Cloudflare Salı günü, saniyede 11.5 terabit (TBP) ile zirve yapan rekor kıran hacimsel dağıtılmış hizmet reddi (DDOS) saldırısını otomatik olarak azalttığını söyledi.
Web Altyapısı ve Güvenlik Şirketi X’teki bir yazıda, “Son birkaç hafta içinde yüzlerce hiper-volümetrik DDOS saldırılarını, en büyük 5.1 BPPS ve 11.5 tbps’ye ulaşan zirvelerle,” 11.5 tbps saldırısı, 11.5 tbps saldırısının Google Cloud’dan gelen bir UDP seli olduğunu söyledi. “
Tüm saldırı sadece 35 saniye sürdü ve şirket “savunmaları fazla mesai yapıyor” dedi.
Volumetrik DDOS saldırıları, bir tsunam trafik ile bir hedefi ezecek şekilde tasarlanmıştır, bu da sunucunun yavaşlamasına ve hatta başarısız olmasına neden olur. Bu saldırılar tipik olarak ağ tıkanıklığı, paket kaybı ve hizmet kesintileri ile sonuçlanır.
Bu tür saldırılar genellikle, bilgisayarlar, IoT cihazları ve diğer makineleri kötü amaçlı yazılımlarla enfekte ettikten sonra tehdit aktörlerinin kontrolü altında olan botnetlerden gelen istekleri göndererek yürütülür.
Akamai açıklayıcı bir notta, “Volumetrik bir saldırının ilk etkisi, ağ bağlantılarının internete, sunuculara ve protokollere performansını düşüren, potansiyel olarak kesintilere neden olan tıkanıklık yaratmaktır.” Diyor.
“Bununla birlikte, saldırganlar hacimsel saldırıları daha karmaşık istismarlar için bir kapak olarak da kullanabilirler, ‘duman serigrafi’ saldırıları olarak adlandırdığımız. Güvenlik ekipleri hacimsel saldırıyı azaltmak için gayretle çalıştıkça, saldırganlar, aktarma fonlarına, yüksek vekili, daha fazla peneter, daha fazla nüfuz etmelerine izin veren ek saldırılar (çok vektör) başlatabilirler,” aktarma, yüksek vekili, daha fazla erişim, “
Geliştirme, Cloudflare’nin Mayıs 2025’in ortalarında, isimsiz bir barındırma sağlayıcıyı hedefleyen 7.3 Tbps’lik bir zirveye ulaşan bir DDOS saldırısının engellendiğini söyledikten iki aydan biraz fazla bir süre geliyor.
Temmuz 2025’te şirket ayrıca, 2025’in ikinci çeyreğinde, q1 2025’te 700 hiper-volümetrik DDOS saldırılarına kıyasla 6.500’lük yeni bir en yüksek seviyeyi ölçeklendirerek, saniyede 1 milyar paketi (BPPS) veya 1 tbps’yi aşan l3/4 DDOS saldırılarının hiper-volümetrik DDOS saldırılarının da olduğunu söyledi.
Geliştirme, Bitsight’ın DDOS saldırıları gerçekleştirebilen bir botnet’e kaydolmak amacıyla Ağ Video Kayıt Cihazlarını (NVR’ler) ve diğer IoT cihazlarını hedefleyen rapperbot Kill Chain’i ayrıntılı olarak ayrıntılı olarak anlatıyor. Botnet altyapısı geçen ay bir kolluk operasyonunun bir parçası olarak devredildi.
Siber güvenlik şirketi tarafından belgelenen saldırıda, tehdit aktörlerinin ilk erişim elde etmek ve bir uzak NFS dosya sistemi (“104.194.9[.]127 “) ve yürütme.
Bu, geçerli yönetici kimlik bilgilerini sızdırmak için web sunucusundaki bir yol geçiş kusuru ile gerçekleştirilir ve daha sonra paylaşımı monte etmek için bir dizi BASH komutu çalıştıran ve sistem mimarisine göre rapperbot ikili çalıştıran sahte bir ürün yazılımı güncellemesini zorlamak için kullanılır.
Güvenlik Araştırmacısı Pedro Umbelino, “Saldırganların NFS Mount kullanmayı ve bu paylaşımdan yürütmeyi kullanmayı seçmesine şaşmamalı, bu NVR ürün yazılımı son derece sınırlı, bu nedenle NFS’yi monte etmek aslında çok akıllı bir seçimdir.” Dedi. “Tabii ki, bu, saldırganların bu markayı iyice araştırması ve modellemesi ve bu sınırlı koşullar altında çalışabilecek bir istismar tasarlaması gerektiği anlamına geliyor.”
Kötü amaçlı yazılım daha sonra bir dizi sabit kodlu alan ile ilişkili DNS TXT kayıtlarını alır (“Iranistrash[.]Libre “ve” Pool.Rentcheapcars[.]SBS “Gerçek komut ve kontrol (C2) sunucu IP adreslerinin gerçek listesini almak için.
C2 IP adresleri, tam nitelikli alan adı (FQDN), dört alan, dört alt alan ve iki üst düzey alan (TLD) kombinasyonundan oluşan basitleştirilmiş bir alan üretimi algoritması (DGA) kullanılarak oluşturulan bir C2 alanına eşlenir. FQDN’ler sert kodlanmış DNS sunucuları kullanılarak çözülür.
RapperBot, DDOS saldırılarını başlatmak için gerekli komutları aldığı geçerli bir DNS TXT kayıt açıklaması ile C2 alanına şifreli bir bağlantı kurar. Kötü amaçlı yazılım, enfeksiyonu daha da yaymak için açık bağlantı noktaları için interneti taramak üzere komuta edilebilir.
Bitsight, “Metodolojileri basit: eski kenar cihazları (DVR’ler ve yönlendiriciler gibi), kaba kuvvet veya istismar için interneti tarayın ve botnet kötü amaçlı yazılımları yürütmelerini sağlayın.” Dedi. “Aslında kalıcılığa gerek yok, sadece tekrar tekrar tarayın ve enfekte. Çünkü savunmasız cihazlar orada maruz kalmaya devam ediyor ve bulmak her zamankinden daha kolay.”