VulnCheck’in yeni araştırmasına göre, gelişmiş bir tehdit aktörü, 200’den fazla CVE’yi hedef alan büyük ölçekli bir istismar kampanyası yürütmek için Google Cloud altyapısında barındırılan özel bir Bant Dışı Uygulama Güvenliği Testi (OAST) hizmetini çalıştırıyor.
Özel OAST Alan Adı Kırmızı Bayrakları Yükseltiyor
VulnCheck’teki güvenlik araştırmacıları, bilinen herhangi bir genel OAST sağlayıcısıyla ilişkili olmayan, yabancı bir OAST alanı olan dedektörler-testing.com’a yapılan geri aramaları içeren olağandışı etkinlik tespit etti.
Oast gibi kamu hizmetlerine güvenen tipik saldırganların aksine. Eğlenceli, geçmiş, profesyonel veya etkileşimli. Bu tehdit aktörü kendi özel altyapısını işletiyor.
Araştırma, bu altyapıya bağlı 200’den fazla benzersiz CVE’yi kapsayan yaklaşık 1.400 istismar girişimini ortaya çıkardı.
Saldırılarda öncelikle hedef ağlardaki zayıflıkları araştırmak için değiştirilmiş Nuclei güvenlik açığı tarama şablonları kullanıldı.
Gözlemlenen tüm kötü amaçlı faaliyetler Brezilya’da konuşlu Canary Systems’i hedef alıyordu, bu da kasıtlı bir bölgesel odaklanmaya işaret ediyordu.
VulnCheck dünya çapında kanarya sensörleri çalıştırırken, saldırgan Ekim ve Kasım 2025 arasında yalnızca Brezilya hedeflerine odaklandı.
Saldırgan tarafından kontrol edilen OAST alt alanları, güvenliği ihlal edilen sistemlerin başarılı bir şekilde istismar edildiğini doğrulamak için HTTP geri çağrıları gönderdiği i-sh.detectors-testing.com gibi bir modeli izler.
Belgelenen örneklerden biri, Ivanti Endpoint Manager Mobile’daki uzaktan kod yürütme güvenlik açığı olan CVE-2025-4428’den yararlanma girişimini içeriyordu.
Operasyonun tamamı, birden fazla IP adresi üzerinden ABD merkezli Google Cloud altyapısı üzerinden yürütülüyor.
Birincil bulut sağlayıcısının kullanılması saldırgana önemli avantajlar sağlar; çünkü savunucular meşru bulut hizmetlerinden gelen trafiği nadiren engeller ve kötü amaçlı iletişimler normal ağ etkinliğiyle kolayca karışır.
VulnCheck, tümü Google Cloud üzerinden çalışan altı tarayıcı IP’si ve bir özel OAST ana bilgisayarı belirledi. 34.136.22.26 adresindeki OAST sunucusu, Kasım 2024’ten bu yana en az bir yıldır Interactsh hizmetlerini birden fazla bağlantı noktasında çalıştırıyor.
Saldırgan, standart Nuclei şablonlarının ötesinde, teknik yeterlilik gösteren özel veriler dağıtır.
Araştırmacılar, saldırganın sunucusunda barındırılan değiştirilmiş bir TouchFile.class Java istismar dosyası keşfetti.
Bu dosya, standart Fastjson 1.2.47 yararlanma yöntemini ek komut yürütme ve HTTP geri çağırma işleviyle genişletir.
Saldırganın ayrıca resmi depolardan kaldırılan eski Nuclei şablonlarını da kullanması, yalnızca kamuya açık araçlara güvenmek yerine kendi değiştirilmiş tarama araç kitlerini sürdürdüklerini gösteriyor.
Uzlaşma Göstergeleri
Kuruluşlar, dedektörler-testing.com ve alt alan adlarına yapılan bağlantıları izlemelidir.
Şu Google Cloud IP adresleri bu kampanyayla ilişkilendirilmiştir: 34.172.194.72, 35.194.0.176, 34.133.225.171, 34.68.101.3, 34.42.21.27, 34.16.7.161 ve 34.136.22.26.
Güvenlik ekipleri, internete yönelik tüm uygulamaların, özellikle aktif olarak yararlanılan 200’den fazla CVE’ye karşı bilinen güvenlik açıklarına karşı yama uygulanmasını sağlamalıdır.
Olağandışı OAST geri aramalarına yönelik ağ izleme ve düzenli güvenlik açığı değerlendirmeleri, bu tür sürekli tarama işlemlerine karşı temel savunma olmayı sürdürüyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.