Şüpheli çevrimiçi etkinlik dalgası dalgası, bilgisayar korsanları Ivanti Connect Secure (ICS) ve Ivanti Pulse Secure (IPS) VPN sistemlerindeki güvenlik açıklarını inceleme çabalarını arttırırken kuruluşları uyarmaya sokuyor.
Siber güvenlik firması Greynoise, şüpheli tarama faaliyetlerinde dokuz kat dramatik bir artış tespit etti ve bu da gelecekteki sömürü öngörebilecek koordineli keşif önerdi.
Greynoise’e göre, 230’dan fazla benzersiz IP adresi, sadece 18 Nisan’da ICS ve IPS VPN uç noktalarını hedef aldı – 30’dan az tipik günlük ortalamadan keskin bir artış.
.png
)
Daha da önemlisi, son 90 gün içinde, benzer aktivitede yer alan benzersiz IP’lerin sayısı 1.004’e yükseldi.
Bir greynoise sözcüsü, “Bu sadece izole bir gürültü değil,” diye açıkladı. “Böyle ani sivri uçlar, özellikle saldırganlar kamuya açıklanmadan önce yeni güvenlik açıkları aradıklarından, daha ciddi tehditlerin başlangıcıdır.”
Tehdit manzarası
Siber güvenlik firmasının analizi, bu probların arkasındaki altyapının ayrıntılı bir resmini çiziyor:
- Kötü niyetli IP’ler (toplam 244): Birçoğu TOR çıkış düğümleri ve tanınmış bulut veya sanal özel sunucu (VPS) sağlayıcılarından geçerek izlenmesini ve engellenmesini zorlaştırır.
- Şüpheli IPS (toplam 634): Bunlar, daha az bilinen veya niş barındırma platformları ve daha az ana akım bulut altyapısı kullanma eğilimindedir, genellikle tespitten kaçınmak için.
- Benign IPS (toplam 126): Bu adreslerden elde edilen etkinlik şu anda kötü niyetli niyetle ilişkili değildir.
Önemli olarak, tanımlanan tüm IP’ler “sahtekar değil”, yani saldırganlar kökenlerini gizlemeye çalışmıyorlar – yaklaşımlarında bir güven veya otomasyon işareti.
Taramalar tek bir bölge ile sınırlı değildir. Bu tarama faaliyetleri için en iyi kaynak ülkeleri ABD, Almanya ve Hollanda’dır, en büyük destinasyonlar ABD, Almanya ve İngiltere merkezli kuruluşlardır.
Ivanti Connect Secure ve Pulse Secure VPN’ler kurumsal uzaktan erişim için yaygın olarak kullanılır. Stratejik rolleri, özellikle kuruluşlar uzaktan çalışmaya güvenmeye devam ettikçe, onları bilgisayar korsanları için çekici bir hedef haline getiriyor.
Belirli bir güvenlik açıkları (CVES) bu son tarama kampanyasıyla kamuya açıklanmamış olsa da, geçmiş olaylar bu tür keşiflerin genellikle gelecek saldırıların bir müdürü olduğunu göstermektedir.
Tarih, tarama aktivitesindeki sivri uçların, bazen yeni bir güvenlik açığı keşfedilmeden önce genellikle aktif sömürüye yol açtığını gösterir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!