← Tüm Yazılar
IOC RAPORU HIGH 30 Nisan 2026

24 Saatlik Bülten (29–30 Nis): mdrfckr Multi-Payload'a Evrildi, Fransa /28 Bloğu ve TR'den 18.9K Event

Son 24 saatte üç yeni gelişme: Outlaw playbook'u tek dosyadan 10 dosya/session'a geçti (mdrfckr + 9 yeni SHA256), 185.177.72.0/28 Fransa bloğu koordineli HTTP taraması yapıyor, Türkiye top 8'de 18.9K event'le ilk kez beliriyor. .env avcılığı 3.676 hit'e tırmandı.

📅Veri dönemi: 29 Nis 21:00 UTC – 30 Nis 21:00 UTC · OPSEC-filtreli · 24 saatlik gözlem

Yönetici Özeti

~767K24 saatlik event
10Yeni payload (her biri 183-188 indirme)
18.923🇹🇷 Türkiye event'i (top 8)
5.396DoublePulsar (devam)

Önceki iki yazı (plateau analizi ve verim katsayısı + atıf) 22-29 Nis penceresini özetledi. Yayından 24 saat sonra honeypot ağımız üç yeni gelişme kaydetti — özellikle birincisi Outlaw playbook’unda gözlemlenen niceliksel bir evrim.

1. Mdrfckr Multi-Payload’a Evrildi

16 Nis yazısı ve önceki iki analizde Outlaw Group’un kampanyasında tek bir payload (a8460f446b... SHA256, Dota cryptominer) gözlemlemiştik. Son 24 saatte profil değişti: aynı saldırı zincirinde artık 10 farklı dosya birden indiriliyor.

30 Nis File-Download İmzaları

SHA256İndirmeDurum
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2188Eski Dota payload (2017–)
c32b4937ce8564ea904a3bd2cb64805500ddfd28952a90fd55cb3c85d0be7644188🆕 Yeni varyant
cc1eb03e9b5926d8076e25826664a04400de854bf5cc660fa35eb86cbdf7dc0f188🆕 Yeni varyant
28ba533b0f3c4df63d6b4a5ead73860697bdf735bb353e4ca928474889eb8a15184🆕 Yeni varyant
3f1f9a5db692d999bb3d576b5e9956a242136e961ff3f52ba6202b1254ccdb99184🆕 Yeni varyant
09a3e612f8cad156005766467cf917c507aa88b3336043a76182a301b404545e183🆕 Yeni varyant
28720365c5e7476a011e4f43ac003ee5f16247a263b9d623aa85ed311d73bf39183🆕 Yeni varyant
5c0be87ed7434d69005f8bbd84cad8ae6abfd49121b4aaeeb4c1f4a2e2987711183🆕 Yeni varyant
64426356ffcabc3671e5bd0acff75ec85278dc0d4ff5dac8cc07a9dc05a4c420183🆕 Yeni varyant
afd0dd76c8d59e416fec286d040e83826448034f3e0fe636494e348f908ff851183🆕 Yeni varyant
🔍 Bulgu: 1 → 10 Payload, Aynı Sayıda İndirme

10 dosyanın indirme sayıları 183–188 bandında. Mdrfckr authorized_keys enjeksiyon sayısı (188 / 24 saat) ile birebir paralel. Bu, Outlaw Group'un her başarılı SSH oturumunda tek payload yerine 10 farklı dosya birden yüklediği anlamına geliyor. Önceki playbook'ta bir tek a8460f446b Dota cryptominer'ı vardı. Şimdi 10 dosyalık bir paket aynı SCP transferiyle yerleştiriliyor.

Hangi IP’ler indiriyor? Yeni hash c32b4937ce85 örnek kaynakları farklı ülkelerden:

  • 83.219.249.173 (Almanya)
  • 152.32.171.213 (Hong Kong)
  • 171.25.158.58 (İsveç)
  • ve devamı — yani multi-source botnet’in alt ağlarına yayılmış aynı playbook

Yani 9 yeni hash farklı operatörlerin yeni kampanyaları değil — Outlaw’ın tek bir playbook güncellemesi. Saldırgan tek bir komut zinciriyle 10 dosya yüklüyor; honeypot her dosyayı ayrı cowrie.session.file_download event’i olarak kaydediyor. Sayılar bunu kanıtlıyor.

Bu evrimin olası anlamı: Modüler post-exploitation. Tek monolitik miner yerine; persistence aracı + miner + scanner + privilege-escalation modülü + lateral movement enjektörü gibi parçalar ayrı dosyalara bölünmüş olabilir. EDR’lerin tek hash imzasıyla yakalama refleksini kırmak için bilinen bir taktik. Honeypot ağımız bu değişimin başlangıcını yakalamış olabilir.

2. 185.177.72.0/28 — Fransa AS211590 Koordineli HTTP Bloğu

Tespit

24 saatlik veride dört ardışık IP toplam ~50.500 hit üretti:

IPHitHedef PortASNCoğrafya
185.177.72.1112.70080 (HTTP)211590🇫🇷 Fransa
185.177.72.5312.70080 (HTTP)211590🇫🇷 Fransa
185.177.72.5612.58180 (HTTP)211590🇫🇷 Fransa
185.177.72.7012.58180 (HTTP)211590🇫🇷 Fransa

Aynı /28 bloğunun tamamı eşit hacimle aktif — bu manuel veya rastgele tarama değil, koordineli bir tarama altyapısı. Hedef port 80 olduğu için Suricata web alarmları üreten yarı-otomatik bir bot çiftliği görünümünde.

⚠️ /28 Bloğu Engelleme Değerlendirmesi

Eğer perimeter güvenlik duvarınızda 185.177.72.0/28 bloğunu blok listesine almayı düşünüyorsanız önce trafiği inceleyin. Aynı /28 üzerinde hosting müşterisi olabilen meşru servisler de yer alabilir; AS211590 küçük bir Fransız hosting sağlayıcısıdır. Daha güvenli yaklaşım: sadece dört spesifik IP'yi engelleyin (`.11`, `.53`, `.56`, `.70`), tüm /28 değil.

.env Avcılığı Tırmanışta

Bu bloğa eşlik eden bir başka trend: ET INFO Request to Hidden Environment File - Inbound Suricata imzası 24 saatte 3.676 hit. Saldırganlar /.env, /.git/config, /wp-config.php.bak, /.aws/credentials gibi gizli dosyaları tarıyor. Modern web saldırılarının klasik kimlik bilgisi hasat tekniği. AWS anahtarları, DB şifreleri ve API token’ları bu dosyaların içinde yanlışlıkla unutulan adminlerin başına gelir.

Hızlı kontrol: Public web sunucularınızda curl -I https://siteniz.tld/.env ne dönüyor? 200 görüyorsanız sızıntı var, 404 görmelisiniz.

3. Türkiye Top 8’de — 18.923 Event

24 saatlik coğrafi dağılımda Türkiye 8. sıraya yükseldi, önceki iki haftalık ortalamada ilk 15’te bile değildi. Detay analizi:

TR Trafiğinin Pot Dağılımı

PotEvent
P0f (passive OS fingerprint)7.457
Cowrie (SSH)6.334
Suricata (IDS)3.864
Fatt (TLS/SSH protokol fingerprint)1.234
Glutton + Dionaea + diğer<50

Yani TR trafiğinin yarısı SSH brute-force (Cowrie). Bu yerel kullanıcıların Türkiye’den honeypot’a girmeye çalıştığı anlamına gelmez — Türkiye’deki hosting/VPS altyapısından kaynaklanan saldırı trafiğidir.

Top TR ASN’ler

ASNEvent
2115579.077
486783.094
2035762.079
624251.953
517221.410
201688823
204457287

AS211557 dominant — 24 saatlik TR trafiğinin yarısından fazlası (%48) bu tek ASN’den geliyor. Türkiye’deki küçük/orta hosting sağlayıcısı, görünüşe göre operatörlerin abuse hızı düşük.

Top TR IP’ler

IPHit
185.23.17.2135.135
168.222.180.1673.942
45.11.96.573.094
5.180.185.452.079
154.53.162.2011.953
195.85.201.2431.410

188.125.168.128 ayrıca listede (287 hit) — bu bizim WAN IP’mizdir, MikroTik IST. Bilinen iç trafik, dış tehdit değil. Listeye 7. sıradan dahildi, IOC çıkarımına dahil edilmemiştir.

🔍 Türkiye Hosting Eko Sistemi Bot'lar İçin Cazip

211557, 48678, 203576 gibi orta-büyüklükte Türk hosting ASN'lerinde abuse-report cevap süresi yavaş, anonim VPS sıkça satılıyor ve KDV faturasız Bitcoin ödeme kabul eden satıcılar mevcut. Bu profil botnet operatörleri için cazip. Yerel CERT (USOM) ve hosting'lerle iletişim, Türkiye'nin global bot kaynağı listesindeki yükselişini durdurmanın yolu.

4. Devam Edenler

mdrfckr Plateau

24 saatlik mdrfckr authorized_keys enjeksiyon: 188 deneme. 22-29 Nis dönemindeki günlük ortalama 258 idi, hafif düşüş ama hâlâ plateau bandı içinde. Kampanya değişen şey niceliksel (188/gün) değil niteliksel (multi-payload). Bkz. yukarıda Bulgu 1.

DoublePulsar

24 saatte 5.396 hitET EXPLOIT [PTsecurity] DoublePulsar Backdoor installation communication. 25 Nis yazısındaki 4 günlük 31.626 / 4 = ~7.900 günlük ortalamadan biraz düşük ama yakın. Kampanya yine güçlü seyirde. SMB/445 saldırıları sürüyor.

Conficker-C P2P

ET MALWARE Possible KEYPLUG/Downadup/Conficker-C P2P encrypted traffic — 4 farklı bit-value varyantı toplamda ~4.755 hit. 17 yıllık worm hâlâ canlı. Yamalanmamış Windows XP/7 makineleri internette dolaşmaya devam ediyor.

Brute-Force Sözlüğü Aynı

UsernameDenemePasswordDeneme
root3.340123456759
ubuntu669support404
admin579123175
support446345gs5662d34169
user3133245gs5662d34166

345gs5662d34 (Mirai/Gafgyt Dahua/Hikvision DVR creds) ve klasikler. Sözlük 8 yıldır neredeyse aynı çünkü kurban tarafında değişen yok.

5. IOC Listesi

Yeni Payload Hash’leri (10 dosya, 30 Nis ilk gözlem)

a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2  (eski Dota)
c32b4937ce8564ea904a3bd2cb64805500ddfd28952a90fd55cb3c85d0be7644  (yeni)
cc1eb03e9b5926d8076e25826664a04400de854bf5cc660fa35eb86cbdf7dc0f  (yeni)
28ba533b0f3c4df63d6b4a5ead73860697bdf735bb353e4ca928474889eb8a15  (yeni)
3f1f9a5db692d999bb3d576b5e9956a242136e961ff3f52ba6202b1254ccdb99  (yeni)
09a3e612f8cad156005766467cf917c507aa88b3336043a76182a301b404545e  (yeni)
28720365c5e7476a011e4f43ac003ee5f16247a263b9d623aa85ed311d73bf39  (yeni)
5c0be87ed7434d69005f8bbd84cad8ae6abfd49121b4aaeeb4c1f4a2e2987711  (yeni)
64426356ffcabc3671e5bd0acff75ec85278dc0d4ff5dac8cc07a9dc05a4c420  (yeni)
afd0dd76c8d59e416fec286d040e83826448034f3e0fe636494e348f908ff851  (yeni)

Fransa /28 Web Tarama

IPASNYorum
185.177.72.11211590TCP/80 koordineli
185.177.72.53211590TCP/80 koordineli
185.177.72.56211590TCP/80 koordineli
185.177.72.70211590TCP/80 koordineli

Türkiye Hosting Bot Kaynakları

IPHitYorum
185.23.17.2135.135TR — büyük hacim
168.222.180.1673.942TR
45.11.96.573.094TR — AS48678
5.180.185.452.079TR — AS203576
154.53.162.2011.953TR — AS62425
195.85.201.2431.410TR — AS51722

IOC’lar CC0 lisansı altında — atıf gerekmeksizin kullanabilirsiniz.

6. Savunma — 24 Saatlik Önceliklendirme

🔒 Multi-Payload İçin EDR Hash Listesi Genişletin

Mevcut imzalarınız sadece a8460f446b... Dota hash'ini içeriyorsa, yukarıdaki 9 yeni hash'i de ekleyin. Outlaw playbook'unun yeni dosyası, önceki tek-hash imzasını aşmak üzere eklenmiş olabilir. EDR'niz tek hash arıyorsa false-negative olasılığı arttı.

🔒 .env / Hidden File Auditi

Tüm public web sunucularınızda curl -I https://siteniz.tld/.env, /.git/config, /wp-config.php.bak gibi bilinen path'lere kontrol yapın. 200 dönen herhangi bir gizli dosya = mevcut sızıntı. Nginx/Apache config'inde location ~ /\\. bloğuyla tüm gizli dosya path'lerini reddetmek küçük bir etki yapar ama artıdır.

🔒 4 Spesifik Fransa IP'sini Bloklayın

Web sunucusu işletiyorsanız 185.177.72.{11,53,56,70} adreslerini perimeter blok listesine ekleyin. Tüm /28'i bloklamak hosting müşterilerini de etkileyebilir; spesifik 4 IP yeterli.

🔒 Türkiye Hosting Trafiği için ASN Etiketleme

SIEM/Suricata kurallarınızda AS211557, AS48678, AS203576, AS62425, AS51722 ASN'lerinden gelen agresif SSH veya web tarama trafiğini "yüksek şüphe" olarak etiketleyin. Türkiye coğrafyası tek başına şüphe sebebi değil — ASN-bazlı filtre daha hassas.

🔒 Önceki Yazılardaki Önlemler Hâlâ Geçerli

SSH password auth kapatma, ~/.ssh/authorized_keys izleme, MS17-010 yamalama, SMBv1 kapatma — geçen iki yazıdaki tüm öneriler bu pencerede de geçerli. Kampanyaların hepsi devam ediyor; tek dosyalık değil çok-katmanlı savunma şart.

Kapanış — 24 Saatte İki Niceliksel, Bir Niteliksel Değişim

24 saatlik gözlem üç başlığı işaretliyor:

  1. Niteliksel: Outlaw mdrfckr playbook’u tek payload’dan 10 dosya/session’a evrilmiş. Bu kampanyanın yapısal yenilenmesi — modüler post-exploitation paketine geçiş.
  2. Niceliksel #1: Türkiye 24 saatte top 8’e girdi. Yerli hosting/VPS altyapısı bot operatörleri için cazip durumda.
  3. Niceliksel #2: Fransa AS211590 üzerinden /28 bloğu koordineli HTTP taraması — yeni bir bot çiftliği.

Plateau anlamında 24 saat bültenler önemli: zirve ve düşüş aramak yerine küçük yapısal değişimleri yakalamak için kullanışlı. Multi-payload evrimi 7 günlük ortalamaya bakınca görünmezdi; 24 saat verisinde net.

Metodoloji

Veriler SiberKale Hisar gözlemevi T-Pot kurulumundan OPSEC filtreli extractor aracılığıyla alınmıştır. Pencere: 2026-04-29 21:00 UTC – 2026-04-30 21:00 UTC (24 saat). Sorgular: type.keyword, geoip.country_name.keyword, shasum.keyword, alert.signature.keyword ve src_ip.keyword üzerinde aggregation. Mdrfckr için match_phrase: “mdrfckr” ile cowrie.command.input alanı tarandı. RFC1918, CGNAT, dahili sensör IP’leri ve bilinen tarayıcı servisleri (Shodan/Censys/Palo Alto Xpanse) filtrelenmiştir; kendi WAN IP’miz 188.125.168.128 tabloda not düşülmüş ama IOC olarak kullanılmamıştır.

📡 Feed Hub 📰 Önceki: mdrfckr Plateau (29 Nis) 📰 Önceki: Verim Katsayısı + Atıf (29 Nis)

Tellal tehdit-istihbarat bülten serisi. Bu yazı SiberKale Hisar gözlemevinin honeypot verilerine dayanmaktadır.

© SiberKale — CC BY 4.0