Ara Bülten (18–21 Nisan 2026): D-Link SSDP CVE Dalgası ve 19 Nisan Spike'ı
5 günlük bültenimizin ardından 18-21 Nisan penceresinde 1,62M event topladık. D-Link SSDP Command Injection (CVE-2025-10629, CVE-2026-3485) ilk kez imza bazında görüldü; 19 Nisan'da hacim 746K'a fırladı (2,3× baseline). DoublePulsar 47K+ alert ile iki katına çıktı, Brezilya ilk kez Top 3 coğrafi dağılıma girdi.
Yönetici Özeti
20 Nisan’daki 5 günlük bültenimizden sonra geçen 4 günde üç yeni gelişme öne çıktı:
- D-Link SSDP Command Injection (CVE-2025-10629, CVE-2026-3485) — önceki pencerede baseline’da olmayan imza, bu dönem 1.205 Suricata alert üretti.
- 19 Nisan hacim spike’ı — 746.158 event, baseline’ın 2,3 katı. 20 ve 21 Nisan’da rakam baseline’a döndü.
- DoublePulsar ivme devam ediyor — 47.582 alert (5 günlük bültendeki 21.802’ye göre +118%), Brezilya ilk kez Top 3 coğrafi dağılıma girdi.
Hacim Tablosu
| Tarih | Toplam Event | Baseline’a Oran |
|---|---|---|
| 18 Nis | 304.374 | 0,95× |
| 19 Nis | 746.158 | 2,33× |
| 20 Nis | 332.014 | 1,04× |
| 21 Nis (18:39 UTC’ye) | 239.730 | — (kısmi gün) |
| Toplam | 1.622.276 | — |
Baseline ≈ 320K/gün (son 4 günün tam günleri medyanı).
Bulgu #1 — D-Link SSDP CVE Exploit Dalgası (YENİ)
ET WEB_SPECIFIC_APPS D-Link SSDP ST Header Command Injection Attempt (CVE-2025-10629, CVE-2026-3485) — 5 günlük bültende yoktu, 18-21 Nisan penceresinde 1.205 alert üretti.
Top 6 kaynak (Top 15’in ~%99’u):
| IP | Hit | Not |
|---|---|---|
31.204.138.42 | 428 | .42/.43/.32 aynı /24 — koordineli |
76.70.79.153 | 312 | Kanada VPS çıkışı |
162.244.55.5 | 257 | US VPS, .4 eşlik ediyor |
31.204.138.43 | 148 | .42 ile twin |
31.204.138.32 | 27 | Aynı subnet, warm-up probe |
162.244.55.4 | 23 | .5 ile twin |
Paralel gözlem: UPnP service discovery probe’ları (GPL MISC UPnP service discover attempt) 267.688 alert ile Suricata’nın #2 imzası oldu. Tek başına 86.83.143.70 (KPN B.V., NL) 39.069 hit. SSDP keşfi + CVE exploit bir arada — keşif → exploit zinciri profili.
Hedef port: UDP 1900 (SSDP) — 7 günlük pencerede 534.158 event.
D-Link home router ve IP kamera'larda UPnP/SSDP dışa açıksa acilen firmware güncelle, UDP 1900'ü WAN tarafında kapat. CVE-2025-10629 ve CVE-2026-3485 ST header üzerinden komut enjeksiyonuna olanak veriyor; zombi havuzu aktif büyütülüyor.
Bulgu #2 — 19 Nisan Spike’ı
19 Nisan'da günlük event sayısı 746.158'e fırladı. 18 Nis (304K) ve 20 Nis (332K) baseline'da. Spike tek gün ile sınırlı, 20 Nis'te normalize oldu.
Hacim Suricata/UDP tarafında yoğunlaştı. 7 günlük birleşik pencerede:
- Port 53 (DNS) — 3.095.109 event
- Port 1900 (SSDP) — 534.158 event
ET DOS DNS Amplification Attack Inbound— 3.463 alert (baseline’ın ~2×)
Değerlendirme: Tek günlük reflection/amplification peak’i. Bir DDoS operatörü 19 Nis’ta target-bound saldırı yürüttü; honeypot altyapımız reflection trap olarak event’leri topladı. Kaynak IP dağılımı çok parçalı (Top 1 207.150.212.42 = 508K total 7 gün) — amp-kapısı açık sunucuların listesi.
Bulgu #3 — DoublePulsar İki Katına Çıktı
| Metrik | 13-17 Nis | 14-21 Nis (7g) | Delta |
|---|---|---|---|
| Suricata DoublePulsar alert | 21.802 | 47.582 | +118% |
| Top kaynak coğrafya | Hindistan dominant | TH/NG/VN karma | Değişti |
| TR payı | %10 | Devam | Stabil |
Pencere dominant tetikleyiciler:
| IP | Hit | Coğrafya |
|---|---|---|
1.0.215.62 | 2.227 | TH |
102.91.96.200 | 1.885 | NG |
197.210.226.113 | 1.696 | NG |
36.50.56.29 | 1.648 | — |
14.169.205.155 | 1.623 | VN |
185.68.146.244 | 1.601 | — |
195.175.61.250 | 1.562 | TR |
95.0.206.165 | 1.516 | TR |
TR infekte Windows havuzu olgunlaşmaya devam ediyor. Yukarıdaki iki TR IP’si TR Radar #4 listesiyle birebir örtüşüyor — aynı host’lar sürekli beacon yapıyor, patch yok.
Bulgu #4 — Brezilya Top 3’e Girdi
| # | Ülke | Event | Not |
|---|---|---|---|
| 1 | ABD | 1.817.577 | Reflection kurbanı |
| 2 | Almanya | 842.756 | Strato + Hetzner (UPnP) |
| 3 | Brezilya | 463.586 | Yeni — Conecta Network Telecom LTDA |
| 4 | İngiltere | 239.530 | Hostinger UK |
| 5 | Arjantin | 176.188 | Dattatec shared hosting |
| 6 | Çin | 170.380 | Gerçek saldırgan |
Brezilya önceki Top 10 dışındaydı; 18-21 penceresinde fırladı. Ana kaynak Conecta Network Telecom LTDA (AS, ilk kez baskın). Dattatec (AR) ile profili benzer — muhtemelen shared hosting reflector/amp sunucuları kümesi.
Bulgu #5 — steam Credential 3× Büyüdü
7 günlük Cowrie top username’leri:
| Username | 13-17 Nis | 14-21 Nis | Hareket |
|---|---|---|---|
root | dominant | 40.896 | — |
admin | dominant | 9.694 | — |
steam | 258 | 801 | +210% |
postgres | — | 678 | Top 10’a yeni |
deploy | — | 615 | Yeni |
sol | aktif | 433 | Stabil |
odoo | 157 | 386 | +146% |
frappe | 133 | 375 | +182% |
Uygulama-spesifik credential trendi yoğunlaştı. Özellikle steam sıçraması ilginç — consumer cihaz (akıllı TV, gaming PC, Steam Deck) hedeflemesi artıyor olabilir.
Password tarafında 345gs5662d34 (bilinen Mirai varyantı) hâlâ aktif: 2.497 hit. 3245gs5662d34 varyantı 2.477 hit — iki karakter farkla aynı pattern. Botnet config’inde typo ya da iki fork paralel yürüyor.
(Not: Cowrie sayımları 7 günlük rolling window’dan; 13-17 Nis referansı 5 günlük bültendeki sayılardır. Direkt çıkarma yerine trend olarak okunmalı.)
Bulgu #6 — Kripto/Uygulama Credential Kullanan IP’ler
solana, sol, solv, validator, steam, claude username’lerini bir arada kullanan Top 5:
| IP | Hit | Not |
|---|---|---|
2.57.122.238 | 210 | Rusya/Doğu Avrupa VPS |
193.32.162.145 | 167 | Aynı profil |
80.94.92.184 | 160 | 80.94.92.0/24 koordineli |
80.94.92.186 | 125 | Aynı subnet twin |
92.118.39.56 | 84 | 92.118.39.0/24 koordineli |
İki subnet göze çarpıyor: 80.94.92.0/24 (4 IP top 15’te) ve 92.118.39.0/24 (4 IP top 15’te). Aynı operatörün çoklu VPS’leri — subnet-bazlı koordineli brute profilindeki tipik imza.
Durmuş / Zayıflamış
mdrfckrkeyword’ü: 0 hit (5 gündür böyle) —01ba4719dropper’ının payload adını değiştirdiği teorisi sağlamlaşıyor.- Ethereum 30303 (Honeytrap NFQ sorunu): Hâlâ veri yok, NAT/NFQ onarım bekliyor.
- ConPot: 585 event (5 günlük bültende 300’dü) — 14× sıçramadan sonra hız kesti ama baseline’ın (21 event/7g) 28 katı. Kampanya bitmedi, yavaşladı.
Pot Dağılımı (7 günlük — 14-21 Nis birleşik)
| Pot | Event | Not |
|---|---|---|
| Suricata | 4.867.264 | DNS amp + SSDP dominant |
| Cowrie | 606.608 | steam/odoo/frappe artışı |
| Dionaea | 111.753 | SMB exploit zinciri |
| Sentrypeer | 18.835 | SIP toll fraud devam |
| Tanner | 10.516 | Web RCE probe |
| Mailoney | 4.687 | SMTP relay keşfi |
| Glutton | 3.695 | Multi-protocol |
| ElasticPot | 3.050 | ES cluster probe |
| H0neytr4p | 2.554 | HTTPS web shell |
| ConPot | 585 | 28× baseline, stabilize |
TR Radar — Hızlı Güncelleme
Cowrie/Suricata karışık TR Top 10 (7 günlük):
| IP | Hit | Muhtemel Profil |
|---|---|---|
88.234.214.72 | 12.796 | TT, büyük olasılıkla infekte home gateway |
95.9.209.94 | 12.582 | TT, aynı profil |
88.247.8.10 | 7.457 | TT |
188.132.232.70 | 2.338 | TT |
81.214.130.37 | 1.988 | TT |
95.70.157.192 | 1.605 | TT |
195.175.61.250 | 1.588 | TT — DoublePulsar beacon |
95.0.206.165 | 1.541 | TT — DoublePulsar beacon |
5.25.20.66 | 1.478 | TT |
176.237.194.250 | 1.457 | Vodafone NET |
TR’deki yüksek-hacim ilk 3 IP (88.234.214.72, 95.9.209.94, 88.247.8.10) DoublePulsar imzası değil; büyük olasılıkla SSH brute + SSDP keşfi karışımı — infekte home modem/CPE zincirine işaret ediyor. USOM paylaşımı önerilir.
Savunma Önerileri
CVE-2025-10629 ve CVE-2026-3485 için D-Link home router / IP kamera / NAS cihazlarda UPnP/SSDP servisini WAN'a açma. Firmware güncelle, UDP 1900 kapalı. 31.204.138.0/24 ve 162.244.55.0/24 perimeter block listesine ekle.
195.175.61.250, 95.0.206.165, 88.234.214.72 ve TR Radar #4 listesi USOM paylaşım formatına alınmalı. Kurumsal ağlarda MS17-010 patch + SMBv1 devre dışı standart. Edge'de UDP/137, TCP/445 WAN engel.
steam, odoo, frappe, postgres, deploy service account'larını SSH password auth'a kapatın; key-only auth zorunlu. ERPNext/Frappe ve Odoo deployments'ta default account rename, consumer cihazlarda Steam/gaming servis default auth kapalı.
Ev/işletme modemlerinde UPnP servisi kapalı tutulmalı. ISP'ler source-validation (BCP38) uygulamalı — UDP 1900 reflection amp'i için gerekli koşul. UPnP aktifse sadece LAN-local scope.
80.94.92.0/24 ve 92.118.39.0/24 — kripto/uygulama credential brute'u yürüten koordineli VPS kümeleri. Perimeter SSH drop listesine ekle.
Sonraki Bülten
- 22-28 Nisan penceresi için 7 günlük haftalık briefing
- D-Link SSDP CVE zincirine deep-dive — kaynak subnet’leri ve muhtemel botnet ailesi tespiti
- 19 Nisan spike’ın reverse-trace (muhtemel hedef/target coğrafyası)
- Honeytrap NAT/NFQ onarım durumu + Ethereum 30303 kör nokta kapanışı
- TR Radar #5: DoublePulsar TR destination IP detay listesi (USOM paylaşım formatı)
Metodoloji
Veriler SiberKale Hisar gözlemevi T-Pot kurulumundan OPSEC filtreli extractor aracılığıyla alınmıştır. Dahili IP’ler, sensör konumları ve pasif parmak izi verileri (Fatt/P0f) dışlanmıştır. Pencere: 2026-04-18 00:00 UTC – 2026-04-21 18:39 UTC (4 günlük ara bülten). Pot dağılımı ve imza bazlı sayımlar 7 günlük rolling window’tan (14-21 Nis) alınmıştır; bu sayımlar önceki 5 günlük bültendeki rakamlarla doğrudan çıkarılarak değil, trend olarak karşılaştırılmalıdır.
Tellal tehdit-istihbarat bülten serisi. Bu ara bülten 13-17 Nisan 5 günlük özetin ardından 4 günlük gözlem periyodunu özetler.
© SiberKale — CC BY 4.0