Greynoise, dünya çapında 3.600’den fazla farklı IP adresine sahip bir kazıyıcı botnet’in keşfedilmemiş bir versiyonunu keşfetti, bu da büyük bir siber güvenlik geliştirme.
İlk olarak 19 Nisan 2025’te gözlemlenen bu botnet, basit ve kolayca sahte bir kullanıcı ajanı dizesi olan “Hello-World/1.0” kullansa bile, öne çıkmasını sağlayan farklı bir davranışsal ayak izi sergiliyor.
Yüzeysel tanımlayıcılara dayanan geleneksel algılama yöntemlerinin aksine, Geynoise analistleri, Botnet’in ağ davranışına dayanan bir meta-imza oluşturmak için gelişmiş JA4+ imza paketinden yararlanmıştır.
Bu, HTTP başlıklarının yapısını ve sırasını yakalayan JA4H parmak izini ve TCP bağlantı kuruluşunun nüanslarını kodlayan JA4T parmak izini içerir.
Yeniden Taşınmamış Botnet varyantı
Birlikte, bu davranışsal belirteçler, bu botnet varyantı için küresel olarak benzersiz bir tanımlayıcı oluşturur, bu da kaçırma veya sahtekarlığı son derece zor hale getirir.
BOTNET’in trafik modeli, ağırlıklı olarak Amerika Birleşik Devletleri ve Birleşik Krallık’ta bulunan hedefleme sistemleri hedefleme sistemleri arasında tekrarlanan GET talepleri ile metodik bir yaklaşım ortaya koymaktadır.
Botnet altyapısının coğrafi analizi, Tayvan’da çarpıcı bir konsantrasyonla, toplamın% 54’ünü oluşturduğu Tayvan’da çarpıcı bir konsantrasyonla ilgili bir resim çiziyor.
Diğer önemli kümeler arasında 315 IP’li Japonya (%9), 265 IP’li Bulgaristan (%7) ve 111 IP’li Fransa (%3) yer alıyor.
Tayvanlı IP adreslerinin ezici varlığı, bölgedeki ortak bir teknolojinin veya hizmetin yaygın olarak uzlaşması veya bu kümelenmeyi yönlendiren ortak bir güvenlik açığına yerel olarak maruz kalma gibi potansiyel sistemik sorunları düşündürmektedir.
Tayvan’da ağır konsantrasyon
Tespit edilen toplam IP’lerden Greynoise, 1.359’u (%38) kötü niyetli ve 122 (%3) şüpheli olarak sınıflandırırken, 2,114 (%59), bilinen diğer kötü niyetli aktivite ile ilişki göstermez.
İlginç bir şekilde, sadece bir IP iyi huylu olarak tanımlandı, bu ağın ağırlıklı olarak zararlı doğasının altını çizdi.
Bu Botnet’in küresel erişimi ve sofistike parmak izi, davranış odaklı imzası, inceleme altında bile devam etmesine izin verdiği için geleneksel güvenlik önlemlerine meydan okuyor. Bu keşfin sonuçları siber güvenlik savunucuları için derindir.
Geynoise, kuruluşları bu botnet ile ilişkili tanımlanmış tüm IP’leri veri bütünlüğünü veya sistem performansını tehlikeye atabilecek otomatik kazıma faaliyetlerini engellemeye çağırarak derhal eylem önerir.
Reaktif önlemlerin ötesinde, savunuculara, bu IP’lerle veya bu IP’lerle yapılan herhangi bir iletişim için iç trafiği proaktif olarak izlemeleri tavsiye edilir, bu da ağlarında daha derin sızma veya tehlikeye atılmış cihazları gösterebilir.
Ayrıca, benzer JA4+ imzalarının izlenmesi, gelişen tehditlere karşı stratejik bir avantaj sağlayarak ilgili varyantları veya daha geniş kampanyaları ortaya çıkarabilir.
Grinnoise kullanıcıları, bu BotNet’in faaliyetlerinin önünde kalmak için Visualizer Aracı veya API aracılığıyla ayrıntılı bilgilere erişebilir.
Sıyırıcı botnets karmaşıklık içinde büyüdükçe, basit cepheleri karmaşık davranışsal desenlerle harmanlayarak, JA4+ gibi ileri parmak izi tekniklerine güvenmek vazgeçilmez hale gelir.
Bu keşif sadece siber suçluların sürekli yaratıcılığını vurgulamakla kalmaz, aynı zamanda dijital ekosistemlerin, özellikle ABD ve İngiltere’deki yüksek değerli hedefler için davranış temelli tespit için kritik ihtiyacın altını çizmektedir.
Botnet’in Tayvanlı ağlarına bağlı altyapısının yarısından fazlası ile uluslararası işbirliği ve uyanıklık bu tehdidi sökmenin ve bölgesel güvenlik açıklarının daha fazla kullanılmasını önlemenin anahtarı olacaktır.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.