← Tüm Yazılar
IOC RAPORUHIGH3 Temmuz 2026 · 7 dk okuma

Bülten 7 Haziran – 3 Temmuz: TR Hosting Dalgası, Romanya Kampanyasının Finali ve SOSTREA'nın Yeni Payload Altyapısı

Yaklaşık bir aylık pencerede feed'e 13.571 yeni IoC eklendi; bunların %47'si Türkiye kaynaklı. TR hosting ASN'lerinden üç ayrı dalga geldi ve Türkiye tüm zamanlar sıralamasında 4.'lükten 2.'liğe yükseldi. Romanya kaynaklı SSH persistence kampanyası 30 Haziran'da sustu. SOSTREA/TBK ailesi payload altyapısını değiştirerek geri döndü: yeni dağıtım hostları ve arm7 varyantı.

Analiz: Erdem Özyurt · SiberKale Tellal

İçindekiler 12
📅Veri dönemi: 7 Haziran – 3 Temmuz 2026 · IoC veritabanı (aylık) + ham sensör logları (25 Haziran – 2 Temmuz) · OPSEC-filtreli

Yönetici Özeti

13.571yeni IoC (26 gün)
%47TR kaynaklı yeni IoC
3.26M26 Haziran zirvesi
60.630toplam IoC

7 Haziran bülteni Romanya kaynaklı iki IP’nin taşıdığı SSH persistence kampanyasını raporlamıştı. Aradan geçen yaklaşık dört haftada üç büyük hikâye birikti:

  1. TR hosting dalgası: Feed’e eklenen 13.571 yeni IoC’nin 6.407’si (%47) Türkiye kaynaklı. Dalga üç ayrı zirveyle geldi (13–15 Haziran, 23 Haziran, 26 Haziran) ve neredeyse tamamı TR hosting/VDS operatörlerinin ASN’lerinden çıktı. Türkiye, feed’in tüm zamanlar ülke sıralamasında 1.738 IoC ile 4. sıradayken 8.554 IoC ile 2. sıraya yükseldi.
  2. Romanya kampanyasının finali: 3 Haziran’dan beri süren 193.32.162.34/193.32.162.35 ikilisi, 27 günde toplam ~5.16M event üretti ve 30 Haziran’da sustu. Playbook son güne kadar değişmedi: brute-force → sistem keşfi → authorized_keys persistence.
  3. SOSTREA altyapı rotasyonu: Nisan’dan beri izlediğimiz SOSTREA/TBK IoT ailesi, payload dağıtım hostlarını değiştirerek döndü. Eski 169.40.104.99/bbc yolu kayboldu; yerine 5.175.223.249/bbc ve yeni bir arm7 varyantı (217.60.195.160/gigatex/arm7) geldi. Aynı pencerede TBK DVR command injection (CVE-2024-3721) imzası 1.285 kez tetiklendi.
ℹ️ Veri Notu

Bu bülten iki katmandan hazırlandı: aylık eğilim (7 Haziran – 3 Temmuz) IoC veritabanı üzerinden; ham sensör analizi (davranış, komut zinciri, imza detayı) sensör retention penceresi olan 25 Haziran – 2 Temmuz aralığından. 7–24 Haziran dönemi için davranış yorumu, IoC kayıtlarının first_seen/last_seen ve hit_count alanlarıyla çaprazlandı. Ham log toplamları ile IoC sayaçları birebir aynı okunmamalıdır.


1. Ayın Ana Hikâyesi: TR Hosting Dalgası Üç Zirveyle Geldi

Günlük yeni-IoC serisi, dönemin sakin taban çizgisinin (~200–350/gün) üç kez keskin şekilde kırıldığını gösteriyor:

DalgaYeni IoCBaskın kaynak
13–15 Haziran3.017TR (1.506) — Bogahost (681), Pixoof (421) + BR Planetclick (359)
23 Haziran2.568TR (1.575) — Yigit Hosting (973), Uzmansoft (496), Inoxweb (249), Olfe (247), EtkinHost (247)
26 Haziran2.009TR (1.890 — %94)

Pencere genelinde yeni IoC’lerin ülke dağılımı tabloyu netleştiriyor:

ÜlkeYeni IoC (7 Haz – 3 Tem)
TR6.407
US1.432
CN583
BE581
BR557
UA429

ASN tarafında ilk 10’un yarısından fazlası TR hosting/VDS operatörü:

ASN / OperatörYeni IoC
3C1B Telekomunikasyon (AS6823)2.042
Yigit Hosting (AS47585)1.010
Google Cloud (AS396982)774
Bogahost (AS200239)725
Uzmansoft (AS213407)506
DigitalOcean (AS14061)452
Pixoof Teknoloji (AS51722)422
🔍 Bulgu: Bu Bir "Türkiye Saldırıyor" Hikâyesi Değil

Kaynakların TR hosting ASN'lerinde yoğunlaşması, saldırganların Türkiye'deki ucuz VDS/hosting kapasitesini sıçrama noktası olarak kullandığını gösteriyor. Aynı deseni Mayıs sonundaki TR hosting SSH/web taramasında da görmüştük; Haziran dalgası bunun ölçek atlamış hâli. Bu ASN'lerdeki müşteri makinelerinin ele geçirilmiş veya kötüye kiralanmış olması en olası senaryo. Savunma tarafında TR kaynaklı trafiği toptan engellemek yerine, bu ASN'lerden gelen SSH/web probe'larını ayrı bir risk kategorisinde izlemek daha doğru.

26 Haziran aynı zamanda ham sensör tarafında dönemin zirvesiydi: tek günde 3.26M event (2.57M P0f, 643K Suricata) ve 6.061 benzersiz kaynak IP. Zirveyi tek bir aktör değil, dağıtık bir tarama seli üretti; en görünür küme TR kaynaklı 213.146.165.197 (130K) ve 213.146.165.1 (44.7K) ikilisiydi. Cowrie’nin aynı gün düşük kalması (28K), bu selin oturum açmaya çalışan bir brute-force değil, geniş yüzeyli bir keşif taraması olduğunu söylüyor.


2. Romanya Kampanyasının Finali: 27 Gün, ~5.16M Event, Tek Playbook

3 Haziran’da başlayan ve iki bülten boyunca izlediğimiz Romanya kaynaklı SSH persistence kampanyası bu pencerede kapandı:

IPToplam event (kümülatif)İlk görülmeSon görülme
193.32.162.343.591.2083 Haziran30 Haziran
193.32.162.351.565.5183 Haziran30 Haziran

Retention penceresinde (25–30 Haziran) bile ikili hâlâ listenin başındaydı: 761K + 355K event, bunun 280K + 132K’sı Cowrie. Yani kampanya sönerek değil, neredeyse tam gazla çalışırken durdu. Bu ani kesilme tipik olarak üç şeyden biridir: altyapının kapatılması/abuse ihbarı, operatörün hedef listesini tüketmesi veya yeni altyapıya taşınma. Aynı playbook’un farklı bir kaynaktan dönüp dönmeyeceği önümüzdeki dönemin izleme konusu.

Playbook Son Güne Kadar Değişmedi

Retention penceresindeki Cowrie verisi, Nisan’dan beri gördüğümüz persistence zincirinin aynısını gösteriyor:

Komut / davranışHitYorum
cd ~; chattr -ia .ssh; lockr -ia .ssh869.ssh hazırlığı, immutable kaldırma
uname -a829Kernel/OS parmak izi
cat /proc/cpuinfo ...827+CPU/VM kapasite keşfi
crontab -l824Kalıcılık noktası kontrolü
free -m, df -h, w, which ls821+Kaynak ve oturum keşfi

Dosya indirme tarafında 1.327 file_download kaydının dağılımı da tanıdık:

SHA-256KayıtBağlam
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2866authorized_keys hedefli persistence içeriği
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b461Nisan’dan beri dönen dropper/persistence marker’ı

Login sözlüğü de sabit: kullanıcı tarafında root (25.8K), admin, ubuntu, deploy, dev, oracle; parola tarafında 123456, 12345678, password klasikleri. Üç aydır izlediğimiz bu kampanya ailesinin en dikkat çekici özelliği yenilikçiliği değil, istikrarı: aynı sözlük, aynı komut zinciri, aynı iki hash.


3. SOSTREA Döndü — Ama Aynı Adresten Değil

7 Haziran bülteninde SOSTREA/TBK ailesini “düşük hacim, yüksek attribution değeri” diye raporlamış ve payload yolunun 169.40.104.99/bbc olduğunu not etmiştik. Retention penceresinde imza 1.274 kez görüldü ve payload altyapısı tamamen değişti:

Payload URLHitNot
5.175.223.249/bbc890Yeni ana dağıtım hostu
217.60.195.160/gigatex/arm7315Yeni arm7 varyantı./arm7 tbk parametresiyle
195.123.4.249/bbc54Yedek host
94.154.43.31/bbc, 37.114.37.156/arm75Düşük hacimli rotasyon

echo TBKVERIFY içeren 7 probe da görüldü — aktör, hedefin gerçekten TBK DVR ailesinden olup olmadığını enjeksiyon öncesi doğruluyor. Aynı pencerede Suricata tarafında ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721) imzası 1.285 kez tetiklendi. Kampanyanın görünür aktörleri:

IPSOSTREA/TBK hitBağlam
45.153.34.204536TBK DVR injection ana aktörü
192.109.200.204401TechTies/BG — Nisan’dan beri feed’de
5.61.209.43299Amarutu/SC
🚨 Kritik Okuma: Marker Sabit, Altyapı Değişken

SOSTREA'nın path marker'ı (___S_O_S_T_R_E_A_MAX___) aylardır değişmiyor; ama payload hostları rotasyona girdi ve mimari çeşitlendi (bbc + arm7). IP tabanlı bloklama bu aileye karşı birkaç hafta ömürlüdür — kalıcı tespit, path marker'ı ve device.rsp injection deseninin kendisi üzerinden kurulmalı.

Tanner tarafında ayrıca Bucklog SARL kümesinin devamı görüldü: 185.177.72.49/.51/.69 üçlüsü, her biri ~3K event ile web yüzeyini taradı (önceki bültenlerde aynı bloğun .16 ve .51’i vardı). Hikvision /SDK/webLanguage probe’ları (311) da IoT keşif kuyruğunun canlı olduğunu gösteriyor.


4. SMTP: Kuyruk Bitti, Tek Aktör Konsantrasyonu Başladı

Önceki iki bülten SMTP’yi “düşmeyen kuyruk” diye tanımlamıştı. Retention penceresinde tablo değişti: port 25’e 489.946 event geldi (önceki 4 günlük pencerede 12.7K idi) ve Mailoney’nin 22.505 kaydının %88’i tek bir kaynaktan çıktı:

Kaynak IPMailoney EventBağlam
158.94.209.5619.746Omegatech LTD (NL) — dönemin tek baskın SMTP aktörü
178.16.54.22732Kuyruk
141.98.9.55713Kuyruk
64.89.163.9293Düşük hacim

Dikkat çekici detay: önceki bültenin SMTP aktörlerinden 158.94.210.190 ile yeni aktör 158.94.209.56 aynı /23 komşuluğunda. Open-relay arayan operasyon kaynak IP değiştirmiş ama ağ bloğunu korumuş görünüyor. Mail gateway tarafında tekil IP yerine bu blokların davranış bazlı izlenmesi gerekiyor.


5. Genel Yüzey: SSH Hâlâ Ana Gövde

Retention penceresinin (25 Haziran – 2 Temmuz, ~7.24M event) port dağılımı:

PortEventBağlam
222.306.173SSH ana gövde
4431.405.118HTTPS probe
801.069.818HTTP probe
25489.946SMTP — tek aktör konsantrasyonu
8080445.358Alternatif web yüzeyi
330630.061MySQL arka plan

Suricata imzalarında SSH kampanyalarıyla uyumlu üçlü yine üstte: ET INFO SSH session in progress (9.1K), ET INFO CURL User Agent (8.3K), ET INFO SSH-2.0-Go version string (7.6K) ve ET SCAN Potential SSH Scan (6.2K). ET HUNTING Suspicious Chmod Usage in URI (1.277) ise SOSTREA benzeri IoT injection denemeleriyle örtüşüyor.

Tek günlük anomaliler de kayda değer: 144.225.64.203 (28 Haziran, 378K event — yalnızca P0f+Suricata, oturum denemesi yok) ve 94.249.252.67 (29 Haziran, 287K event) tek gün içinde belirip kayboldu. Bu “bir günlük flood” deseni, kiralık tarama altyapısının kısa ömürlü kullanımına işaret ediyor.


6. Feed Göstergeleri

Metrik7 Haziran3 TemmuzDeğişim
Toplam IoC47.19860.630+13.432 (%28)
Son 7 gün IoC3.7836.650+%76
Benzersiz ASN3.6443.952+308

Tüm zamanlar ülke sıralamasında ay içindeki kırılma:

ÜlkeIoC (3 Temmuz)Not
US12.818Lider
TR8.5544. sıradan 2. sıraya (7 Haziran’da 1.738 idi)
BR5.221
CN5.191

IoC Tablosu — 7 Haziran – 3 Temmuz Penceresi

IoCTürBağlamÖncelik
193.32.162.34IPRomanya SSH persistence — 30 Haziran’da sustuhigh
193.32.162.35IPAynı küme, aynı finalhigh
5.175.223.249/bbcURLSOSTREA yeni ana payload hostuhigh
217.60.195.160/gigatex/arm7URLSOSTREA arm7 varyantı (./arm7 tbk)high
195.123.4.249/bbcURLSOSTREA yedek payload hostumedium
45.153.34.204IPTBK DVR CVE-2024-3721 ana aktörühigh
192.109.200.204IPTBK/Tanner — Nisan’dan beri süreklilikmedium
5.61.209.43IPTBK/SOSTREA kümesimedium
158.94.209.56IPSMTP tek baskın aktör (Mailoney %88)high
213.146.165.197IP26 Haziran TR tarama seli görünür kümesimedium
144.225.64.203IP28 Haziran tek günlük flood (378K)medium
94.249.252.67IP29 Haziran tek günlük flood (287K)medium
185.177.72.49 / .51 / .69IPBucklog SARL web tarama kümesi devamımedium
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2SHA-256authorized_keys persistence içeriğihigh
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546bSHA-256Nisan’dan beri dönen dropper marker’ımedium
ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command InjectionIDSCVE-2024-3721 aktif istismarhigh

IOC’lar savunma amaçlı paylaşılır. Bu pencerenin dersi: IP listeleri hızla eskiyor (Romanya ikilisi sustu, SOSTREA hostları döndü, SMTP aktörü komşu IP’ye kaydı) — kalıcı tespit davranış ve marker tabanlı kurulmalı.


Savunma Öncelikleri

  1. TR hosting ASN’lerinden gelen probe’lara ayrı kategori: AS6823, AS47585, AS200239, AS213407, AS51722 kaynaklı SSH/web denemelerini ayrı risk skoruyla izleyin; toptan ülke bloğu yanlış pozitif üretir.
  2. SSH post-auth korelasyonu (değişmedi): Başarılı login sonrası ilk 60 saniyede authorized_keys, chattr, crontab, uname, cpuinfo zincirini alarma bağlayın. Romanya kampanyası bitti; playbook’u devralan yeni kaynak çıkacaktır.
  3. TBK DVR / IoT yüzeyi: CVE-2024-3721 aktif istismar altında. device.rsp injection deseni ve ___S_O_S_T_R_E_A_MAX___ marker’ı IDS’te path tabanlı kural olarak tutulmalı; payload host IP’lerine güvenmeyin, rotasyona girdiler.
  4. SMTP blok izleme: Open-relay arayan operasyon 158.94.208.0/22 komşuluğunda IP değiştiriyor. RCPT TO başarısızlıklarını IP değil prefix/ASN bazında gruplayın.
  5. Tek günlük flood’ları ayrı sınıflandırın: 26/28/29 Haziran desenindeki kısa ömürlü yüksek hacimli kaynaklar, kalıcı bloklistlerden çok geçici rate-limit politikalarıyla karşılanmalı.

Sonuç

Bu pencere, üç aydır izlediğimiz hikâyelerin hepsinde sayfa çevirdi. Romanya kaynaklı SSH persistence kampanyası — Nisan’dan beri gördüğümüz en istikrarlı aktör ailesi — 30 Haziran’da tam gazla çalışırken sustu. SOSTREA, marker’ını koruyup altyapısını değiştirerek “düşük hacimli kuyruk” durumundan çıkıp yeniden aktif dağıtıma geçti. SMTP kuyruğu tek aktör konsantrasyonuna dönüştü.

Ama ayın asıl hikâyesi Türkiye: feed’e giren her iki yeni IoC’den biri TR hosting altyapısından çıktı ve Türkiye tüm zamanlar sıralamasında 2. sıraya yerleşti. Bu, saldırganların ucuz ve bol VDS kapasitesini nereden kiraladığının haritası — ve bu haritada Türkiye’nin payı büyüyor.


Metodoloji ve Lisans

Bu rapor 7 Haziran – 3 Temmuz 2026 arası Tellal IoC veritabanı kayıtları ile 25 Haziran – 2 Temmuz arası ham honeypot loglarının OPSEC-filtreli analiziyle hazırlandı. Dahili IP’ler, yönetim trafiği, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır. Ham sensör retention penceresi dışındaki dönem için davranış yorumları IoC üstverisiyle sınırlıdır.

Lisans: CC BY 4.0 — Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal — Threat Intelligence Feed · tellal.net