Ana SayfaHaberler* Saldırganlar, bulut ortamlarında kripto para madenciliği yapmak için yanlış yapılandırılmış Docker API'lerini istismar ediyor.
Kripto madencilerini dağıtırken faaliyetlerini gizlemek için Tor ağını kullanıyorlar.
Saldırganlar erişim kazanır, yeni konteynerler oluşturur ve kritik sistem dizinlerini bağlayarak konteyner kaçışlarını riske atar.
Saldırı, uzaktan erişim kurmak, veri toplamak ve XMRig madencisini kurmak için araçlar ve scriptler yüklemeyi içerir.
Son bulgular, kamu kodu havuzlarında yüzlerce sızdırılmış kimlik bilgisi olduğunu gösteriyor, bu da şirketleri daha fazla riske maruz bırakıyor.
Trend Micro araştırmacılarının Haziran 2025'te yayınladığı bulgulara göre, kötü yapılandırılmış Docker örneklerini hedef alan aktif bir kampanya, gizlice kripto para madenciliği yapıyor. Saldırganların, savunmasız bulut tabanlı konteynerlere kripto madencilik araçlarını dağıtırken anonim kalmak için Tor ağını kullanarak kötü yapılandırılmış Docker API'lerini istismar ettikleri bildiriliyor.
Reklam - Araştırmacılar, saldırının genellikle bir Docker API isteği ile başladığını ve bu isteğin ana makinedeki konteynerlerin listesini almak için yapıldığını gözlemlediler. Eğer hiçbir konteyner yoksa, saldırganlar yeni bir konteyner oluşturur ve "alpine" imajını kullanarak ana sistemin kök dizinini paylaşılan bir alan olarak bağlarlar. Bu adım, saldırganların konteyner izolasyonunu aşmasına ve ana makinadaki dosyalara erişmesine olanak tanıyabilir ve daha geniş bir sistemin ele geçirilme riskini artırabilir.
Trend Micro, saldırganların yeni bir konteyner oluşturduktan sonra, konteynere Tor yüklemek için Base64 kodlu bir kabuk komut dosyası çalıştırdığını belirtiyor. Daha sonra, tüm trafiği Tor üzerinden yönlendirmek için "socks5h" gibi araçları ve ayarları kullanarak bir .onion adresinde barındırılan uzak bir komut dosyasını indirir ve çalıştırırlar. Araştırmacılara göre, * "Saldırganlar tarafından komuta ve kontrol (C&C) altyapısını gizlemek, tespit edilmekten kaçınmak ve güvenliği ihlal edilmiş bulut veya konteyner ortamlarında Kötü Amaçlı Yazılım veya madenciler dağıtmak için kullanılan yaygın bir taktiği yansıtıyor"* * bu yöntemin saldırının kaynağını izleme çabalarını zorlaştırdığını da sözlerine ekledi.
Ortam kurulduktan sonra, saldırganlar "docker-init.sh" adlı bir kabuk komut dosyası dağıtır. Bu komut dosyası, "/hostroot" dizininin bağlı olup olmadığını kontrol eder, kök oturum açmayı etkinleştirmek için SSH yapılandırmalarını değiştirir ve gelecekteki erişim için bir saldırganın SSH anahtarını ekler. Saldırganların ağları taramasına ve tespit edilmekten daha fazla kaçmasına olanak tanıyan masscan ve torsocks gibi ek araçlar kurulur. Saldırı, tehdit aktörleri tarafından kontrol edilen cüzdan adresleri ve madencilik havuzları ile yapılandırılmış bir XMRig kripto para madencisinin kurulmasıyla sona eriyor.
Trend Micro, bu etkinliğin öncelikle teknoloji, finans ve sağlık sektörlerini hedef aldığını belirtmektedir. Şirket ayrıca, Wiz'in yüzlerce hassas kimlik bilgisinin, etkilenen kuruluşların yeni başlayanlardan Fortune 100 şirketlerine kadar değiştiği Python defterleri ve uygulama yapılandırma dosyaları dahil olmak üzere, kamuya açık havuzlarda ortaya çıktığını keşfetmesinin ardından ilgili bir güvenlik riskini vurgulamaktadır. Araştırmacılar, paylaşılan Python defterlerinde yapılan kod yürütme sonuçlarının, kaynaklarıyla ilişkilendirme yeteneğine sahip saldırganlara değerli bilgiler sunabileceği konusunda uyarıda bulunmaktadır.
Bu eğilim, bulut ve konteyner ortamlarının güvenliğinin sağlanmasının önemini vurgulamaktadır, özellikle de saldırganlar istismarları otomatikleştirmeye ve kamuya açık kod depolarında ifşa edilmiş kimlik bilgilerini aramaya devam ederken.
Önceki Makaleler:
Mastercard, stablecoinleri artırmak için Paxos Global Dolar Ağı'na katıldı.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Saldırganlar Docker API'lerini ve Tor'u Kullanarak Bulut Kripto Soygunu Başlatıyor
Ana SayfaHaberler* Saldırganlar, bulut ortamlarında kripto para madenciliği yapmak için yanlış yapılandırılmış Docker API'lerini istismar ediyor.
Trend Micro, saldırganların yeni bir konteyner oluşturduktan sonra, konteynere Tor yüklemek için Base64 kodlu bir kabuk komut dosyası çalıştırdığını belirtiyor. Daha sonra, tüm trafiği Tor üzerinden yönlendirmek için "socks5h" gibi araçları ve ayarları kullanarak bir .onion adresinde barındırılan uzak bir komut dosyasını indirir ve çalıştırırlar. Araştırmacılara göre, * "Saldırganlar tarafından komuta ve kontrol (C&C) altyapısını gizlemek, tespit edilmekten kaçınmak ve güvenliği ihlal edilmiş bulut veya konteyner ortamlarında Kötü Amaçlı Yazılım veya madenciler dağıtmak için kullanılan yaygın bir taktiği yansıtıyor"* * bu yöntemin saldırının kaynağını izleme çabalarını zorlaştırdığını da sözlerine ekledi.
Ortam kurulduktan sonra, saldırganlar "docker-init.sh" adlı bir kabuk komut dosyası dağıtır. Bu komut dosyası, "/hostroot" dizininin bağlı olup olmadığını kontrol eder, kök oturum açmayı etkinleştirmek için SSH yapılandırmalarını değiştirir ve gelecekteki erişim için bir saldırganın SSH anahtarını ekler. Saldırganların ağları taramasına ve tespit edilmekten daha fazla kaçmasına olanak tanıyan masscan ve torsocks gibi ek araçlar kurulur. Saldırı, tehdit aktörleri tarafından kontrol edilen cüzdan adresleri ve madencilik havuzları ile yapılandırılmış bir XMRig kripto para madencisinin kurulmasıyla sona eriyor.
Trend Micro, bu etkinliğin öncelikle teknoloji, finans ve sağlık sektörlerini hedef aldığını belirtmektedir. Şirket ayrıca, Wiz'in yüzlerce hassas kimlik bilgisinin, etkilenen kuruluşların yeni başlayanlardan Fortune 100 şirketlerine kadar değiştiği Python defterleri ve uygulama yapılandırma dosyaları dahil olmak üzere, kamuya açık havuzlarda ortaya çıktığını keşfetmesinin ardından ilgili bir güvenlik riskini vurgulamaktadır. Araştırmacılar, paylaşılan Python defterlerinde yapılan kod yürütme sonuçlarının, kaynaklarıyla ilişkilendirme yeteneğine sahip saldırganlara değerli bilgiler sunabileceği konusunda uyarıda bulunmaktadır.
Bu eğilim, bulut ve konteyner ortamlarının güvenliğinin sağlanmasının önemini vurgulamaktadır, özellikle de saldırganlar istismarları otomatikleştirmeye ve kamuya açık kod depolarında ifşa edilmiş kimlik bilgilerini aramaya devam ederken.
Önceki Makaleler: