← Tüm Yazılar
IOC RAPORUMEDIUM9 Temmuz 2026 · 8 dk okuma

Bülten 3–9 Temmuz: Bucklog Tarama Selleri, SOSTREA'nın arm7 Dönemi ve SSH Playbook'unun Yeni Taşıyıcıları

Haftalık pencerede feed'e 1.506 yeni IoC girdi; günlük ham hacim önceki döneme göre %72 düştü. Bucklog SARL kümesi /24-senkron flood'a evrildi (tek günde ~158K event), SOSTREA arm7 varyantına geçip payload hostlarını yine değiştirdi ve Romanya SSH persistence playbook'unu yeni bir senkron ikili devraldı. Geçen bültenin üç tahmini de bu hafta doğrulandı.

Analiz: Erdem Özyurt · SiberKale Tellal

İçindekiler 12
📅Veri dönemi: 3 – 9 Temmuz 2026 · IoC veritabanı + ham sensör logları (tam örtüşme) · OPSEC-filtreli

Yönetici Özeti

1.506yeni IoC (7 gün)
−%72günlük ham hacim
2.087CVE-2024-3721 imza
62.144toplam IoC

3 Temmuz bülteni üç öngörüyle kapanmıştı: Romanya playbook’unu devralan yeni kaynak çıkacak, SMTP operasyonu aynı ağ bloğunda IP değiştirecek ve SOSTREA payload hostlarına güvenilemeyecek. Bu hafta üçü de doğrulandı. Dönemin dört hikâyesi:

  1. Hacim normalleşti: İki büyük gürültü kaynağı (Romanya SSH ikilisi ve Haziran TR hosting seli) sahneden çekilince günlük ham hacim ~905K’dan ~254K event’e indi. TR’nin yeni IoC’lerdeki payı %47’den %17’ye düştü, ama kalan TR trafiği tek bir ASN’de yoğunlaştı.
  2. Bucklog selleri: Önceki bültenlerde IP başına ~3K event’lik web taramasıyla anılan Bucklog SARL kümesi (185.177.72.0/24) ölçek atladı: 4 Temmuz’da dört IP birden ~39,5K’ar event üretti ve haftanın zirve gününü tek başına şişirdi.
  3. SOSTREA’nın arm7 dönemi: Payload altyapısı bir bültende ikinci kez döndü. Geçen haftanın “yeni ana hostu” 5.175.223.249 tamamen kayboldu; arm7 varyantı ana dağıtım yolu hâline geldi ve teslimat cephaneliğine netcat eklendi.
  4. SSH playbook’u el değiştirdi: Romanya ikilisi kesin olarak sustu, ama aynı komut zinciri ve aynı iki hash bu hafta yeni bir senkron ikiliden geldi: 45.153.34.235 + 91.92.40.14, ikisi de birebir aynı sayıda Cowrie event ile.
ℹ️ Veri Notu

Bu bülten tek katmandan hazırlandı: 7 günlük pencerenin tamamı hem IoC veritabanı hem ham sensör retention'ı içinde kaldığı için trend ve davranış verisi birebir çaprazlanabildi. İç/yönetim trafiği ve bilinen operasyonel kaynaklar tüm tablo ve listelerden çıkarılmıştır.


1. Hafta Normalleşti, Türkiye Trafiği Tek ASN’e Yoğunlaştı

Pencere toplamı 1,78M event ve 4.433 benzersiz kaynak IP. Günlük ortalama ~254K event; önceki bültenin ham penceresinde bu ortalama ~905K idi. Düşüşün iki nedeni net: 27 günde ~5,16M event üreten Romanya SSH ikilisi 30 Haziran’da sustu ve Haziran’ın TR hosting seli geri çekildi.

Günlük yeni-IoC serisi de sakin taban çizgisine döndü (150–215/gün); tek istisna 6 Temmuz’daki 435’lik zirve:

GünYeni IoC
3 Temmuz209
4 Temmuz212
5 Temmuz145
6 Temmuz435
7 Temmuz169
8 Temmuz214
9 Temmuz122

Yeni IoC’lerin ülke dağılımında TR hâlâ ilk sırada ama tablo Haziran’a göre çok daha dengeli:

ÜlkeYeni IoC (3–9 Temmuz)
TR255
US235
BE218
CN141
GB120
DE96
🔍 Bulgu: Dalga Soğudu, Kaynak Yoğunlaştı

TR'nin 255 yeni IoC'sinin 244'ü (%96) tek bir ASN'den geldi: AS214041 (Dokunmatik Ekran Teknolojileri). Aynı ASN ham sensör tarafında 86.395 event ile dönemin 2. kaynak ağıydı. Haziran'daki çok-operatörlü TR hosting dalgası (Bogahost, Yigit, Uzmansoft, Pixoof...) geri çekilirken, kalan TR trafiğinin neredeyse tamamının tek ASN'de toplanması izlenmesi gereken yeni bir desen: dağıtık kiralama bitti, yoğun tek-kaynak dönemi başlamış olabilir.

ASN genelinde ilk üç: Google Cloud (256), AS214041 (244), DigitalOcean (116). Haziran bülteninin TR hosting operatörlerinden hiçbiri bu hafta ilk 12’de yok.


2. Bucklog Selleri: Tek IP Flood’undan /24-Senkron Kümeye

Önceki iki bültende Bucklog SARL (FR) kümesini “her biri ~3K event’lik web tarayıcısı üçlüsü” olarak not etmiştik. Bu hafta aynı /24’ten gelen operasyon ölçek atladı:

IPEventProfil
185.177.72.5439.592P0f + Suricata, 4 Temmuz
185.177.72.3839.507P0f + Suricata, 4 Temmuz
185.177.72.6939.507P0f + Suricata, 9 Temmuz’da geri döndü
185.177.72.5239.387P0f + Suricata, 4 Temmuz
185.177.72.5311.868Tanner + Fatt ağırlıklı (web içerik taraması)

4 Temmuz’da dört IP’nin birlikte ürettiği ~158K event, günü haftanın zirvesi yapan 370K’nın yarısına yakınını tek başına oluşturdu. Bucklog SARL toplamda 169.957 event ile dönemin 1. kaynak ağı oldu ve Fransa’yı ülke sıralamasının tepesine taşıdı (175K event).

Profil dikkat çekici: küme Cowrie’ye neredeyse hiç dokunmuyor, oturum açma denemesi yok. Bu, hedef listesi çıkaran geniş yüzeyli bir keşif taraması. Event sayılarının IP’ler arasında neredeyse birebir aynı olması (39.507 iki kez!), aynı görev tanımının aynı anda dört instance’a dağıtıldığını gösteriyor. Önceki bültenlerin “bir günlük flood” deseni tek IP’den /24-senkron kümeye evrildi; savunma tarafında bunun karşılığı IP bazlı değil prefix bazlı rate-limit.


3. SOSTREA’nın arm7 Dönemi: Host Rotasyonu Hızlandı, Cephaneliğe netcat Girdi

Geçen bülten SOSTREA/TBK ailesinin payload altyapısını değiştirdiğini raporlamıştı. Bu hafta altyapı bir kez daha döndü ve geçen haftanın “yeni ana hostu” 5.175.223.249 pencerede hiç görünmedi:

PayloadHitNot
217.60.195.160/gigatex/arm71.274arm7 artık ana yol (geçen hafta 315 idi) · ./arm7 tbk
95.182.89.105/bbc778Yeni bbc hostu
206.223.236.99/bbc19Yedek bbc hostu
nc 45.153.34.204 1000 > womp3Yeni teslimat varyantı: wget yerine netcat

Netcat varyantı ayrıca dikkat çekici: payload, aktörün kendi IP’sinden 1000/tcp üzerinden çekiliyor. Yani 45.153.34.204 hem tarayıcı hem dağıtım sunucusu; Nisan’dan beri feed’de olan bu IP’nin kümülatif hit sayısı 22.213’e ulaştı ve son görülmesi 9 Temmuz.

Marker toplamda 2.079 kez görüldü; dağılım iki aktörde toplanıyor:

IPSOSTREA hitBağlam
45.139.122.801.275Yeni ana aktör (%61), bu hafta feed’e girdi
45.153.34.204798Nisan’dan beri süreklilik

Suricata tarafında ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721) imzası 2.087 kez tetiklendi; günlük oran önceki pencerenin neredeyse iki katı. İstismar yavaşlamıyor, hızlanıyor.

🚨 Kritik Okuma: Rotasyon Artık Haftalık

SOSTREA'nın payload hostları geçen ay bir kez, bu hafta bir kez daha döndü: IP tabanlı bloklamanın ömrü artık haftayla ölçülüyor. Değişmeyenler ise aynı: path marker (___S_O_S_T_R_E_A_MAX___), device.rsp injection deseni ve /tmp içinde indir-çalıştır zinciri. Kalıcı tespit bu üçü üzerine kurulmalı; netcat varyantı için egress'te sıra dışı porta (1000/tcp) giden ham TCP bağlantısı ayrıca izlenmeli.


4. SSH Playbook’u El Değiştirdi: Yeni Senkron İkili

Romanya ikilisinin finali kesinleşti: 193.32.162.34 ve 193.32.162.35 bu pencerede 0 event üretti, son görülmeleri 30 Haziran’da kaldı. Ama geçen bültenin öngörüsü bir haftada gerçekleşti: playbook’u devralan yeni kaynaklar çıktı.

IPCowrie eventNot
45.153.34.2353.8158 Temmuz’da yüklendi, toplam 10,7K event
91.92.40.143.8158 Temmuz’da yüklendi, toplam 10,9K event (TechTies bloğu)

İki IP’nin Cowrie event sayısının birebir aynı olması tesadüf değil: Romanya döneminin .34/.35 çift yapısının yapısal kopyası. Üstelik 45.153.34.235, TBK/SOSTREA aktörü 45.153.34.204 ile aynı /24’te; SSH persistence ve IoT injection operasyonlarının altyapı komşuluğu bu hafta ilk kez bu kadar netleşti.

Komut zinciri Nisan’dan beri değişmedi:

Komut / davranışHit
uname -a664
cd ~; chattr -ia .ssh; lockr -ia .ssh661
cat /proc/cpuinfo ... (kapasite keşfi)656–660
crontab -l656
whoami, top, df -h, which ls656–657

Aynı iki hash de görevde:

SHA-256İndirmeBağlam
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2661authorized_keys persistence içeriği
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b398Nisan’dan beri dönen dropper marker’ı

Login sözlüğünde bir detay öne çıkıyor: 345gs5662d34 kullanıcı adı (629) ve 3245gs5662d34 parolası (630) çifti. Bu, SSH botnet ailelerinin bilinen parmak izlerinden biri ve tek başına yüksek doğruluklu bir tespit imzası. Klasikler de yerinde: root (7.169), admin, support; parolada admin, 123456.


5. SMTP: Konsantrasyon Bitti, Blok Tahmini Tuttu

Geçen bültenin tek baskın SMTP aktörü 158.94.209.56 pencerede hiç görünmedi (son görülme 27 Haziran) ve hacim çöktü: port 25 trafiği 489.946’dan 12.083’e, Mailoney kayıtları 22.505’ten 2.957’ye indi.

Ama operasyonun ağ bloğu tahmin edildiği gibi geri döndü: aynı komşuluktan 158.94.211.49 (468 Mailoney event) dönemin 3. SMTP kaynağı olurken, 158.94.210.8, 158.94.211.236 ve 158.94.208.26 feed’e yeni IoC olarak girdi. IP değişiyor, prefix değişmiyor.

Kaynak IPMailoney EventBağlam
141.98.9.551.328Dönem lideri (%45); 141.98.10.99 ve 141.98.9.89 da aynı komşulukta
178.16.53.241676Önceki bültenin 178.16.54.22’siyle komşu blok
158.94.211.49468158.94.x bloğu geri döndü, tahmin doğrulandı

Üç kaynağın üçü de bilinen bloklardan: SMTP tarafında artık hikâye tekil IP’ler değil, üç ağ komşuluğunun rotasyon ritmi.


6. Genel Yüzey: 8080 SSH’ı Geçti, MikroTik API Portu Radarda

Dönemin dış yüzey port dağılımında dikkat çekici bir kırılma var:

PortEventBağlam
8080212.933Alternatif web yüzeyi, ilk kez SSH’ın önünde
22196.714SSH
80126.100HTTP probe
44399.472HTTPS probe
12338.429NTP (amplification keşfi)
784427.859Cloudflare Tunnel portu
872825.760MikroTik RouterOS API
330622.941MySQL
2512.083SMTP

Önceki pencerede SSH, 8080’in beş katıydı; bu hafta 8080 birinci sıraya çıktı. Romanya kampanyasının bitmesi SSH gövdesini inceltirken web-alternatif yüzey taraması sabit kaldı.

Türkiye’deki ağ operatörleri için asıl not 8728: MikroTik RouterOS API portuna bir haftada 25,8K probe geldi. Bu port internete açık olmamalı; /ip service altında API’yi LAN/yönetim subnet’ine kısıtlamak (veya kapatmak) beş dakikalık iştir. Cloudflare Tunnel portu 7844’e gelen 27,9K probe da tünel endpoint’lerinin keşif listelerine girdiğini gösteriyor.

Diğer yüzey notları:

  • Conficker hâlâ yayında: KEYPLUG/Downadup/Conficker-C P2P UDP Ping imza ailesi toplam ~27,9K kez tetiklendi. 2008’in solucanı internetin arka plan radyasyonu olarak yaşıyor; aynı desen KEYPLUG ile örtüştüğü için modern C2 keşfiyle karışabilir.
  • MySQL tek aktörü: Dionaea’nın 2.634 kaydının %87’si tek kaynaktan: 213.209.159.154. Bu IP hafta boyunca her gün görünür listede kaldı (18,5K toplam event); flood değil, sabırlı ve düzenli bir envanter taraması.
  • Tek günlük floodlar sürüyor: 38.127.60.25 (8 Temmuz, 15,2K), 168.144.140.203 (7 Temmuz zirvesi; 17.033 hit ile haftanın en yüksek hacimli yeni IoC’si) ve 18.97.5.99 (3 Temmuz, 4,6K) belirip kayboldu.
  • HTTPS probe sıçraması: 8 Temmuz’da H0neytr4p 3.827’ye fırladı; kaynağın %92’si 91.92.33.248 (DEDIK Services, DE).

7. Feed Göstergeleri

Metrik3 Temmuz9 TemmuzDeğişim
Toplam IoC60.63062.144+1.514 (%2,5)
Son 7 gün IoC6.6501.554−%77
Benzersiz ASN3.9524.015+63

Tüm zamanlar ülke sıralamasında bir yer değişimi var: Çin, Brezilya’yı geçerek 3. sıraya yerleşti.

ÜlkeIoC (9 Temmuz)Not
US13.110Lider
TR8.8142. (değişmedi)
CN5.346BR’yi geçti, 3. sıraya çıktı
BR5.2404.‘e indi

IoC Tablosu: 3 – 9 Temmuz Penceresi

IoCTürBağlamÖncelik
45.139.122.80IPSOSTREA/TBK yeni ana aktörü (marker’ın %61’i)high
45.153.34.204IPTBK DVR CVE-2024-3721, Nisan’dan beri aktif + netcat payload sunucusuhigh
217.60.195.160/gigatex/arm7URLSOSTREA arm7 ana payload yoluhigh
95.182.89.105/bbcURLSOSTREA yeni bbc hostuhigh
206.223.236.99/bbcURLSOSTREA yedek bbc hostumedium
45.153.34.235IPSSH persistence playbook yeni taşıyıcısı (senkron ikili 1/2)high
91.92.40.14IPSSH persistence playbook yeni taşıyıcısı (senkron ikili 2/2)high
185.177.72.38 / .52 / .53 / .54 / .69IPBucklog SARL /24-senkron tarama kümesimedium
141.98.9.55IPSMTP/Mailoney dönem liderimedium
158.94.211.49IPSMTP bloğunun dönüşü (158.94.208.0/22)medium
213.209.159.154IPMySQL/Dionaea tek aktörü, günlük düzenli taramamedium
38.127.60.25IP8 Temmuz tek günlük flood (15,2K)medium
168.144.140.203IP7 Temmuz web tarama zirvesi (17.033 hit)medium
91.92.33.248IP8 Temmuz HTTPS probe selimedium
345gs5662d34 / 3245gs5662d34CredentialSSH botnet parmak izi (kullanıcı + parola çifti)medium
a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2SHA-256authorized_keys persistence içeriğihigh
01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546bSHA-256Nisan’dan beri dönen dropper marker’ımedium
ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command InjectionIDSCVE-2024-3721 aktif istismarhigh

IOC’lar savunma amaçlı paylaşılır. Haftanın dersi net: kampanyalar IP değiştiriyor (Romanya ikilisi → yeni senkron ikili, SOSTREA hostları → ikinci rotasyon, SMTP → komşu IP), davranış ve marker’lar değişmiyor.


Savunma Öncelikleri

  1. TBK DVR / IoT yüzeyi: CVE-2024-3721 istismarı hızlanıyor. Tespiti device.rsp injection deseni ve ___S_O_S_T_R_E_A_MAX___ marker’ı üzerinden kurun; payload host listeleri artık haftalık eskiyor. Netcat varyantı için egress’te 1000/tcp gibi sıra dışı portlara giden ham TCP bağlantılarını alarma bağlayın.
  2. SSH post-auth korelasyonu (değişmedi, sahibi değişti): Başarılı login sonrası ilk 60 saniyede chattr/lockr .ssh, crontab, uname, cpuinfo zinciri hâlâ en güvenilir imza. 345gs5662d34/3245gs5662d34 credential çiftini doğrudan IOC olarak ekleyin.
  3. Prefix bazlı flood savunması: Bucklog deseni tek IP flood’undan /24-senkron kümeye evrildi. Rate-limit ve skorlamayı IP yerine prefix (en az /24) bazında uygulayın.
  4. MikroTik API yüzeyi: 8728/tcp’ye haftada 25,8K probe geliyor. /ip service altında API’yi kapatın veya yönetim subnet’ine kısıtlayın; WinBox ve SSH için de allowlist şart.
  5. SMTP komşuluk izleme: 158.94.208.0/22 tahmin edildiği gibi döndü; 141.98.8.0/22 ve 178.16.52.0/22 komşulukları da aynı ritimde. RCPT TO başarısızlıklarını prefix bazında gruplamaya devam edin.

Sonuç

Sayılara bakınca bu, aylardır izlediğimiz en sakin hafta: hacim dörtte bire indi, TR payı üçte bire düştü, feed büyümesi taban çizgisine döndü. Ama sakinlik yanıltıcı. Geçen bültenin üç öngörüsü de yedi gün içinde gerçekleşti: SSH persistence playbook’u yeni bir senkron ikiliye taşındı, SMTP operasyonu aynı bloktan yeni IP’lerle döndü ve SOSTREA payload altyapısını bir kez daha değiştirdi.

Asıl sinyal şu: aktörler artık altyapıyı haftalık ritimde eskitiyor. IP listesi tabanlı savunmanın yarı ömrü kısalırken, davranış imzaları (komut zinciri, path marker, credential parmak izi, senkron çift deseni) aylardır değişmedi. Savunma yatırımının yönü de bu olmalı.


Metodoloji ve Lisans

Bu rapor 3 – 9 Temmuz 2026 arası Tellal IoC veritabanı kayıtları ile aynı dönemin ham honeypot loglarının OPSEC-filtreli analiziyle hazırlandı. Dahili IP’ler, yönetim trafiği, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır. Pencerenin tamamı sensör retention’ı içinde kaldığı için trend ve davranış verisi tek katmandır.

Lisans: CC BY 4.0 – Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal – Threat Intelligence Feed · tellal.net