kullanıcılarını koruma altına alabilmesi açısından kritik bir öneme sahiptir. Cybersecurity’de alınacak önlemlerle, güvenlik duvarlarının güçlendirilmesi ve personelin eğitimi gibi stratejiler, siber saldırılara karşı daha sağlam bir savunma sağlar.
