Image by Henrik L., from Unsplash
Kendini Kopyalayan Zombi Zararlı Yazılımı, Docker’ı Hedef Alıyor
Okuma süresi: 2 dk.
Son Güncellenen May 28, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Güvencesiz Docker konteynerları, gizlilik odaklı kripto para birimi Dero’yu madencilik yapan bir zombi ağı oluşturan otomatik olarak yayılan zararlı yazılım tarafından gasp edilmiştir.
Acele mi ediyorsunuz? İşte hızlı bilgiler:
- Malware, savunmayı karmaşıklaştıran bir komuta-kontrol sunucusu olmadan otomatik olarak yayılır.
- İki Golang implantı: sahte nginx aracı ve gizli Dero bulut madencisi.
- Malware, mevcut konteynerları ele geçirir ve otomatik olarak yeni zararlı konteynerlar oluşturur.
Yeni bir kripto madencilik kampanyası, güvencesiz Docker konteynerlerini, gizlilik odaklı kripto para birimi Dero’yu madencilik yapan hızla yayılan bir zombi ağına dönüştürüyor. Zararlı yazılım, bir komut ve kontrol sunucusu olmadan kendi kendine yayılıyor, bu da onu durdurmayı zorlaştırıyor.
Kaspersky‘da çalışan araştırmacılar, rutin bir güvenlik değerlendirmesi sırasında enfeksiyonu keşfettiler. “Kötü amaçlı aktivitelerle çalışan bir dizi konteynır tespit ettik,” dediler.
Saldırı, çevrimiçi olarak bulunan açık Docker API’leri ile başlar. Bir tanesi ihlal edildiğinde, zararlı yazılım yeni kötü amaçlı konteynırlar oluşturur ve mevcut olanları ele geçirir – onları Dero madenciliği yapan ve diğerlerini enfekte eden “zombilere” dönüştürür.
Saldırı, her ikisi UPX paketleme ile gizlenmiş iki Golang tabanlı kötü amaçlı yazılım implantı kullanır: biri nginx olarak adlandırılır (meşru web sunucusu ile karıştırılmamalıdır) ve diğeri cloud Dero madencisidir. Kaspersky, bunları Trojan.Linux.Agent.gen ve RiskTool.Linux.Miner.gen olarak tanımladı.
Nginx kötü amaçlı yazılımı, meşru bir web aracı olma izlenimi verir ve madenciyi sürekli çalışır durumda tutarken sürekli olarak interneti yeni hedefler için taramaktadır. 2375 portunda açık Docker API’lerini arar ve bunları tespit etmek için masscan gibi araçları kullanır. Bir kez zayıf bir sistem bulduğunda, sahte bir Ubuntu konteynırını yerleştirir ve kötü amaçlı yazılımı kurar.
Ayrıca, özel bir dosya olan version.dat’ı kontrol ederek mevcut konteynerları ele geçirmeye çalışır. Eğer dosya eksikse, zararlı yazılımı yükler ve madencilik yapmaya başlar.
Bulut madencisi, cüzdanını ve sunucu adreslerini şifreli dizeler kullanarak gizler. Bir kez deşifre olduktan sonra, araştırmacılar bunları geçmişte Kubernetes kümelerine yapılan saldırılara kadar izlediler.
“Bu implant, operatörle etkileşimi en aza indirmek için tasarlandı,” diye uyarıyor rapor, benzer kampanyaların hala aktif olabileceği konusunda.
Güvenlik uzmanları, Docker API’lerinin korumasız bir şekilde çevrimiçi olarak açıkta kalması durumunda, bu tür kripto para birimi madenciliği kampanyalarının devam edeceği konusunda uyarıyor. Kullanıcılar, açık API’leri devre dışı bırakarak ve ağ erişim kontrollerini sıkılaştırarak Docker ortamlarını güvence altına almalıdır.
Önceki Hikâye
Son makaleler 
