Açık Docker API’lerini hedefleyen saldırganlar Tor ağı üzerinden gizlenerek botnet altyapısı kuruyor
Araştırmacılar, Docker API açıklıklarını istismar eden bir tehdit aktörünün kripto madenciliğinden daha karmaşık bir kötü amaçlı yazılım dağıtımına geçtiğini ve Tor ağı üzerinden gizlenerek kalıcı erişim, yayılma ve olası botnet oluşturma girişiminde bulunduğunu tespit etti.
Siber güvenlik firmaları, Docker API açıklıklarını istismar eden saldırıların giderek daha gelişmiş hale geldiğini raporladı. Akamai araştırmacılarına göre saldırganlar, Tor ağı üzerinden kimliklerini gizleyerek kurban sistemlere kalıcı erişim sağlıyor ve potansiyel bir botnet altyapısı oluşturuyor.
İlk olarak Trend Micro tarafından Haziran ayında raporlanan saldırılar, başlangıçta kripto madenciliği odaklı zararlı kodlarla dikkat çekmişti. Ancak yeni bulgular, saldırıların artık daha karmaşık bir yükleme zinciri içerdiğini gösteriyor.
Enfeksiyon zinciri
Saldırganlar, 2375 numaralı port üzerinden açık Docker API’lerini arıyor ve Alpine Linux tabanlı özel bir imaj kullanarak kapsül (container) oluşturuyor. Bu kapsül, base64 ile kodlanmış komutları çözüp çalıştırarak curl ve Tor’u yüklüyor, ardından Tor üzerinden ikinci aşama zararlı kodları indiriyor.
İkinci aşama betik (docker-init.sh), saldırganların SSH üzerinden kalıcı erişim kazanmasını sağlıyor ve her dakika çalışan bir cron görevi ekleyerek 2375 numaralı porta dışarıdan erişimi engelliyor. Ayrıca tarama ve yayılmayı kolaylaştırmak için masscan, zstd, libpcap ve torsocks gibi araçlar yüklüyor.
Devamında, sıkıştırılmış bir Go tabanlı ikili dosya sisteme yerleştiriliyor ve çalıştırılıyor. Bu yazılım, sisteme bağlı kullanıcıları tespit ediyor ve diğer açık Docker API’lerine yayılmaya çalışıyor. Rakip zararlı kapsülleri silerek kontrolü tekeline alıyor.
Botnet yapısına doğru evrim
Akamai, kötü amaçlı yazılımda henüz aktif olmayan ancak gelecekte kullanılabilecek Telnet istismarı, Chrome uzaktan hata ayıklama arayüzüne erişim ve kimlik bilgisi hırsızlığı gibi işlevler bulunduğunu bildirdi. Bu da saldırının, kimlik avı, tarayıcı oturumu ele geçirme, dosya indirme ve DDoS saldırıları gibi farklı yönlere evrilebileceğini gösteriyor.
Araştırmacılar, mevcut örneğin henüz tam bir botnet sürümü olmadığını ancak çok vektörlü bir tehdit haline doğru geliştiğini vurguluyor.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
