Bülten 7 Haziran – 3 Temmuz: TR Hosting Dalgası, Romanya Kampanyasının Finali ve SOSTREA'nın Yeni Payload Altyapısı
Yaklaşık bir aylık pencerede feed'e 13.571 yeni IoC eklendi; bunların %47'si Türkiye kaynaklı. TR hosting ASN'lerinden üç ayrı dalga geldi ve Türkiye tüm zamanlar sıralamasında 4.'lükten 2.'liğe yükseldi. Romanya kaynaklı SSH persistence kampanyası 30 Haziran'da sustu. SOSTREA/TBK ailesi payload altyapısını değiştirerek geri döndü: yeni dağıtım hostları ve arm7 varyantı.
Analiz: Erdem Özyurt · SiberKale Tellal
İçindekiler 12
- Yönetici Özeti
- 1. Ayın Ana Hikâyesi: TR Hosting Dalgası Üç Zirveyle Geldi
- 2. Romanya Kampanyasının Finali: 27 Gün, ~5.16M Event, Tek Playbook
- Playbook Son Güne Kadar Değişmedi
- 3. SOSTREA Döndü — Ama Aynı Adresten Değil
- 4. SMTP: Kuyruk Bitti, Tek Aktör Konsantrasyonu Başladı
- 5. Genel Yüzey: SSH Hâlâ Ana Gövde
- 6. Feed Göstergeleri
- IoC Tablosu — 7 Haziran – 3 Temmuz Penceresi
- Savunma Öncelikleri
- Sonuç
- Metodoloji ve Lisans
Yönetici Özeti
7 Haziran bülteni Romanya kaynaklı iki IP’nin taşıdığı SSH persistence kampanyasını raporlamıştı. Aradan geçen yaklaşık dört haftada üç büyük hikâye birikti:
- TR hosting dalgası: Feed’e eklenen 13.571 yeni IoC’nin 6.407’si (%47) Türkiye kaynaklı. Dalga üç ayrı zirveyle geldi (13–15 Haziran, 23 Haziran, 26 Haziran) ve neredeyse tamamı TR hosting/VDS operatörlerinin ASN’lerinden çıktı. Türkiye, feed’in tüm zamanlar ülke sıralamasında 1.738 IoC ile 4. sıradayken 8.554 IoC ile 2. sıraya yükseldi.
- Romanya kampanyasının finali: 3 Haziran’dan beri süren
193.32.162.34/193.32.162.35ikilisi, 27 günde toplam ~5.16M event üretti ve 30 Haziran’da sustu. Playbook son güne kadar değişmedi: brute-force → sistem keşfi →authorized_keyspersistence. - SOSTREA altyapı rotasyonu: Nisan’dan beri izlediğimiz SOSTREA/TBK IoT ailesi, payload dağıtım hostlarını değiştirerek döndü. Eski
169.40.104.99/bbcyolu kayboldu; yerine5.175.223.249/bbcve yeni bir arm7 varyantı (217.60.195.160/gigatex/arm7) geldi. Aynı pencerede TBK DVR command injection (CVE-2024-3721) imzası 1.285 kez tetiklendi.
Bu bülten iki katmandan hazırlandı: aylık eğilim (7 Haziran – 3 Temmuz) IoC veritabanı üzerinden; ham sensör analizi (davranış, komut zinciri, imza detayı) sensör retention penceresi olan 25 Haziran – 2 Temmuz aralığından. 7–24 Haziran dönemi için davranış yorumu, IoC kayıtlarının first_seen/last_seen ve hit_count alanlarıyla çaprazlandı. Ham log toplamları ile IoC sayaçları birebir aynı okunmamalıdır.
1. Ayın Ana Hikâyesi: TR Hosting Dalgası Üç Zirveyle Geldi
Günlük yeni-IoC serisi, dönemin sakin taban çizgisinin (~200–350/gün) üç kez keskin şekilde kırıldığını gösteriyor:
| Dalga | Yeni IoC | Baskın kaynak |
|---|---|---|
| 13–15 Haziran | 3.017 | TR (1.506) — Bogahost (681), Pixoof (421) + BR Planetclick (359) |
| 23 Haziran | 2.568 | TR (1.575) — Yigit Hosting (973), Uzmansoft (496), Inoxweb (249), Olfe (247), EtkinHost (247) |
| 26 Haziran | 2.009 | TR (1.890 — %94) |
Pencere genelinde yeni IoC’lerin ülke dağılımı tabloyu netleştiriyor:
| Ülke | Yeni IoC (7 Haz – 3 Tem) |
|---|---|
| TR | 6.407 |
| US | 1.432 |
| CN | 583 |
| BE | 581 |
| BR | 557 |
| UA | 429 |
ASN tarafında ilk 10’un yarısından fazlası TR hosting/VDS operatörü:
| ASN / Operatör | Yeni IoC |
|---|---|
| 3C1B Telekomunikasyon (AS6823) | 2.042 |
| Yigit Hosting (AS47585) | 1.010 |
| Google Cloud (AS396982) | 774 |
| Bogahost (AS200239) | 725 |
| Uzmansoft (AS213407) | 506 |
| DigitalOcean (AS14061) | 452 |
| Pixoof Teknoloji (AS51722) | 422 |
Kaynakların TR hosting ASN'lerinde yoğunlaşması, saldırganların Türkiye'deki ucuz VDS/hosting kapasitesini sıçrama noktası olarak kullandığını gösteriyor. Aynı deseni Mayıs sonundaki TR hosting SSH/web taramasında da görmüştük; Haziran dalgası bunun ölçek atlamış hâli. Bu ASN'lerdeki müşteri makinelerinin ele geçirilmiş veya kötüye kiralanmış olması en olası senaryo. Savunma tarafında TR kaynaklı trafiği toptan engellemek yerine, bu ASN'lerden gelen SSH/web probe'larını ayrı bir risk kategorisinde izlemek daha doğru.
26 Haziran aynı zamanda ham sensör tarafında dönemin zirvesiydi: tek günde 3.26M event (2.57M P0f, 643K Suricata) ve 6.061 benzersiz kaynak IP. Zirveyi tek bir aktör değil, dağıtık bir tarama seli üretti; en görünür küme TR kaynaklı 213.146.165.197 (130K) ve 213.146.165.1 (44.7K) ikilisiydi. Cowrie’nin aynı gün düşük kalması (28K), bu selin oturum açmaya çalışan bir brute-force değil, geniş yüzeyli bir keşif taraması olduğunu söylüyor.
2. Romanya Kampanyasının Finali: 27 Gün, ~5.16M Event, Tek Playbook
3 Haziran’da başlayan ve iki bülten boyunca izlediğimiz Romanya kaynaklı SSH persistence kampanyası bu pencerede kapandı:
| IP | Toplam event (kümülatif) | İlk görülme | Son görülme |
|---|---|---|---|
193.32.162.34 | 3.591.208 | 3 Haziran | 30 Haziran |
193.32.162.35 | 1.565.518 | 3 Haziran | 30 Haziran |
Retention penceresinde (25–30 Haziran) bile ikili hâlâ listenin başındaydı: 761K + 355K event, bunun 280K + 132K’sı Cowrie. Yani kampanya sönerek değil, neredeyse tam gazla çalışırken durdu. Bu ani kesilme tipik olarak üç şeyden biridir: altyapının kapatılması/abuse ihbarı, operatörün hedef listesini tüketmesi veya yeni altyapıya taşınma. Aynı playbook’un farklı bir kaynaktan dönüp dönmeyeceği önümüzdeki dönemin izleme konusu.
Playbook Son Güne Kadar Değişmedi
Retention penceresindeki Cowrie verisi, Nisan’dan beri gördüğümüz persistence zincirinin aynısını gösteriyor:
| Komut / davranış | Hit | Yorum |
|---|---|---|
cd ~; chattr -ia .ssh; lockr -ia .ssh | 869 | .ssh hazırlığı, immutable kaldırma |
uname -a | 829 | Kernel/OS parmak izi |
cat /proc/cpuinfo ... | 827+ | CPU/VM kapasite keşfi |
crontab -l | 824 | Kalıcılık noktası kontrolü |
free -m, df -h, w, which ls | 821+ | Kaynak ve oturum keşfi |
Dosya indirme tarafında 1.327 file_download kaydının dağılımı da tanıdık:
| SHA-256 | Kayıt | Bağlam |
|---|---|---|
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | 866 | authorized_keys hedefli persistence içeriği |
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b | 461 | Nisan’dan beri dönen dropper/persistence marker’ı |
Login sözlüğü de sabit: kullanıcı tarafında root (25.8K), admin, ubuntu, deploy, dev, oracle; parola tarafında 123456, 12345678, password klasikleri. Üç aydır izlediğimiz bu kampanya ailesinin en dikkat çekici özelliği yenilikçiliği değil, istikrarı: aynı sözlük, aynı komut zinciri, aynı iki hash.
3. SOSTREA Döndü — Ama Aynı Adresten Değil
7 Haziran bülteninde SOSTREA/TBK ailesini “düşük hacim, yüksek attribution değeri” diye raporlamış ve payload yolunun 169.40.104.99/bbc olduğunu not etmiştik. Retention penceresinde imza 1.274 kez görüldü ve payload altyapısı tamamen değişti:
| Payload URL | Hit | Not |
|---|---|---|
5.175.223.249/bbc | 890 | Yeni ana dağıtım hostu |
217.60.195.160/gigatex/arm7 | 315 | Yeni arm7 varyantı — ./arm7 tbk parametresiyle |
195.123.4.249/bbc | 54 | Yedek host |
94.154.43.31/bbc, 37.114.37.156/arm7 | 5 | Düşük hacimli rotasyon |
echo TBKVERIFY içeren 7 probe da görüldü — aktör, hedefin gerçekten TBK DVR ailesinden olup olmadığını enjeksiyon öncesi doğruluyor. Aynı pencerede Suricata tarafında ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721) imzası 1.285 kez tetiklendi. Kampanyanın görünür aktörleri:
| IP | SOSTREA/TBK hit | Bağlam |
|---|---|---|
45.153.34.204 | 536 | TBK DVR injection ana aktörü |
192.109.200.204 | 401 | TechTies/BG — Nisan’dan beri feed’de |
5.61.209.43 | 299 | Amarutu/SC |
SOSTREA'nın path marker'ı (___S_O_S_T_R_E_A_MAX___) aylardır değişmiyor; ama payload hostları rotasyona girdi ve mimari çeşitlendi (bbc + arm7). IP tabanlı bloklama bu aileye karşı birkaç hafta ömürlüdür — kalıcı tespit, path marker'ı ve device.rsp injection deseninin kendisi üzerinden kurulmalı.
Tanner tarafında ayrıca Bucklog SARL kümesinin devamı görüldü: 185.177.72.49/.51/.69 üçlüsü, her biri ~3K event ile web yüzeyini taradı (önceki bültenlerde aynı bloğun .16 ve .51’i vardı). Hikvision /SDK/webLanguage probe’ları (311) da IoT keşif kuyruğunun canlı olduğunu gösteriyor.
4. SMTP: Kuyruk Bitti, Tek Aktör Konsantrasyonu Başladı
Önceki iki bülten SMTP’yi “düşmeyen kuyruk” diye tanımlamıştı. Retention penceresinde tablo değişti: port 25’e 489.946 event geldi (önceki 4 günlük pencerede 12.7K idi) ve Mailoney’nin 22.505 kaydının %88’i tek bir kaynaktan çıktı:
| Kaynak IP | Mailoney Event | Bağlam |
|---|---|---|
158.94.209.56 | 19.746 | Omegatech LTD (NL) — dönemin tek baskın SMTP aktörü |
178.16.54.22 | 732 | Kuyruk |
141.98.9.55 | 713 | Kuyruk |
64.89.163.9 | 293 | Düşük hacim |
Dikkat çekici detay: önceki bültenin SMTP aktörlerinden 158.94.210.190 ile yeni aktör 158.94.209.56 aynı /23 komşuluğunda. Open-relay arayan operasyon kaynak IP değiştirmiş ama ağ bloğunu korumuş görünüyor. Mail gateway tarafında tekil IP yerine bu blokların davranış bazlı izlenmesi gerekiyor.
5. Genel Yüzey: SSH Hâlâ Ana Gövde
Retention penceresinin (25 Haziran – 2 Temmuz, ~7.24M event) port dağılımı:
| Port | Event | Bağlam |
|---|---|---|
| 22 | 2.306.173 | SSH ana gövde |
| 443 | 1.405.118 | HTTPS probe |
| 80 | 1.069.818 | HTTP probe |
| 25 | 489.946 | SMTP — tek aktör konsantrasyonu |
| 8080 | 445.358 | Alternatif web yüzeyi |
| 3306 | 30.061 | MySQL arka plan |
Suricata imzalarında SSH kampanyalarıyla uyumlu üçlü yine üstte: ET INFO SSH session in progress (9.1K), ET INFO CURL User Agent (8.3K), ET INFO SSH-2.0-Go version string (7.6K) ve ET SCAN Potential SSH Scan (6.2K). ET HUNTING Suspicious Chmod Usage in URI (1.277) ise SOSTREA benzeri IoT injection denemeleriyle örtüşüyor.
Tek günlük anomaliler de kayda değer: 144.225.64.203 (28 Haziran, 378K event — yalnızca P0f+Suricata, oturum denemesi yok) ve 94.249.252.67 (29 Haziran, 287K event) tek gün içinde belirip kayboldu. Bu “bir günlük flood” deseni, kiralık tarama altyapısının kısa ömürlü kullanımına işaret ediyor.
6. Feed Göstergeleri
| Metrik | 7 Haziran | 3 Temmuz | Değişim |
|---|---|---|---|
| Toplam IoC | 47.198 | 60.630 | +13.432 (%28) |
| Son 7 gün IoC | 3.783 | 6.650 | +%76 |
| Benzersiz ASN | 3.644 | 3.952 | +308 |
Tüm zamanlar ülke sıralamasında ay içindeki kırılma:
| Ülke | IoC (3 Temmuz) | Not |
|---|---|---|
| US | 12.818 | Lider |
| TR | 8.554 | 4. sıradan 2. sıraya (7 Haziran’da 1.738 idi) |
| BR | 5.221 | |
| CN | 5.191 |
IoC Tablosu — 7 Haziran – 3 Temmuz Penceresi
| IoC | Tür | Bağlam | Öncelik |
|---|---|---|---|
193.32.162.34 | IP | Romanya SSH persistence — 30 Haziran’da sustu | high |
193.32.162.35 | IP | Aynı küme, aynı final | high |
5.175.223.249/bbc | URL | SOSTREA yeni ana payload hostu | high |
217.60.195.160/gigatex/arm7 | URL | SOSTREA arm7 varyantı (./arm7 tbk) | high |
195.123.4.249/bbc | URL | SOSTREA yedek payload hostu | medium |
45.153.34.204 | IP | TBK DVR CVE-2024-3721 ana aktörü | high |
192.109.200.204 | IP | TBK/Tanner — Nisan’dan beri süreklilik | medium |
5.61.209.43 | IP | TBK/SOSTREA kümesi | medium |
158.94.209.56 | IP | SMTP tek baskın aktör (Mailoney %88) | high |
213.146.165.197 | IP | 26 Haziran TR tarama seli görünür kümesi | medium |
144.225.64.203 | IP | 28 Haziran tek günlük flood (378K) | medium |
94.249.252.67 | IP | 29 Haziran tek günlük flood (287K) | medium |
185.177.72.49 / .51 / .69 | IP | Bucklog SARL web tarama kümesi devamı | medium |
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 | SHA-256 | authorized_keys persistence içeriği | high |
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b | SHA-256 | Nisan’dan beri dönen dropper marker’ı | medium |
ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection | IDS | CVE-2024-3721 aktif istismar | high |
IOC’lar savunma amaçlı paylaşılır. Bu pencerenin dersi: IP listeleri hızla eskiyor (Romanya ikilisi sustu, SOSTREA hostları döndü, SMTP aktörü komşu IP’ye kaydı) — kalıcı tespit davranış ve marker tabanlı kurulmalı.
Savunma Öncelikleri
- TR hosting ASN’lerinden gelen probe’lara ayrı kategori: AS6823, AS47585, AS200239, AS213407, AS51722 kaynaklı SSH/web denemelerini ayrı risk skoruyla izleyin; toptan ülke bloğu yanlış pozitif üretir.
- SSH post-auth korelasyonu (değişmedi): Başarılı login sonrası ilk 60 saniyede
authorized_keys,chattr,crontab,uname,cpuinfozincirini alarma bağlayın. Romanya kampanyası bitti; playbook’u devralan yeni kaynak çıkacaktır. - TBK DVR / IoT yüzeyi: CVE-2024-3721 aktif istismar altında.
device.rspinjection deseni ve___S_O_S_T_R_E_A_MAX___marker’ı IDS’te path tabanlı kural olarak tutulmalı; payload host IP’lerine güvenmeyin, rotasyona girdiler. - SMTP blok izleme: Open-relay arayan operasyon
158.94.208.0/22komşuluğunda IP değiştiriyor.RCPT TObaşarısızlıklarını IP değil prefix/ASN bazında gruplayın. - Tek günlük flood’ları ayrı sınıflandırın: 26/28/29 Haziran desenindeki kısa ömürlü yüksek hacimli kaynaklar, kalıcı bloklistlerden çok geçici rate-limit politikalarıyla karşılanmalı.
Sonuç
Bu pencere, üç aydır izlediğimiz hikâyelerin hepsinde sayfa çevirdi. Romanya kaynaklı SSH persistence kampanyası — Nisan’dan beri gördüğümüz en istikrarlı aktör ailesi — 30 Haziran’da tam gazla çalışırken sustu. SOSTREA, marker’ını koruyup altyapısını değiştirerek “düşük hacimli kuyruk” durumundan çıkıp yeniden aktif dağıtıma geçti. SMTP kuyruğu tek aktör konsantrasyonuna dönüştü.
Ama ayın asıl hikâyesi Türkiye: feed’e giren her iki yeni IoC’den biri TR hosting altyapısından çıktı ve Türkiye tüm zamanlar sıralamasında 2. sıraya yerleşti. Bu, saldırganların ucuz ve bol VDS kapasitesini nereden kiraladığının haritası — ve bu haritada Türkiye’nin payı büyüyor.
Metodoloji ve Lisans
Bu rapor 7 Haziran – 3 Temmuz 2026 arası Tellal IoC veritabanı kayıtları ile 25 Haziran – 2 Temmuz arası ham honeypot loglarının OPSEC-filtreli analiziyle hazırlandı. Dahili IP’ler, yönetim trafiği, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır. Ham sensör retention penceresi dışındaki dönem için davranış yorumları IoC üstverisiyle sınırlıdır.
Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal — Threat Intelligence Feed · tellal.net