Bulut Sunucuları Üzerinde Gizli SMTP Yönlendirme Ağı Kuruldu: 230’dan Fazla AWS, Google Cloud ve Azure Sunucusu Hedefte

Anasayfa » Bulut Sunucuları Üzerinde Gizli SMTP Yönlendirme Ağı Kuruldu: 230’dan Fazla AWS, Google Cloud ve Azure Sunucusu Hedefte
APT, Bulut Güvenliği, Saldırı Taktikleri
Haziran 5, 2026Haziran 5, 2026Tarafından Cybernews.TR
0
Bulut Sunucuları Üzerinde Gizli SMTP Yönlendirme Ağı Kuruldu: 230’dan Fazla AWS, Google Cloud ve Azure Sunucusu Hedefte

Son analizlere göre, Amazon Web Services (AWS), Google Cloud ve Microsoft Azure platformlarına ait çok sayıda bulut sunucusu, gizli bir SMTP e-posta yönlendirme ağı oluşturmak amacıyla ele geçirildi. Bu operasyon, ABD, Avrupa ve Asya’daki işletme sunucularını hedef aldı ve sunucular, e-posta iletimi için SMTP proxy olarak kullanıldı.

Saldırının Genel Çerçevesi

Ele geçirilen sunucular, her beş dakikada bir güncellenen bir sistemle, SMTP e-posta iletimi için doğrulandı ve bir alt tüketiciye senkronize edildi. Operasyonun arkasındaki tehdit aktörü, kimlik doğrulama olmadan erişilebilen komut ve kontrol (C2) sunucusunda açık dizinler bırakarak, kaynak kodları, derlenmiş ikili dosyaları, dağıtım günlüklerini, internet tarayıcılarını ve istismar araçlarını ortaya koydu.

Bu kampanya ilk olarak 2026 Nisan ayında, bulut hizmetlerine yönelik kimlik bilgisi hırsızlığı çerçevesi tespit eden bir güvenlik firması tarafından ortaya çıkarıldı. Operasyon, aynı zamanda başka bir kötü şöhretli grup olan TeamPCP’nin yazılım tedarik zinciri saldırılarıyla ilişkilendirilen süreçlerini sonlandırmak ve izlerini silmek için tasarlanmıştı.

Saldırı Zinciri ve Teknik Detaylar

Açık dizinlerde Sliver entegreli SMTP proxy dağıtım araçları, Chisel tünelleme ve proxy ikili dosyaları (AMD64, ARM64, x86 mimarileri için) bulundu. Kurban sunucularda bu ikili dosyalar gizli dosya olarak /var/tmp/.xs yoluna yerleştirildi ve kalıcı hale getirildi. Dağıtıcı betikler, Sliver C2 istemci yapılandırmasını yükleyip, son 10 dakika içinde C2 sunucusuna bağlanan Linux beacon’larını filtreliyor. Beacon’lar, düzenli aralıklarla C2 sunucusuna bağlanarak komut alıyor.

Her beacon, benzersiz Sliver UUID’sinin MD5 karmasından türetilen ve 10000-14999 aralığında deterministik olarak atanan bir SOCKS5 proxy portu alıyor. Bu yöntem, portların her seferinde aynı beacon için aynı kalmasını sağlıyor ve paylaşılan port kayıtlarına ihtiyaç bırakmıyor. Ayrıca, dağıtıcı betikler SMTP kalitesini kontrol eden bir kapı mekanizması işletiyor; smtp.gmail.com:587 adresine erişim sağlanamayan hostlar işlem dışı bırakılıyor. Bu, e-posta iletimi yapamayan sunucuların ağda kullanılmamasını garanti ediyor.

Sonraki betik sürümlerinde SMTP kapısı ve toplu işleme mantığı kaldırıldı. Ayrıca, beş aktif beacon seçilip, Chisel ikili dosyalarının varlığı, çalışan Chisel süreçleri, disk alanı, C2 sunucusunun 9000 portuna erişilebilirlik ve kalıcılık izleri (cron veya systemd servisleri) kontrol ediliyor. C2 sunucusunda “chisel_verifier.py” adlı Python betiği, 60 saniyede bir aktif Chisel tünel portlarını listeliyor, SMTP yeteneğini test ediyor ve başarısız tünelleri havuzdan çıkarıyor.

Doğrulanmış proxy listeleri, api.ipify.org ve ip-api.com gibi servislerle IP adresi, ülke ve ASN bilgileriyle zenginleştiriliyor ve Secure Copy Protocol (SCP) kullanılarak her beş dakikada bir 38.242.204.245 IP adresindeki başka bir sunucuya senkronize ediliyor. Bu sunucu şu anda erişilebilir değil ve operasyonun nihai amacı henüz netleşmedi.

Siber Güvenlik Ekipleri İçin Öneriler

  • Bulut ortamlarında kimlik bilgisi ve erişim yönetimini (IAM) sıkılaştırarak, çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
  • EDR ve SIEM çözümleri ile anormal SMTP trafiği ve proxy kullanımını izleyin.
  • Komut ve kontrol sunucularına yönelik ağ segmentasyonu ve firewall kuralları uygulayın.
  • Sunucu dosya sistemlerinde gizli dosya ve süreçlerin düzenli taramasını yapın.
  • SMTP çıkış portlarına yönelik erişim kontrollerini ve kalite testlerini otomatikleştirin.
  • Chisel ve benzeri tünelleme araçlarının kullanımını tespit etmek için süreç ve port izleme politikaları geliştirin.
  • Bulut servislerinde güvenlik güncellemelerini düzenli olarak uygulayın ve zafiyet yönetimini etkin tutun.
  • Olay müdahale (incident response) planlarında bulut tabanlı saldırı senaryolarını dahil edin.

Operasyonun Önemi ve Sonuçları

230’dan fazla bulut sunucusunun dahil olduğu bu kampanya, büyük ölçekli e-posta yönlendirme altyapısı oluşturma girişimi olarak değerlendiriliyor. Operasyonun spam, oltalama veya başka kötü amaçlar için kullanılması muhtemel. Bu tür saldırılar, bulut güvenliği ve e-posta güvenliği alanlarında yeni tehditlerin ortaya çıktığını gösteriyor. Siber güvenlik profesyonelleri, bu tür karmaşık ve gizli altyapıların tespiti için gelişmiş izleme ve analiz araçlarını kullanmalı, bulut ortamlarında kapsamlı güvenlik politikaları uygulamalıdır.

, , , , ,