Tehdit istihbarat firması GreyNoise’a göre bilgisayar korsanları, 14 Kasım 2025’ten bu yana Palo Alto Networks’ün GlobalProtect VPN portallarına karşı 2,3 milyondan fazla kötü amaçlı oturum başlattı.
24 saat içinde dramatik bir şekilde yoğunlaşarak 40 kat artışa ulaşan bu artış, son 90 gündeki en yüksek aktivite seviyesini temsil ediyor ve dünya çapında uzaktan erişim sistemlerine yönelik artan risklerin altını çiziyor.
Saldırılar öncelikli olarak Palo Alto PAN-OS ve GlobalProtect platformlarındaki /global-protect/login.esp URI’sini hedef alıyor ve kurumsal ağları yetkisiz erişime maruz bırakabilecek kaba kuvvetle oturum açma girişimlerine odaklanıyor.
GreyNoise araştırmacıları, kuruluşlar güvenli uzaktan çalışma için bu VPN’lere büyük ölçüde güvenirken, etkinliğin zirveye ulaştığı geçen hafta başlayan hızlı artışa dikkat çekti. Bu kampanya yalnızca veri ihlallerini tehdit etmekle kalmıyor, aynı zamanda yaygın olarak kullanılan ağ güvenliği araçlarındaki kalıcı güvenlik açıklarını da vurguluyor.
Koordineli Tehdit Aktörleriyle Bağlantılı Dalgalanma
GreyNoise, bu Palo Alto saldırısı ile daha önceki kötü amaçlı kampanyalar arasındaki güçlü bağları ortaya çıkardı ve bunları büyük bir güvenle örtüşen tehdit aktörlerine bağladı.
Temel göstergeler arasında olaylar genelinde tutarlı TCP ve JA4t parmak izleri, yinelenen Otonom Sistem Numaraları (ASN’ler) aracılığıyla paylaşılan altyapı ve etkinlik artışlarında senkronize zamanlama yer alıyor.
Bu modeller, kurumsal savunmalardaki zayıflıkları araştırmak için kanıtlanmış taktikleri yineleyen karmaşık, muhtemelen devlet destekli veya siber suç operasyonunu akla getiriyor.
Saldırıların arkasındaki altyapı oldukça yoğun ve oturumların %62’si kampanyanın omurgasını oluşturan bir Alman şirketi olan AS200373 (3xK Tech GmbH) kaynaklı.
Aynı ASN’ye yönelik ek %15’lik izlemeler ancak Kanada kümeleri üzerinden yönlendiriliyor; bu da dağıtılmış barındırmanın tespitten kaçtığını gösteriyor. İkincil katkılar AS208885’ten (Noyobzoda Faridduni Saidilhom) geliyor ve kıtalara yayılan koordineli bir ayak izini güçlendiriyor.
Hedefler coğrafi olarak odaklanmış görünüyor; Amerika Birleşik Devletleri, Meksika ve Pakistan’ın her biri yaklaşık olarak eşit miktarda giriş soruşturmasıyla karşı karşıya. Bu dağılım, saldırganların yüksek değerli bölgelere öncelik vermesini veya çeşitli kaynaklardan çalınan kimlik bilgisi listelerinden yararlanmasını yansıtıyor olabilir.
GreyNoise, savunma avcılığı için gözlemlenen tüm etkinlikleri kapsayan iki JA4t parmak izini vurguladı: 65495_2-4-8-1-3_65495_7 ve 33280_2-4-8-1-3_65495_7.
| Gösterge Türü | Değer |
|---|---|
| ASN (Birincil) | AS200373 (3xK Tech GmbH) |
| ASN (İkincil) | AS208885 (Noyobzoda Faridduni Saidilhom) |
| JA4t Parmak İzi 1 | 65495_2-4-8-1-3_65495_7 |
| JA4t Parmak İzi 2 | 33280_2-4-8-1-3_65495_7 |
| Hedef URI | /global-protect/login.esp |
Bu olay, Fortinet VPN kaba kuvvet saldırılarındaki ani artışların genellikle altı hafta içinde güvenlik açığı açıklamalarından önce geldiği GreyNoise tarafından gözlemlenen tarihsel kalıpları yansıtıyor; bu trend ilk kez Temmuz 2025’te fark edildi.
Benzer artışlar Nisan ve Ekim 2025’te Palo Alto portallarını da etkileyerek uyarılara yol açtı ve Cisco ve Fortinet cihazlarına karşı daha geniş kampanyalarla ilişkilendirildi.
Kuruluşlar, açığa çıkan GlobalProtect portallarını denetlemeli, çok faktörlü kimlik doğrulamayı uygulamalı ve olası istismarları önlemek için bu göstergeleri izlemelidir.
Uzaktan erişim, fidye yazılımı ve casusluk için birincil vektör olmayı sürdürürken, bu 2,3 milyonluk saldırı dalgası, tehditlerin karmaşıklığının arttığı bir ortamda, kuruluşlara VPN yapılandırmalarını güçlendirmeleri konusunda kesin bir hatırlatma görevi görüyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
