Palo Alto Networks GlobalProtect VPN giriş portallarını hedef alan kötü amaçlı tarama etkinliği 24 saat içinde 40 kat arttı, bu da koordineli bir kampanyaya işaret ediyor.
Gerçek zamanlı istihbarat şirketi GreyNoise, faaliyetin 14 Kasım’da tırmanmaya başladığını ve bir hafta içinde 90 gün içindeki en yüksek seviyesine ulaştığını bildirdi.
Bültende “GreyNoise, Palo Alto Networks GlobalProtect portallarını hedef alan kötü amaçlı faaliyetlerde önemli bir artış tespit etti” ifadesi yer alıyor.
“14 Kasım 2025’ten itibaren faaliyet hızla yoğunlaştı ve 24 saat içinde 40 kat artışla doruğa ulaşarak 90 günün en yüksek seviyesine ulaştı.”
kaynak: GreyNoise
Ekim ayı başında GreyNoise, Palo Alto Networks GlobalProtect ve PAN-OS profillerini tarayan IP adreslerinde %500 artış olduğunu ve bunların %91’inin “şüpheli”, %7’sinin ise açıkça kötü amaçlı olarak sınıflandırıldığını bildirdi.
Daha önce, Nisan 2025’te GreyNoise, Palo Alto Networks GlobalProtect giriş portallarını hedef alan, çoğu şüpheli ve 154’ü kötü amaçlı olarak sınıflandırılan 24.000 IP adresini içeren tarama faaliyetlerinde yeni bir artış olduğunu bildirmişti.
GreyNoise, yinelenen TCP/JA4t parmak izlerine, aynı ASN’lerin (Otonom Sistem Numaraları) yeniden kullanımına ve kampanyalar arasındaki etkinlik artışlarının uyumlu zamanlamasına dayanarak en son etkinliğin önceki ilgili kampanyalarla bağlantılı olduğuna büyük bir güvenle inanıyor.
Bu saldırılarda kullanılan birincil ASN, AS200373 (3xK Tech GmbH) olarak tanımlanıyor ve IP’lerin %62’si Almanya’ya ve %15’i Kanada’ya konumlanıyor. Bu aktiviteye dahil olan ikinci bir ASN, AS208885’tir (Noyobzoda Faridduni Saidilhom).
VPN girişlerini hedefleme
GreyNoise, 14 ile 19 Kasım arasında 2,3 milyon seansın gerçekleştiğini gözlemledi. */global-protect/login.esp Palo Alto PAN-OS ve GlobalProtect’teki URI.
URI, GlobalProtect çalıştıran Palo Alto Networks güvenlik duvarı tarafından açığa çıkarılan bir web uç noktasına karşılık gelir ve VPN kullanıcılarının kimlik doğrulaması yapabileceği bir sayfayı gösterir.
Giriş denemeleri esas olarak Amerika Birleşik Devletleri, Meksika ve Pakistan’ı hedef alıyor ve hepsinde benzer hacimler görülüyor.
GreyNoise daha önce bu girişimleri engellemenin ve onları uzun yamalı kusurları hedef alan başarısız istismar girişimleri olarak göz ardı etmek yerine, kötü niyetli araştırmalar olarak aktif bir şekilde izlemenin öneminin altını çizmişti.
Şirketin istatistiklerinin de gösterdiği gibi, bu tarama artışları genellikle vakaların %80’inde yeni güvenlik kusurlarının açığa çıkmasından önce ortaya çıkıyor ve Palo Alto Networks ürünleri için korelasyon daha da güçlü.
Bu yıl Palo Alto Networks’e yönelik kötü amaçlı faaliyetlerle ilgili olarak, Şubat ayında kusurlardan aktif olarak yararlanılan iki vaka yaşandı: CVE-2025-0108, daha sonra CVE-2025-0111 ve CVE-2024-9474 ile zincirlendi.
Eylül ayında Palo Alto Networks, ShinyHunters’ın Salesloft Drift kampanyasının bir parçası olarak müşteri verilerini ve destek vakalarını açığa çıkaran bir veri ihlalini de açıkladı.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.