Bulut tabanlı altyapıyı hedefleyen tek günlük bir işlemde 251 kötü amaçlı IP adresi uygulayan son derece koordineli bir keşif kampanyası.
8 Mayıs 2025’te meydana gelen saldırı, tehdit aktörleri birden fazla kurumsal teknolojide savunmasız sistemleri soruşturmak için 75 farklı maruz kalma puanı kullandıkça eşi görülmemiş bir koordinasyon gösterdi.
Bulut tabanlı keşif operasyonu
Koordineli kampanya, yalnızca Amazon Web Services altyapısını kullandı ve 251 IP adresinin tümü Japonya’ya yerleşti ve AWS Cloud Services tarafından düzenlendi.
.png
)
Güvenlik analistleri, her IP adresi sadece 8 Mayıs zaman diliminde aktif kaldığından, koordineli dalgalanmadan önce veya sonra gözlemlenebilir bir aktivite olmadan operasyonun cerrahi hassasiyetini kaydetti.
Bu model, özellikle bu keşif operasyonu için bulut altyapısının geçici kiralanmasını güçlü bir şekilde göstermektedir.
Grinnoise’in örtüşme analizi, saldıran altyapı arasında dikkate değer bir koordinasyon ortaya koydu.
Spesifik olarak, Adobe ColdFusion güvenlik açıkları (CVE-2018-15961) için 295 IP adresi taranırken, 265 IPS hedefli Apache Struts sistemlerini (CVE-2017-5638) ve 260 IPS problu elasticsearch uygulamaları (CVE-2015-1427).
En önemli bulgu, her üç güvenlik açığı kategorisinde örtüşen 251 IP’nin 75 Greynoise algılama etiketi setini tetiklediğini gösterdi.
Teknik analiz, bunun rastgele tarama aktivitesi olmadığını değil, merkezi olarak kontrol edilen bir işlem olduğunu göstermektedir.
Altyapı, Greynoise araştırmacıları tarafından derlenen kapsamlı 251 adres listesinde 13.112.127.102, 13.113.184.40 ve 18.176.55.146 gibi IP adreslerini içeriyordu.
Hedeflenen birden fazla işletme güvenlik açığı
Saldırı kampanyası, büyük ölçüde kurumsal kenar altyapısına odaklanarak çeşitli teknoloji yığınları üzerindeki kritik güvenlik açıklarını sistematik olarak hedefledi.
Birincil hedefler arasında Adobe Coldfusion uzaktan kod yürütme güvenlik açıkları (CVE-2018-15961), Apache Struts OGNL enjeksiyon kusurları (CVE-2017-5638) ve Elasticsearch Groovy Sandbox bypasserutions (CVE-2015-1427) vardı.
Ek keşif çabaları, Oracle WebLogic sunucularını, Apache Tomcat kurulumlarını ve WordPress, Drupal ve Atlassian Confluence platformları dahil olmak üzere çeşitli içerik yönetim sistemlerini kapsadı.
Saldırganlar ayrıca GPON yönlendiricileri (CVE-2018-10561), Netgear kablosuz erişim noktaları ve çeşitli ağa bağlı depolama sistemleri dahil olmak üzere IoT cihazlarını hedefleyen özel tarama tekniklerini kullandılar.
Özellikle Shellshock (CVE-2014-6271) ve eski Elasticsearch uygulamaları gibi eski güvenlik açıklarına odaklanıldı ve saldırganların özellikle gecikmiş yama döngüleri olan kuruluşları hedeflediklerini düşündürdü.
2025 Verizon Veri ihlali araştırmaları raporu, daha önce Edge altyapısını kritik bir risk alanı olarak vurgulamış ve kütleye ve iyileştirme gecikmelerindeki eğilimlere dikkat çekmişti.
Savunma önerileri
Birincil öneriler arasında şüpheli etkinlik için 8 Mayıs güvenlik günlüklerinin gözden geçirilmesi, belirlenen 251 kötü niyetli adres için IP engellemesinin uygulanması ve 75 spesifik güvenlik açığı kategorisini hedefleyen IP’ler için dinamik engelleme mekanizmaları oluşturulması yer alır.
Geynoise, 251 IP adresinin tümünü kötü niyetli olarak sınıflandırdı ve kuruluşların IPTables -A giriş -s gibi IPTables komutlarını kullanarak otomatik engelleme uygulamalarını önerir. [malicious_ip] -J Linux sistemleri için damla veya ilgili altyapıları için eşdeğer güvenlik duvarı kuralları.
Bu koordineli kampanya, fırsatçı ancak düzenlenmiş tarama operasyonlarındaki daha geniş eğilimleri yansıtmaktadır.
Benzer keşif kalıpları, Ivanti EPMM sistemlerindeki açıklanan güvenlik açıklarından önce gelen son tarama aktivitesiyle kanıtlandığı gibi, tarihsel olarak sıfır gün güvenlik açıklarının keşfinden önce gelmiştir.
Kuruluşlar, koordineli taramayı erken bir uyarı sinyali olarak ele almalı ve maruz kalan sistemleri proaktif olarak sertleştirmeli potansiyel takip sömürü girişimlerine karşı sertleştirmelidir.
Derinlemesine sanal alan kötü amaçlı yazılım analizini deneyin Soc çayınızM. Herhangi birini alın. Özel Teklif Yalnızca 31 Mayıs’a kadar -> Burada deneyin