Ukrayna merkezli otonom sistemlerden oluşan sofistike bir ağı, SSL VPN ve RDP altyapısına karşı büyük ölçekli kaba kuvvet ve şifre püskürtme saldırıları düzenleyen önemli bir siber güvenlik tehdidi olarak ortaya çıktı.
Haziran ve Temmuz 2025 arasında, bu kötü amaçlı ağlar, üç güne kadar süren dönemlerde yüz binlerce koordineli saldırı başlattı ve kritik kurumsal uzaktan erişim sistemlerini hedef aldı.
Kampanya, öncelikle üç Ukrayna özerk sistemine odaklanan karmaşık bir birbirine bağlı ağ ağını içerir: FDN3 (AS211736), Vaiz-as (AS61432) ve Erishennya-ASN (AS210950) ile birlikte Seyşeller tabanlı ağ TK-NET (AS210848).
Bu ağlar, Ağustos 2021’de stratejik olarak tahsis edildi ve o zamandan beri sistematik altyapı manipülasyonu ile uğraştı ve sık sık blok listesi çabalarından kaçınmak ve operasyonel sürekliliği korumak için IPv4 öneklerini değiştirdi.
Intrinsec araştırmacıları, bu tehdit altyapısını, Honeypot ağlarının kapsamlı bir şekilde izlenmesi yoluyla belirleyerek, Temmuz 2025’te üç günlük bir dönemde 1.3 milyondan fazla bireysel denemede zirve yapan saldırı modellerini ortaya çıkardılar.
Saldırganlar, maruz kalan VPN uç noktalarına ve uzak masaüstü protokol hizmetlerine karşı aynı saldırı kalıplarını aynı anda başlatan çoklu IP adresi ile sofistike koordinasyon gösterdi.
Cezai altyapı, Ecatel’in operatörleri tarafından oluşturulan Seychelles tabanlı bir ön şirket olan IP Volume Inc. (AS202425) olan yerleşik kurşun geçirmez barındırma sağlayıcıları ile ortaklıklar yoluyla faaliyet göstermektedir.
Bu düzenleme, Ukrayna ağlarına hem anonimlik hem de esneklik sağlar ve kolluk kuvvetlerine ve endüstri engelleme çabalarına rağmen operasyonları sürdürmelerine izin verir.
Ağ Altyapısı ve Saldırı Mekaniği
Bu saldırıların teknik mimarisi dikkatli planlama ve kaynak tahsisini ortaya koymaktadır. Birincil saldırı vektörü, en yoğun kampanyalar için bir odak noktası görevi gören 88.210.63.0/24 önek ile koordineli IP aralıklarını kullanır.
.webp)
Saldırı günlüklerinin analizi, en yüksek işlemler sırasında her biri 108.000 ila 113.000 saldırı denemesi üreten bireysel IP adresleri ile kesin olarak senkronize aktivasyon modellerini gösterir.
Saldırganlar, hesap kilitleme mekanizmalarından kaçınmak için büyük miktarlarda hesaplarda ortak şifreleri denemeye çalışarak, geleneksel kaba kuvvet yöntemlerinden ziyade şifre püskürtme teknikleri kullanırlar.
Bu yaklaşım, zayıf şifre politikaları olan kuruluşlara veya kimlik doğrulama uç noktalarını sınırlayan yetersiz oranlara karşı özellikle etkili olduğunu kanıtlamaktadır.
Kampanyalar, özellikle geleneksel uç nokta algılama ve yanıt çözümlerini atlayabilen yüksek ayrıcalıklı başlangıç erişim noktaları oluşturmayı amaçlayan Fortinet, Palo Alto ve Cisco VPN cihazlarını hedefliyor.
Ağ trafik analizi, altyapının aynı özerk sistemlerde barındırılan Amadey kötü amaçlı yazılım panelleri aracılığıyla kalıcı komut ve kontrol iletişimini sürdürdüğünü ortaya koymaktadır.
126 aktif bot bağlantısı ile 185.156.72.96 ve 185.156.72.97 dahil olmak üzere birkaç C2 sunucusu, başlangıç erişim denemelerinin ötesinde başarılı bir şekilde sömürü sonrası faaliyetleri gösteren 122 uzlaşmış uç noktayı sürdürüyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.