Bülten 15 Nisan: Yeni Zirve, Winbox ve 345gs
52 saatte 5.14M event, 14 Nisan rekoru 2.7M; Winbox taraması 57×, Cowrie 1.017 başarılı giriş, CVE-2025-55182 ilk kez, 345gs kampanyası.
Özet
Önceki bültende DNS amplification kampanyasının zirveyi geçtiğini ama söndürülmediğini raporlamıştık. O tahmin hızla eskidi: 14 Nisan’da 2.70 milyon event ile 12 Nisan’ın 818K rekoru üçe katlandı. 52 saatlik pencerede 5.14 milyon event kaydedildi, benzersiz kaynak sayısı 2.847’den 6.024’e çıktı.
Hacim artışı tek başına manşet değil: kalite tarafında beş yeni sinyal öne çıktı — Winbox tarama patlaması, Cowrie SSH brute dalgası, VNC CVE-2006-2369 kampanyası, DoublePulsar ve Conficker’ın SMB 445’te rönesansı ve açıklanamayan bir credential paterni.
Dönemin tam analizine ulaşmak için → Deep-Dive: Winbox 57x, 345gs Muamması ve GPON ONT Avcıları · Türkiye odaklı inceleme → TR Radar #3
Günlük Trend — Yeni Dönem Rekoru
| Tarih | Event | Not |
|---|---|---|
| 8 Nisan | 2.133.808 | Önceki zirve |
| 11 Nisan | 644.610 | Düşüş |
| 12 Nisan | 818.111 | Yeniden yükseliş (önceki bülten rekoru) |
| 13 Nisan (PM) | 1.059.713 | Dönem başı |
| 14 Nisan | 2.700.235 | 🔴 Yeni dönem rekoru — %230 yükseliş |
| 15 Nisan (kısmi) | 1.379.255 | 08:00 UTC itibarıyla blacklist devresi çalıştı, hacim toparlandı |
14 Nisan’ın 20:00 UTC dilimi tek başına 158.231 event üretti — son altı haftanın saat başına mutlak zirvesi. Aynı gün 15:00 UTC’de Cowrie 5.302 olay kaydetti; bu, SSH brute aktivitesinin eskiden günlük olduğu rakamlar.
Günün Öne Çıkanları
- Winbox (port 8291) 57× patlaması: Önceki bültende 15 olay vardı; bu pencerede 858 olay. Kaynaklar büyük ölçüde Censys-benzeri tarama servisleri ve AWS/Azure/Linode çıkışlı IP’ler — ama yoğunluk tarama normallerinin çok üstünde.
- Cowrie 25.000× sıçrama: 13 Nisan öğleden sonra 2 olay varken 14 Nisan’da 50.351, 15 Nisan’da 55.976 oldu. Dönemde toplam 1.017 başarılı honeypot girişi gözlendi.
- DoublePulsar + Conficker rönesansı: 9 yıllık SMB exploit 11.847 olay, 17 yıllık Conficker/KEYPLUG P2P trafiği 8.517 olay üretti. Bültende yer almayan iki imza şimdi ilk beşte.
- VNC (port 5900) kampanyası: 58.185 olay + 14.601 Suricata alert. CVE-2006-2369 (RealVNC auth bypass) aktif olarak taranıyor.
345gs5662d34credential paterni: 1.200+ login.failed olayı ile üç farklı hesap (root, ubuntu, user, odoo) aynı parolayla denendi. Pattern anlamsız bir sabit string; kaynak firmware belirsiz.- İlk 2025 CVE göründü:
CVE-2025-55182— 9 Suricata alert ile dönemin tek 2025 tarihli CVE’si. - CVE-2024-4577 (PHP-CGI Windows argv injection): 12 alert ile ilk kez bu pencerede görüldü. Windows üzerinde PHP çalıştıran sunucular hedefte.
Kaynak Dağılımı — Top 15 Saldırgan
| IP | Event | ASN | Ülke | Not |
|---|---|---|---|---|
| 81.169.145.72 | 654.793 | Strato GmbH | 🇩🇪 Almanya | 🆕 Yeni #1 — bültende yoktu |
| 207.150.212.42 | 567.112 | Ntirety | 🇺🇸 ABD | 🆕 Yeni |
| 216.194.166.162 | 502.311 | InMotion Hosting | 🇺🇸 ABD | 🆕 Yeni |
| 167.235.101.42 | 400.660 | Hetzner Online | 🇩🇪 Almanya | ✅ 253K → 401K |
| 93.127.192.143 | 291.670 | Hostinger | 🇱🇹 Litvanya | ✅ 141K → 292K |
| 200.58.111.55 | 229.732 | Dattatec | 🇦🇷 Arjantin | 🆕 Yeni |
| 35.208.140.250 | 210.180 | Google Cloud | 🇺🇸 ABD | 🆕 Cloud kötüye kullanımı |
| 66.198.240.6 | 202.913 | A2 Hosting | 🇺🇸 ABD | 🆕 Yeni |
| 173.236.195.225 | 108.314 | DreamHost | 🇺🇸 ABD | ↘ 197K → 108K |
| 51.68.181.73 | 89.816 | OVH SAS | 🇫🇷 Fransa | 🆕 Yeni |
| 103.179.26.106 | 87.915 | PT Primadona | 🇮🇩 Endonezya | 🆕 Yeni |
| 119.152.22.159 | 77.666 | Pakistan Telecom | 🇵🇰 Pakistan | 🆕 Yeni |
| 162.222.226.195 | 50.651 | DataForge | 🇺🇸 ABD | 🆕 |
| 2.27.217.1 | 47.496 | Vodafone IT | 🇮🇹 İtalya | 🆕 |
| 45.205.1.5 / 45.205.1.110 | 789 + 735 | — | — | MikroTik bruteforce — bültendeki rakam 289+280 idi |
Önceki bülten zirvesinde Hetzner #1 idi; bu pencerede Strato GmbH (Almanya) tek başına 654K olay ile tablonun başına yerleşti. Top 3 IP tamamen yeni; büyük hacimli saldırılar birkaç belirli “büyük” hosting sunucusu üzerinden yürütülüyor.
Ülke Dağılımı — Romanya ve Arjantin Top 5’e Girdi
| Ülke | Event | Dominant ASN |
|---|---|---|
| 🇺🇸 ABD | 1.795.727 | InMotion, Ntirety, Google, A2 |
| 🇩🇪 Almanya | 1.086.878 | Strato, Hetzner |
| 🇷🇴 Romanya | 414.269 | 🆕 Voxility LLP |
| 🇬🇧 İngiltere | 298.821 | — |
| 🇦🇷 Arjantin | 233.115 | 🆕 Dattatec |
| 🇮🇩 Endonezya | 127.711 | — |
| 🇫🇷 Fransa | 104.424 | OVH |
| 🇮🇱 İsrail | 104.250 | Bezeq International (↘ 154K → 104K) |
| 🇵🇰 Pakistan | 81.746 | PTCL |
| 🇨🇳 Çin | 78.029 | — |
| 🇹🇷 Türkiye | 18.492 | Türk Telekom, BTK |
Önceki bültenlerde hiç top 5’e girmeyen Romanya Voxility LLP altyapısıyla 3. sıraya yerleşti. Arjantin (Dattatec) 5. sıraya çıkarken İsrail 3. sıradan 8. sıraya düştü. Bezeq International trafiği yarıya indi.
Pot Dağılımı ve Yeni Aktivite
| Pot | 13 Nis öğleden sonra | 14 Nisan | 15 Nisan | Not |
|---|---|---|---|---|
| Suricata | 993.788 | 2.339.837 | 1.051.660 | Baz trafik |
| P0f | 62.199 | 272.247 | 224.859 | Pasif fingerprinting |
| Cowrie | 2 | 50.351 | 55.976 | 🔴 Patlama |
| Dionaea | 0 | 10.580 | 14.977 | 🔴 Sıfırdan patlama |
| Fatt | 3.349 | 24.447 | 28.001 | TLS metadata |
| Tanner (web) | 0 | 973 | 618 | — |
| Heralding (SSH brute) | 0 | 106 | 1.295 | Aktive oldu |
| Sentrypeer (SIP) | 0 | 33 | 309 | Az ama aktif |
| Mailoney (SMTP) | 0 | 274 | 794 | Yeni |
Önceki bültenin “Cowrie, Dionaea, Tanner sakin” tespiti 14 Nisan itibarıyla geçersiz. SMB tarama (Dionaea) ve SSH brute (Cowrie) birden yüksek tempo kazandı.
Port Dağılımı — Top 15
| Port | Protokol | Olay | Oran | Bültenle Kıyas |
|---|---|---|---|---|
| 53 | UDP/DNS | 4.020.168 | %78.2 | %88 → %78 (mutlak artış) |
| 445 | TCP/SMB | 207.992 | %4.0 | 🔴 Bültende düşüktü |
| 22 | TCP/SSH | 148.628 | %2.9 | 4.432 → 148K |
| 443 | TCP/HTTPS | 123.089 | %2.4 | 13.300 → 123K |
| 5900 | TCP/VNC | 58.185 | %1.1 | 577 → 58K — yeni kampanya |
| 80 | TCP/HTTP | 34.377 | %0.7 | 2.423 → 34K |
| 8080 | TCP/HTTP-alt | 24.472 | %0.5 | — |
| 8728 | TCP/MikroTik API | 10.369 | %0.2 | 1.195 → 10.369 |
| 135 | MS-RPC | 5.374 | — | Yeni görünür |
| 9200 | Elasticsearch | 3.527 | — | — |
| 3306 | MySQL | 3.271 | — | — |
| 2942 | NetBIOS | 2.942 | — | — |
| 1433 | MSSQL | 2.895 | — | — |
| 8291 | Winbox | 858 | — | 15 → 858 🔴🔴 |
| 623 | IPMI/BMC | 308 | — | 21 → 308 |
| 50000 | SAP | 573 | — | 23 → 573 |
| 6443 | K8s API | 496 | — | 14 → 496 |
Önceki bültenin “kurumsal altyapı izleri” olarak işaretlediği portların tamamı (SAP, K8s, IPMI, Modbus, Docker daemon) 10–50 kat arttı. Kurumsal sistem taraması kalıcı bir arka plana dönüşüyor.
Suricata İmza Özeti — İlk 15
| İmza | Hit | Trend |
|---|---|---|
| SURICATA Ethertype unknown | 100.016 | ↑ Anomali |
| GPL INFO VNC server response | 13.228 | 🔴 Yeni |
| DoublePulsar Backdoor installation | 11.847 | 🔴 Yeni dominant |
| ET INFO SSH session expected port | 4.138 | → Sabit |
| Reserved Internal IP Traffic | 3.609 | → Sabit |
| ipify.org External IP Lookup (TLS SNI) | 3.388 | → Malware C2 |
| KEYPLUG/Downadup/Conficker-C P2P | 8.517 (4 varyant toplamı) | 🆕 Rönesans |
| DNS Amplification Inbound | 2.821 | 2.177 → 2.821 |
| HTTP excessive header repetition | 1.517 | — |
| VNC Not Requiring Auth (CVE-2006-2369) | 1.373 | 🆕 |
| VNC Authentication Failure | 1.373 | 🆕 |
| Mozilla UA Fake Inbound | 1.088 | — |
| SSH-2.0-Go version (Golang bot) | 943 | → |
| NMAP -sS 1024 | 850 | → |
| regreSSHion CVE-2024-6387 | 321 | 256 → 321 |
CVE Profili — İki Yeni CVE
| CVE | Hit | Yorum |
|---|---|---|
| CVE-2006-2369 | 1.373 | RealVNC auth bypass — aktif tarama |
| CVE-2020-11910 | 818 | ICMP MTU Discovery anomaly |
| CVE-2024-6387 | 321 | regreSSHion — devam ediyor |
| CVE-2024-3721 | 39 | Neko IPTV / TBK DVR varyantı — yeni görünür |
| CVE-2021-44228 (Log4Shell) | 20 | Arka plan seviyesi |
| CVE-2024-4577 🆕 | 12 | PHP-CGI Windows argv injection — ilk kez bu pencerede |
| CVE-2025-55182 🆕 | 9 | Dönemin tek 2025 CVE’si — ilk görülüyor |
Kampanya Takibi
| Kampanya | Önceki Bülten | Şimdi | Trend |
|---|---|---|---|
| DNS Amplification (port 53) | 🟡 Devam %88 | 🟡 %78, 4M hit | ↗ Mutlak arttı, oran düştü |
| MikroTik API (8728) | 🔴 589 hit | 🔴 10.369 hit | ↑ 17.5× |
| MikroTik Winbox (8291) | ⚪ 15 hit | 🔴 858 hit | ↑ 57× |
| regreSSHion CVE-2024-6387 | 🟡 256 | 🟡 321 | ↗ Devam |
| DoublePulsar SMB 445 | ⚪ Düşük | 🔴 11.847 hit | ↑ Dominant |
| Conficker/KEYPLUG P2P | Yok | 🔴 8.517 hit | 🆕 Rönesans |
| VNC Auth Bypass (5900) | Yok | 🔴 58.185 hit | 🆕 Yeni kampanya |
345gs5662d34 credential | Yok | 🔴 1.200+ hit | 🆕 Yeni |
| Odoo ERP hedefleme | Yok | 🟡 30+ hit | 🆕 Yeni |
| AdminGPON ONT default | Yok | 🟡 12 başarılı giriş | 🆕 Yeni |
| Frappe/ERPNext | 🟡 Yeni | 🟡 88 hit | → Sabit |
| Solana validator hedefleme | 🟡 Devam | ⚪ Zayıfladı | ↘ |
| nobody/nobody4 | 🟡 Yeni | ⚪ Düştü | ↘ |
| Honeypot-aware keşif | 🔴 Yeni | ⚪ Tek olay | ↘ Tekrar yok |
Cowrie Credential Tablosu (Yeni Kalıplar)
Top failed credential pair (ilk 10):
| Kullanıcı:Parola | Hit |
|---|---|
| admin:admin | 710 |
| 345gs5662d34:345gs5662d34 | 🔴 556 |
| root:3245gs5662d34 | 🔴 262 |
| solana:solana | 35 |
| ubuntu:3245gs5662d34 | 34 |
| ubuntu:ubuntu | 32 |
| sol:sol | 25 |
| user:3245gs5662d34 | 25 |
| support:support | 20 |
| odoo:3245gs5662d34 | 16 |
Başarılı honeypot girişleri (1.017 olay) — öne çıkanlar:
| Kullanıcı:Parola | Başarılı |
|---|---|
| admin:admin | 195 |
| 345gs5662d34:345gs5662d34 | 26 |
| AdminGPON:ALC#FGU | 🆕 12 (Alcatel-Lucent GPON ONT default) |
| frank:frank | 6 |
| odoo:odoo22 | 🆕 5 (Odoo ERP default) |
| ts3server:ts3server | 5 |
| root:r00tme | 5 |
| root:Qwe-123456 | 5 |
Öne Çıkan IOC’lar
| Gösterge | Tür | Bağlam |
|---|---|---|
81.169.145.72 | IP | Strato DE — yeni #1 saldırgan (654K) |
207.150.212.42 | IP | Ntirety US — yeni #2 (567K) |
216.194.166.162 | IP | InMotion Hosting US — yeni #3 (502K) |
200.58.111.55 | IP | Dattatec AR — yeni ülke kaynağı (230K) |
35.208.140.250 | IP | Google Cloud — cloud kötüye kullanımı (210K) |
66.198.240.6 | IP | A2 Hosting US — yeni (203K) |
51.68.181.73 | IP | OVH France — yeni (90K) |
45.205.1.5 / 45.205.1.110 | IP | MikroTik API bruteforce — 2.6× arttı |
185.246.128.133 | IP | Cowrie’de 75 başarılı giriş — en çok brute force başarısı |
94.154.35.215 | IP | Cowrie 59 başarılı giriş |
345gs5662d34 / 3245gs5662d34 | Credential | Muamma credential pattern — 1.200+ hit |
AdminGPON:ALC#FGU | Credential | Alcatel-Lucent GPON ONT default |
odoo:odoo22 | Credential | Odoo ERP default |
CVE-2025-55182 | CVE | Dönemin ilk 2025 CVE’si |
CVE-2024-4577 | CVE | PHP-CGI Windows argv injection |
Deep-Dive Adayları
345gs5662d34kaynak analizi — pattern neyi kodluyor, hangi malware çerçevesinden geliyor? → Deep-Dive- Winbox tarama patlaması — Censys taramaları mı yoksa yeni MikroTik CVE keşfi mi? → Deep-Dive
- Türkiye IoT botnet tabanı — TR’den çıkan 1.482 DoublePulsar olayı ve /24 blok dağılımı → TR Radar #3
- Strato + Ntirety + InMotion koordinasyonu — üç yeni top kaynak aynı dönemde patladı; abuse raporu merkezi?
- GPON ONT hedefleme — AdminGPON default credential + Dasan GPON CVE’leri birlikte artıyor; ISP aboneleri risk altında.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir.
Tüm veriler OPSEC filtreli. SiberKale altyapı IP’leri, RFC1918, CGNAT ve bilinen tarayıcı servisleri (Shodan, Censys, Palo Alto Xpanse) filtrelenmiştir. IOC’lar CC0 lisansı altında serbesttir.
SiberKale Tellal — Threat Intelligence Feed · tellal.net