Araştırmacılar, birden fazla satıcıda yaklaşık 2.200 uzlaşmış küçük işletme yönlendiricisinden kaynaklanan kötü niyetli HTTP tarama faaliyetlerinde önemli bir artış tespit ettiler.
30 Temmuz 2025’te yükselmeye başlayan kampanya, öncelikle Cisco Small Business RV Serisi, Linksys LRT Serisi ve Araknis Networks An-300-RT-4L2W cihazlarını hedefliyor ve bu ağ cihazlarında bilinen güvenlik açıklarını kullanan koordineli bir botnet operasyonunu gösteriyor.
Saldırı altyapısı, potansiyel hedeflere karşı keşif faaliyetleri yürütmek için uzatılmış cihazların silahlandırılmasıyla birlikte sofistike komuta ve kontrol (C2) yeteneklerini göstermektedir.
Key Takeaways
1. 2,200 Cisco RV/Linksys LRT/Araknis routers compromised since July 30th.
2. HTTP scanning on ports 80/443/8080/8443 for target reconnaissance.
3. Update firmware, change credentials, monitor outbound traffic.
Ağ telemetri verileri, Kanada, Brezilya, Hindistan ve çeşitli Avrupa ülkeleri de dahil olmak üzere birçok ülkede bildirilen önemli enfeksiyonlarla küresel erişim elde etmesine rağmen, Amerika Birleşik Devletleri’nin etkilenen cihazlara yol açtığını ortaya koymaktadır.
Botnet Saldırı Analizi
Saldırı kalıplarının analizi, BOTNET operatörlerinin HTTP GET istekleri ve Honeypot altyapısına karşı bağlantı noktası tarama faaliyetlerini gerçekleştirmek için tehlikeye atılan yönlendiricilerden yararlandığını göstermektedir.
Coğrafi dağılım, küçük ve orta ölçekli işletmelerle ilişkili IP adresi aralıklarından kaynaklanan en yüksek kötü amaçlı trafik konsantrasyonuna sahip, hedeflenen cihaz modellerinin pazara nüfuzla tutarlı bir modeli takip eder.
Tarama davranışı, güvenlik açığı keşif operasyonlarının özelliklerini sergiler, bu da uzlaşmış cihazların yanal hareket veya veri açığa çıkması için potansiyel hedefleri tanımlamak için kullanıldığını düşündürmektedir.
Güvenlik araştırmacıları, otomatik tarama araçlarının BOTNET altyapısında dağıtıldığını gösteren belirli kullanıcı aracı dizeleri ve HTTP başlık modelleri gözlemlediler.
Ağ savunucuları, Cisco RV Serisi yönlendiricilerinden (RV042, RV082, RV320, RV325 dahil modeller), Linksys LRT serisi cihazları ve Araknis Networks ekipmanlarından anormal giden trafik modellerini izlemelidir.
Shadowserver Foundation’ın Honeypot verileri, özellikle Web uygulaması uç noktalarına odaklanarak TCP bağlantı noktalarını 80, 443, 8080 ve 8443’ü hedefleyen tarama faaliyetlerini gösterir.
Etkilenen cihaz modellerini işleten kuruluşlar, potansiyel yanal hareketi sınırlamak için derhal ürün yazılımı güncellemelerini uygulamalı, varsayılan yönetimsel kimlik bilgilerini değiştirmeli ve ağ segmentasyonunu dağıtmalıdır.
Güvenlik ekiplerine, dahili ağ günlüklerini Shadowserver’ın IP itibar beslemeleri ile ilişkilendirmesi ve saldırı algılama sistemlerini (IDS), ağ altyapı cihazlarından kaynaklanan şüpheli giden tarama faaliyetlerini uyarmak için yapılandırmaları önerilir.
Devam eden kampanya, kurumsal ortamlarda sıklıkla eşleştirilmemiş ve kötü izlenmeyen ağ altyapı bileşenleri için IoT güvenlik hijyeni ve proaktif güvenlik açığı yönetiminin kritik öneminin altını çizmektedir.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →