İlerleme yazılımının MoveIT transfer dosya paylaşım platformunu hedefleyen tarama ve sömürü etkinliğinde dramatik bir artış, siber güvenlik araştırmacılarını ve işletme savunucularını dünya çapında endişelendirdi.
Son 90 gün boyunca, tehdit istihbarat firması Greynoise, 27 Mayıs 2025’te başlayan en yoğun aktivite ile, tek bir günde sıfırdan 100’e kadar benzersiz IP’ye yükselen 27 Mayıs 2025’te başlayan 682 benzersiz IP adresi tespit etti.
28 Mayıs’a kadar, bu sayı 319 benzersiz IP’ye tırmandı ve günlük tarama hacimleri kalıcı olarak arttı ve o zamandan beri günde 200 ila 300 IP arasında dalgalandı.
.png
)
Saldırı altyapısı, birkaç büyük bulut sağlayıcısı arasında büyük ölçüde yoğunlaşıyor. Tencent Cloud, tüm tarayıcı IP’lerinin% 44’ünü (682 üzerinden 303’ü) oluşturuyor ve bu da onu en aktif kaynak haline getiriyor.
Diğer önemli katkıda bulunanlar arasında Cloudflare (113 IPS), Amazon (94) ve Google (34) yer alıyor.
Bu konsantrasyon seviyesi – özellikle tek bir otonom sistem numarası (ASN) içinde – taramanın rastgele veya dağıtılmış problamanın sonucundan ziyade hem kasıtlı hem de programlı olarak yönetildiğini göstermektedir.
Coğrafi olarak, tarayıcı IP’lerinin çoğunluğu Amerika Birleşik Devletleri’ne yerleşirken, bu taramalar için en iyi hedef ülkeler Birleşik Krallık, Amerika Birleşik Devletleri, Almanya, Fransa ve Meksika’yı içermektedir.
Bu bölgelerin hedeflenmesi, risk altındaki birçok endüstrideki kuruluşlarla tehdidin küresel doğasını vurgulamaktadır.
12 Haziran 2025’te Greynoise, hareket aktarım sistemlerini hedefleyen düşük hacimli sömürü girişimleri de gözlemledi.
Bu girişimler daha önce açıklanan iki güvenlik açıkına bağlanmıştır: CVE-2023-34362 ve CVE-2023-36934.
Bu olaylar hedef doğrulamayı veya sömürü testini gösterebilirken, Geynoise henüz yaygın sömürü tespit etmemiştir.
Bununla birlikte, artan tarama döneminde sömürü girişimlerinin varlığı, saldırganların transfer kullanıcılarını taşımak için yarattığı sürekli tehdidin altını çizmektedir.
Kuruluşlar tarafından güvenli dosya transferleri için yaygın olarak kullanılan MoveIT transfer platformu, son yıllarda siber suçlular için sık bir hedef olmuştur.
Önceki saldırılar, sıfır gün güvenlik açıklarının kullanılmasını içeriyordu, bu da genellikle özel web mermilerinin kurulumu ve binlerce kuruluş ve yaklaşık 100 milyon kişiden hassas verilerin uygulanmasına neden oldu.
Mevcut tarama ve sömürü denemeleri dalgası, saldırganların bir kez daha hareketli transfer sistemlerindeki zayıflıkları araştırdığını ve potansiyel olarak yeni veri ihlali kampanyalarına hazırlandığını göstermektedir.
Güvenlik uzmanları, kuruluşların sistemlerini korumak için derhal harekete geçmelerini önermektedir.
Anahtar savunma önlemleri, kötü niyetli ve şüpheli IP’lerin dinamik olarak engellenmesi, MoveIT transfer sistemlerinin halka açık maruziyetini denetleme ve CVE-2023-34362 ve CVE-2023-36934 dahil olmak üzere bilinen güvenlik açıkları için yamaların uygulanmasını içerir.
Tehdit aktörleri taktikleri kaydırabilir veya savunma önlemlerine yanıt olarak çabalarını artırabilir, çünkü saldırgan faaliyetlerinin sürekli izlenmesi de kritiktir.
MoveIT transferinin devam eden hedeflemesi, kuruluşların yaygın olarak kullanılan dosya paylaşım çözümlerine dayanan daha geniş zorlukları vurgulamaktadır.
Büyük bulut sağlayıcılarındaki saldırı altyapısının yoğunlaşması, atıf ve azaltma çabalarını karmaşıklaştırırken, saldırıların küresel erişimi siber güvenlik savunmasında uluslararası işbirliğine duyulan ihtiyacın altını çizmektedir.
Durum geliştikçe, Grinnoise ve diğer tehdit istihbarat sağlayıcıları, savunucuların ortaya çıkan tehditlere daha hızlı yanıt vermelerine yardımcı olmak için gelişmiş dinamik IP block listeleri geliştiriyorlar.
Kuruluşların bu kalıcı ve gelişen tehdit manzarası karşısında dikkatli kalmaları ve dosya aktarım sistemlerinin güvenliğine öncelik vermeleri istenmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin