Komando Kedi kampanyası, Docker uzaktan API sunucularını hedef alarak kripto madencileri yerleştiren önemli bir siber güvenlik tehdidi olarak ortaya çıktı. 2024’ün başlarından itibaren aktif olan bu saldırı, Docker ortamlarını sömürmek için kamuoyuna açık Komando projesini kullanıyor. Bu kampanya, Docker yapılandırmalarındaki güvenlik açıklarını vurgulayarak izinsiz erişime ve ardından kötü amaçlı yüklerin dağıtılmasına yol açıyor. Siber güvenlik uzmanları, bu tür tehditleri hafifletmek için sağlam güvenlik protokollerinin gerekliliğini vurgulamaktadır.
İlk Erişim
Saldırının ilk aşaması, cmd.cat/chattr adında görünüşte zararsız bir Docker imajının dağıtılmasıyla başlar. Bu imaj dağıtıldıktan sonra, saldırgan bu imaja dayalı bir konteyner oluşturur ve chroot kullanarak konteyner ortamından çıkıp ana işletim sistemine erişir. Daha sonra curl ve wget gibi araçlar kullanılarak kötü amaçlı ikili dosya ana sisteme indirilir ve böylece tehlike başlar.
Saldırı Dizisi
Saldırı dizisi, Docker uzaktan API sunucusuna bir ping atılmasıyla başlatılır. Sunucu yanıt verirse, saldırgan cmd.cat/chattr imajını kullanarak bir konteyner oluşturur. Bu adımda, saldırganın ana dosya sistemine ve Docker daemon’ına erişim sağlaması için hacimler bağlanır. Eğer imaj sunucuda bulunmazsa, cmd.cat deposundan çekilir ve konteyner dağıtılır. Konteyner içinde base64 kodlu bir betik çalıştırılır, belirli dosyaları kontrol eder ve gerekirse kötü amaçlı ikilileri indirir.
Değerli Bilgiler
– Açık Docker uzaktan API sunucuları, kamuoyuna açık araçlar kullanan saldırganlar için başlıca hedeflerdir.
– Docker ortamlarının en iyi güvenlik uygulamalarını takip etmesi riskleri önemli ölçüde azaltabilir.
– Düzenli güvenlik denetimleri, Docker yapılandırmaları içinde kötü amaçlı faaliyetleri tespit etmek ve önlemek için hayati öneme sahiptir.
Kampanya, Docker ortamlarını sofistike saldırılara karşı korumanın kritik önemini göstermektedir. Yanlış yapılandırmaları sömürerek ve açık kaynaklı araçları kullanarak, saldırganlar sistemlere sızabilir ve kripto madencileri yerleştirebilir. Docker kullanımı arttıkça, bu tür tehditlere karşı etkili bir şekilde korunmak için katı güvenlik önlemleri almak hayati önem taşımaktadır.
- Docker API sunucuları, saldırı için başlıca hedeflerdir.
- En iyi güvenlik uygulamaları riskleri azaltabilir.
- Düzenli denetimler kötü amaçlı faaliyetleri önler.
