Kaspersky Security Services uzmanları, konteynerleştirilmiş ortamları hedef alan ve Dero kripto para birimi için bir madenci yerleştiren karmaşık bir siber saldırı kampanyasını ortaya çıkardı. Saldırganlar, açıkta bırakılmış Docker API’lerini — açık kaynaklı bir konteyner geliştirme platformu olan Docker’ın parçalarını — kötüye kullanıyor. 2025 yılında, dünya genelinde her ay ortalama 500 civarında Docker API varsayılan portunun güvensiz şekilde yayımlandığı tespit edildi. Keşfedilen kampanyada, siber suçlular ele geçirilen sistemlere iki tür kötü amaçlı yazılım enjekte ediyor: biri madenci yazılımı, diğeri ise kampanyayı diğer güvensiz konteyner ağlarına yayabilen bir yayılma (propagasyon) yazılımı.
Kaspersky uzmanları, bu kötü amaçlı kampanyayı bir güvenlik ihlali değerlendirme projesi kapsamında keşfetti. Uzmanların tahminlerine göre, konteynerleştirilmiş altyapı kullanan ve Docker API’lerini sağlam güvenlik önlemleri olmadan açıkta bırakan her kuruluş potansiyel bir hedef olabilir. Bu kuruluşlar arasında teknoloji şirketleri, yazılım geliştirme firmaları, barındırma (Hosting) hizmeti sağlayıcıları, bulut hizmeti sağlayıcıları ve diğer çeşitli işletmeler yer alabilir.
Shodan’a göre, 2025 yılında dünya genelinde her ay ortalama 485 adet Docker API varsayılan portu yayımlandı. Bu rakam, saldırganların hedef alabileceği güvensiz şekilde açıkta bırakılmış portları — yani “giriş noktalarını” — sayarak kampanyanın potansiyel saldırı yüzeyini gözler önüne seriyor.
Saldırganlar güvensiz şekilde yayımlanmış bir Docker API’si tespit ettiklerinde, ya mevcut konteynerleri ele geçiriyor ya da standart ve yasal bir Ubuntu imajı temelinde yeni kötü amaçlı konteynerler oluşturuyor. Ardından ele geçirilen konteynerlere iki tür kötü amaçlı yazılım enjekte ediyorlar: “nginx” ve “cloud”. Bunlardan “cloud”, Dero kripto para birimini madenciliği yapan bir yazılımdır; “nginx” ise kalıcılığı sağlayan, madencinin çalışmasını güvence altına alan ve diğer açıkta bırakılmış ortamları tarayan zararlı bir yazılımdır. Bu kötü amaçlı yazılım, saldırganların geleneksel Komuta ve Kontrol (C2) sunucularına ihtiyaç duymadan faaliyet göstermelerine olanak tanıyor; her enfekte konteyner bağımsız olarak interneti tarıyor ve madenciyi yeni hedeflere yayabiliyor.
Bir enfeksiyon zinciri şeması
Kaspersky Security Services’te olay müdahale ve güvenlik ihlali değerlendirme uzmanı Amged Wageh “Bu kampanya, hedef alınabilecek ağlarda güvenlik önlemleri derhal uygulanmadığı takdirde, her ele geçirilmiş konteynerin yeni bir saldırı kaynağı haline gelmesiyle enfeksiyonların üstel şekilde artma potansiyeline sahip. Konteynerler, yazılım geliştirme, dağıtım ve ölçeklenebilirliğin temelini oluşturuyor. Bulut tabanlı ortamlar, DevOps süreçleri ve mikro hizmet mimarileri genelinde yaygın kullanımları, onları siber saldırganlar için cazip bir hedef haline getiriyor. Bu artan bağımlılık, kuruluşların güçlü güvenlik çözümlerini proaktif tehdit avcılığı ve düzenli güvenlik ihlali değerlendirmeleriyle birleştiren 360 derece bir güvenlik yaklaşımını benimsemelerini zorunlu kılıyor.”
Saldırganlar, “nginx” ve “cloud” isimlerini doğrudan ikili dosyanın (binary) içine gömmüşler — bu dosya, insanlar için değil, işlemci için talimatlar ve veriler içeren esnek olmayan bir çalıştırılabilir dosyadır. Bu, yüklenen zararlı yazılımın meşru bir araç gibi görünmesini sağlayan klasik bir gizlenme (maskeleme) taktiğidir ve hem güvenlik analistlerini hem de otomatik savunma sistemlerini aldatmayı amaçlıyor.
