25-28 Aralık tarihleri arasında tek bir tehdit aktörü geniş çaplı bir tarama kampanyası yürüttü; internete yönelik sistemlere karşı 240’tan fazla farklı açıktan yararlanmayı test etti ve bulunan her savunmasız hedef hakkında veri topladı.
CTG Server Limited’e (AS152194) bağlı iki IP adresinden yürütülen bu keşif operasyonu, fidye yazılımı operasyonları için ilk erişimin nasıl güvence altına alındığı konusunda yeni bir gelişmişlik düzeyini temsil ediyor.
Saldırgan, hedefleri bir ila beş saniyelik aralıklarla sistematik olarak araştırdı; her sistem, zayıf yönleri belirlemek için 11 farklı istismar türü aldı.
Kampanya, fidye yazılımı operasyonlarında endişe verici bir değişimi ortaya koyuyor. Bu tehdit aktörleri, doğrudan saldırılar başlatmak yerine, İlk Erişim Aracıları (IAB’ler) gibi hareket ederek, fidye yazılımı gruplarına satmak üzere savunmasız sistemlerin kataloglarını oluşturuyor.
Bu dört günlük pencerede toplanan veriler, 2026 yılı boyunca hedeflenen saldırıları muhtemelen artıracak, istismar edilebilir hedeflerin doğrulanmış bir envanterini sağlıyor.
Güvenlik ekiplerinin sayısının azaldığı ve tespit sistemlerinin minimum düzeyde ilgi gördüğü tatil dönemlerinden yararlanılarak zamanlama kasıtlı olarak yapıldı.
Greynoise analistleri, ProjectDiscovery’nin Interactsh platformuna bağlı 57.000’den fazla benzersiz Bant Dışı Uygulama Güvenliği Testi (OAST) alt alanını tespit ederek kampanyayı belirledi.
Araştırmacılar, araçların endüstriyel ölçekte çalışan açık kaynaklı bir güvenlik açığı tarayıcısı olan Nuclei ile eşleştiğini belirtti.
.webp)
Greynoise analistleri, denemelerin yüzde 98’inde JA4 ağ parmak izlerini ve paylaşılan Makine Kimliğini analiz ederek, saldırının koordineli bir grup çalışması değil, tek bir operatör tarafından gerçekleştirildiğini doğruladı.
Tespitten Kaçınma ve Altyapı Analizi
Saldırganın CTG Server Limited’i tercih etmesi, suç operasyonlarına yönelik dayanıklı altyapı konusunda önemli endişelere yol açıyor.
Hong Kong’a kayıtlı bu barındırma sağlayıcısı, 672 önek genelinde yaklaşık 201.000 IPv4 adresini kontrol eder ve minimum düzeyde kötüye kullanım yaptırımıyla çalışır.
Ağ, daha önce FUNNULL CDN altyapısı içinde kimlik avı etki alanlarını barındırdığı tanımlanmış ve sahte rotalar duyurmuş, bu da onu engelleme girişimlerine dayanabilecek altyapı gerektiren operasyonlar için çekici kılan zayıf ağ hijyeni uygulamalarına işaret etmektedir.
Kuruluşların, şüpheli IP adresleri 134.122.136.119 ve 134.122.136.96’ya yönelik bağlantıların yanı sıra oast.pro, oast.site, oast.me, oast.online, oast.fun ve oast.live gibi OAST alan adlarına yapılan DNS sorguları için kampanya tarihlerinden itibaren günlüklerini incelemeleri gerekir.
Eşleşmeler tespit edilirse kuruluşlar, saldırganların ağlarındaki güvenlik açıklarını doğruladığını ve bu erişim bilgilerinin suç pazarlarında zaten satın alınabileceğini varsaymalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
