Yanlış Yapılandırılmış Docker API’leri Üzerinden TOR Tabanlı Kripto Madenciliği ve AWS SES Kimlik Avı Saldırıları

Anasayfa » Yanlış Yapılandırılmış Docker API’leri Üzerinden TOR Tabanlı Kripto Madenciliği ve AWS SES Kimlik Avı Saldırıları
Bulut Güvenliği, Haberler, Kötü Amaçlı Yazılım, Siber Güvenlik
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Yanlış Yapılandırılmış Docker API’leri Üzerinden TOR Tabanlı Kripto Madenciliği ve AWS SES Kimlik Avı Saldırıları

Docker API Hatalarından Kaynaklanan TOR Tabanlı Kripto Madenciliği

Akamai tarafından tespit edilen yeni bir saldırı, yanlış yapılandırılmış Docker API’lerine internetten erişim sağlanarak Alpine tabanlı konteynerlerde TOR ağı üzerinden XMRig kripto madencisi dağıtımını içeriyor. Güvenlik araştırmacısı Yonatan Gilvarg’ın belirttiği üzere, bu varyant orijinalinden farklı olarak karmaşık bir botnet altyapısı kurma potansiyeline sahip.

Saldırı zinciri, Base64 kodlu yüklerin çalıştırılması ve .onion alan adlarından kabuk betiği indiricilerinin temin edilmesiyle başlıyor. Betikler, SSH yapılandırmalarını değiştirerek kalıcılık sağlıyor, masscan, libpcap, zstd ve torsocks gibi araçlarla keşif ve komut kontrolü gerçekleştiriyor. Dropper, Go dilinde yazılmış olup, utmp dosyasını analiz ederek aktif kullanıcıları tespit ediyor; bu kodda bir emoji kullanımı, büyük dil modeli (LLM) desteğine işaret ediyor.

Dropper, 2375 numaralı Docker API portunu tarayarak enfeksiyonu yaymaya çalışırken, 23 (Telnet) ve 9222 (Chromium uzaktan hata ayıklama) portlarını da kontrol ediyor. Telnet üzerinden varsayılan kimlik bilgileriyle kaba kuvvet saldırısı yapılıyor ve başarılı girişler webhook.site’a raporlanıyor. 9222 portu ise chromedp kütüphanesiyle Chromium oturumlarına uzaktan erişim ve veri hırsızlığı için kullanılıyor. Bu port üzerinden alınan bilgiler “httpbot/add” endpointine gönderilerek botnetin genişlemesi hedefleniyor.

AWS SES Üzerinden Geniş Ölçekli Kimlik Avı Kampanyası

Bulut güvenlik şirketi Wiz, Mayıs 2025’te ele geçirilmiş AWS erişim anahtarlarıyla yürütülen büyük çaplı bir Amazon Simple Email Service (SES) kimlik avı operasyonunu ortaya koydu. Anahtarların ele geçirilme yöntemi kesinleşmemekle birlikte, kod depoları, yanlış yapılandırmalar veya kötü amaçlı yazılımlar olası kaynaklar arasında yer alıyor.

Wiz araştırmacıları Itay Harel ve Hila Ramati, saldırganların ele geçirilen anahtarlarla AWS ortamına erişip SES kısıtlamalarını aşarak yeni gönderen kimlikleri doğruladığını ve çok sayıda coğrafya ve sektördeki kurumu vergi temalı tuzaklarla hedef aldığını belirtti. Bu durum, marka itibarına zarar vermekle kalmayıp, hedefli kimlik avı ve veri hırsızlığı gibi daha karmaşık saldırılara zemin hazırlıyor.

AWS sözcüsü, müşterileri hesap güvenliği için önerilen rehberlikleri takip etmeye çağırırken, kötüye kullanım şüphesi durumunda raporlama yapmalarını tavsiye etti.

Uzmanlar, ağ segmentasyonu, internet maruziyetinin sınırlandırılması ve varsayılan kimlik bilgilerinin güvence altına alınmasının bu tür tehditlere karşı kritik önlemler olduğunu vurguluyor.

, , , , , , ,