TPMS Sinyalleri Nasıl Çalışıyor

Araştırmada yer verilen bilgilere göre doğrudan TPMS sistemlerinde her lastikte bulunan sensörler; lastik basıncı, sıcaklık, pil durumu ve sensör kimliği gibi verileri radyo frekansı üzerinden araca iletiyor. Araç üzerindeki alıcı sistem ise bu verileri işleyerek sürücüyü olası basınç kayıpları konusunda bilgilendiriyor.

Stephen Pote, TPMS sistemlerinin çalışabilmesi için sensörlerin benzersiz kimlik bilgileri kullandığını belirterek, bu kimliklerin bazı sistemlerde uzun süre değişmeden kalabildiğine işaret etti.

Mahremiyet Tartışmalarını Gündeme Getirdi

Araştırmada, yazılım tanımlı radyo (SDR) cihazları kullanılarak TPMS sinyallerinin analiz edilebildiği ifade edildi. Çalışmaya göre belirli noktalarda toplanan sinyallerde aynı sensör kimliğinin tekrar görülmesi, teorik olarak aynı aracın farklı bölgelerde yeniden tespit edilmesine olanak sağlayabiliyor.

Stephen Pote sunumunda, “Bu tür çalışmaların yürütüleceği ülkelerde hukuki çerçevenin dikkatle değerlendirilmesi gerekiyor.” değerlendirmesinde bulundu.

Araştırmada, TPMS verilerinin araç konumunu doğrudan göstermediği ancak belirli geçiş noktalarında elde edilen sinyallerin ilişkilendirilmesiyle hareket örüntülerinin analiz edilebileceği vurgulandı.

Üreticilere Güvenlik ve Gizlilik Çağrısı

Sunumda, otomotiv üreticilerinin sabit sensör kimlikleri yerine değişken kimlik yapıları kullanmasının, veri koruma ve kullanıcı mahremiyeti açısından önemli bir adım olabileceği belirtildi. Ayrıca şifreleme yöntemleri, kimlik gizleme mekanizmaları ve gelişmiş doğrulama sistemlerinin de olası riskleri azaltabileceği ifade edildi.

Araştırma kapsamında hazırlanan sunum ve kavram kanıtı araçlarının kamuya açık olarak paylaşıldığı belirtilirken, çalışmanın amacının araçları hedef almak değil, kablosuz sistemlerin mahremiyet boyutuna dikkat çekmek olduğu kaydedildi.

Kaynak: Beykozun Sesi

İddialara göre bazı saldırganlar, Instagram ve Facebook hesaplarına erişim sağlamak amacıyla Meta’nın yapay zekâ destekli müşteri destek ve hesap kurtarma mekanizmalarını hedef aldı. Siber güvenlik araştırmacıları, olayda geleneksel anlamda bir sistem ihlalinden ziyade doğrulama süreçlerinin manipüle edilmeye çalışıldığını öne sürdü.

“Yapay zekâ destek sistemleri hedef alındı”

Paylaşılan bilgilere göre saldırganların, yapay zekâ tarafından yönetilen bazı hesap kurtarma süreçlerinde hesap sahibi gibi davranarak işlem gerçekleştirmeye çalıştığı iddia edildi.

Araştırmacılar, yeterli doğrulama yapılmayan senaryolarda yeni e-posta adreslerinin eklenmesi ve şifre sıfırlama süreçlerinin başlatılması gibi işlemlerin mümkün olabildiğini öne sürdü.

Söz konusu iddialarda bazı hesapların kontrolünün kısa süre içerisinde el değiştirdiği belirtilirken, olayın kapsamına ilişkin bağımsız ve doğrulanmış teknik detayların sınırlı olduğu kaydedildi.

Kamu Kurumları ve Markalar da Gündeme Geldi

Siber güvenlik çevrelerinde paylaşılan değerlendirmelerde, yüksek takipçili hesaplar, büyük markalar ve çeşitli kurumlara ait sosyal medya hesaplarının da potansiyel hedefler arasında bulunduğu ifade edildi.

Uzmanlar, yapay zekâ tabanlı destek sistemlerinin yaygınlaşmasıyla birlikte saldırganların artık yalnızca kullanıcıları değil, karar verme süreçlerinde görev alan otomatik sistemleri de hedef almaya başladığını belirtti.

“AI Social Engineering” Tartışmaları

Siber güvenlik uzmanları, bu tür girişimlerin sektörde giderek daha fazla konuşulan “AI Social Engineering” yaklaşımıyla ilişkilendirildiğini ifade etti.

Uzmanlar, “Geçmişte saldırganlar doğrudan kullanıcıları kandırmaya çalışıyordu. Günümüzde ise yapay zekâ destekli destek ve doğrulama sistemlerinin manipüle edilmesi yeni bir risk alanı olarak öne çıkıyor.” değerlendirmesinde bulundu.

Araştırmacılar, yapay zekâ sistemlerinin insan benzeri karar alma süreçlerine sahip olmasının bazı durumlarda kötü niyetli aktörler tarafından istismar edilmeye çalışılabileceğini vurguladı.

Meta’dan Açıklama Geldi

Meta tarafından yapılan açıklamada, gündeme gelen sorunun tespit edildiği ve gerekli güvenlik önlemlerinin devreye alındığı belirtildi.

Şirket, yaşanan durumun doğrudan sistemlere yönelik bir sızma saldırısı olmadığını, hesap kurtarma süreçlerinin kötüye kullanılmasına yönelik girişimlerle ilgili olduğunu ifade etti.

Meta ayrıca kullanıcı hesaplarının korunmasına yönelik güvenlik mekanizmalarının geliştirilmeye devam edildiğini kaydetti.

Uzmanlardan Kullanıcılara Güvenlik Tavsiyeleri

Siber güvenlik uzmanları, sosyal medya hesaplarının korunması için kullanıcıların ek güvenlik önlemleri almasının önemine dikkat çekti.

Uzmanlar, iki faktörlü kimlik doğrulamanın etkinleştirilmesini, hesaba bağlı e-posta adreslerinin düzenli olarak kontrol edilmesini, giriş bildirimlerinin açık tutulmasını ve beklenmeyen şifre sıfırlama taleplerinin dikkatle incelenmesini önerdi.

Yapay zekâ destekli hizmetlerin yaygınlaşmasıyla birlikte güvenlik uzmanları, gelecekte benzer saldırı girişimlerinin artabileceği ve otomatik karar mekanizmalarının korunmasının siber güvenlik stratejilerinde daha önemli hâle gelebileceği değerlendirmesinde bulundu.

Kaynak: Beykozun Sesi

Şirket tarafından yapılan duyuruya göre özellik, Haziran ayı içerisinde küresel olarak dağıtılacak ve ilk etapta Pixel cihazlarda etkinleştirilecek. Android 12 ve üzeri sürümlerde çalışacak sistem varsayılan olarak açık gelecek.

Aramaların Gerçekliği Otomatik Olarak Kontrol Edilecek

Google'ın aktardığı bilgilere göre özellik, hem arayan hem de aranan kişinin Phone by Google uygulamasını kullanması durumunda devreye giriyor.

Bir kişi telefon araması başlattığında cihazı, karşı tarafa gerçek zamanlı olarak sessiz ve şifrelenmiş bir doğrulama sinyali gönderiyor.

Bu sinyalin alınmaması durumunda sistem aramanın sahte olabileceğini değerlendiriyor ve arayan kişinin gerçek cihazıyla ek doğrulama gerçekleştiriyor.

Google açıklamasında, “Dolandırıcı bir kişi rehberinizdeki birini taklit etmeye çalışırsa ilk doğrulama sinyali eksik olacaktır.” ifadelerine yer verdi.

Şirket ayrıca, “Gerçek cihaz arama yapmadığını bildirirse ekranınızda görüşmeyi derhal sonlandırmanızı tavsiye eden bir uyarı görüntülenecek.” bilgisini paylaştı.

Yapay Zekâ ile Ses Taklidine Karşı Koruma

Google, yeni sistemin özellikle iki yaygın dolandırıcılık yöntemine karşı geliştirildiğini belirtti.

Bunlardan ilki, dolandırıcıların güvenilir görünen telefon numaralarını taklit ederek arama yapması; ikincisi ise yapay zekâ destekli ses klonlama teknolojileri kullanılarak tanıdık kişilerin seslerinin taklit edilmesi olarak açıklandı.

Şirket, geleneksel arayan kimliği bilgilerinin artık tek başına yeterli güvenlik sağlamadığını vurguladı.

Google açıklamasında, “Yıllardır insanlar karşı tarafta kimin olduğunu anlamak için arayan kimliğine güveniyordu. Ancak dolandırıcıların kullandığı yeni yöntemler nedeniyle bu artık yeterli değil.” değerlendirmesinde bulundu.

RCS Altyapısı Üzerinde Çalışıyor

Yeni güvenlik özelliğinin, açık standart olarak geliştirilen Rich Communication Services (RCS) altyapısı üzerine kurulduğu bildirildi.

Sistemin çalışabilmesi için cihazlarda Phone by Google, Google Contacts ve RCS etkinleştirilmiş Google Messages uygulamalarının yüklü olması gerekiyor.

Google, farklı telefon uygulamaları kullanan Android kullanıcılarının Play Store üzerinden Phone by Google uygulamasını yükleyerek bu korumadan yararlanabileceğini belirtti.

Küresel Kayıplar Yüz Milyarlarca Doları Buluyor

Şirket, kimliğe bürünme temelli dolandırıcılıkların son yıllarda ciddi ölçüde arttığına dikkat çekti.

ABD Federal Ticaret Komisyonu'nun (FTC) verilerine göre yalnızca 2024 yılında bu tür dolandırıcılıklardan kaynaklanan bildirilen zarar 2,95 milyar dolar seviyesine ulaştı.

INTERPOL tarafından Mart 2026'da yayımlanan Küresel Finansal Dolandırıcılık Tehdit Değerlendirmesi raporunda ise kimliğe bürünme dolandırıcılıkları, dünya genelinde geçen yıl oluşan 440 milyar doların üzerindeki kayıpların başlıca nedenlerinden biri olarak gösterildi.

Google, Aralık 2025'te de Android'in görüşme sırasında dolandırıcılık tespit sistemini ABD'deki çeşitli banka ve finans uygulamalarına genişletmiş, Cash App ve JPMorganChase mobil bankacılık uygulamaları bu koruma sistemine dahil edilmişti.

Kaynak: Beykozun Sesi

Europol tarafından yapılan açıklamaya göre yedi ay süren KRATOS 2 Operasyonu, Bulgaristan'ın koordinasyonunda ve Europol desteğiyle gerçekleştirildi. Operasyona Belçika, Bulgaristan, Hırvatistan, Fransa, Yunanistan, İrlanda, İtalya, Hollanda, Polonya, Romanya, İspanya, Birleşik Krallık ve Amerika Birleşik Devletleri'nden güvenlik birimleri katıldı.

18 Bin IP Adresi ve Binlerce Alan Adı Tespit Edildi

Soruşturma kapsamında özel sektör ortaklarıyla da iş birliği yapıldı.

Yetkililer, yasa dışı yayın hizmetleriyle bağlantılı 18 binden fazla IP adresini, korsan yayın faaliyetlerinde kullanılan 4 bin 370 alan adını, kaldırılması veya askıya alınması önerilen yaklaşık 400 bin URL'yi ve 126 binden fazla telif hakkı ihlali içeren dijital nesneyi tespit etti.

Operasyon sonucunda telif hakkıyla korunan spor karşılaşmaları, film ve televizyon içeriklerinin izinsiz dağıtımında kullanılan 27 binden fazla yasa dışı yayın bağlantısı erişime kapatıldı.

148 Adrese Baskın Düzenlendi

Europol, operasyon kapsamında yalnızca gözaltı işlemleri yapılmadığını, suç ağlarının teknik ve organizasyonel yapısının da incelendiğini açıkladı.

Yetkililer, 86 şüphelinin kimliğinin tespit edildiğini, 148 adreste arama yapıldığını, 59 dosyanın adli makamlara sevk edildiğini ve 72 ayrı soruşturmanın ise devam ettiğini bildirdi.

“Suç Ekosistemi Hedef Alındı”

Europol açıklamasında, yasa dışı yayın hizmetlerini yöneten suç örgütlerinin kullanıcıların eriştiği internet siteleri ile içeriklerin barındırıldığı sunucuları farklı ülkelerde konumlandırarak tespit edilmeyi zorlaştırdığı belirtildi.

Kurum açıklamasında, “Soruşturmacılar yalnızca internet sitelerini kapatmaya odaklanmadı. Bu hizmetleri destekleyen daha geniş suç ekosistemi hedef alındı.” ifadelerine yer verildi.

Europol ayrıca, “Bu yaklaşım sayesinde platformların arkasında faaliyet gösteren organize suç grupları hakkında istihbarat toplandı ve yönetim ile teknik operasyonlarda görev alan kilit isimler tespit edildi.” değerlendirmesinde bulundu.

Siber Güvenlik Risklerine Dikkat Çekildi

Europol, yasa dışı yayın platformlarının yalnızca telif hakkı ihlalleriyle sınırlı bir sorun oluşturmadığını da vurguladı.

Kuruma göre bu tür hizmetleri kullanan kişiler, kötü amaçlı yazılımlar, casus yazılımlar ve kişisel veri hırsızlığı gibi ciddi siber güvenlik tehditleriyle karşı karşıya kalabiliyor.

KRATOS Operasyonlarının Devamı Niteliğinde

KRATOS 2 Operasyonu, 2024 yazında gerçekleştirilen ilk KRATOS Operasyonu'nun devamı olarak yürütüldü.

Bulgaristan İçişleri Bakanlığı liderliğinde gerçekleştirilen ilk operasyonda dünya genelinde 22 milyondan fazla kullanıcıya hizmet verdiği belirtilen yasa dışı yayın ağı kapatılmış, 11 kişi gözaltına alınmış, 102 şüpheli belirlenmiş ve **112 adrese operasyon düzenlenmişti.

Ocak ayında Europol, Eurojust ve Interpol koordinasyonunda yürütülen Switch Off Operasyonu kapsamında ise endüstriyel ölçekte faaliyet gösteren üç yasa dışı IPTV hizmetine el konulmuştu.

Mayıs ayında da İtalya'da faaliyet gösteren ve kullanıcılara Netflix, Disney+ ve Spotify gibi platformlara yasa dışı erişim sağladığı belirtilen CINEMAGOAL korsan yayın platformunun kapatıldığı açıklanmıştı.

Kaynak: Beykozun Sesi

Araştırmacılar, saldırının HTTP/2 kullanan birçok popüler web sunucusunun varsayılan yapılandırmalarını hedef alabildiğini ve tek bir cihaz üzerinden yürütülebileceğini açıkladı.

Rapora göre yöntem; NGINX, Apache HTTP Server, Microsoft IIS, Envoy ve Cloudflare Pingora gibi yaygın olarak kullanılan platformları etkileyebiliyor.

İki Bilinen Tekniğin Birleşimi

Calif tarafından yayımlanan teknik analizde, saldırının iki farklı HTTP/2 tekniğinin bir araya getirilmesiyle oluşturulduğu belirtildi.

Bunlardan ilki, HTTP/2 protokolünde başlık sıkıştırması için kullanılan HPACK bellek büyütme mekanizması, ikincisi ise kaynakların serbest bırakılmasını engelleyen Slowloris benzeri akış kontrolü durdurma yöntemi olarak açıklandı.

Araştırmacılar, bu iki yöntemin birlikte kullanılmasıyla sunucuların çok kısa sürede büyük miktarda bellek ayırmak zorunda bırakıldığını ve ayrılan belleğin serbest bırakılamadığını kaydetti.

“32 GB Bellek Yaklaşık 20 Saniyede Tüketilebiliyor”

Calif araştırmacıları, “100 Mbps bağlantıya sahip sıradan bir ev bilgisayarı saniyeler içerisinde savunmasız bir sunucuyu erişilemez hâle getirebilir.” açıklamasında bulundu.

Araştırmacılar ayrıca, “Apache httpd ve Envoy üzerinde tek bir istemci yaklaşık 20 saniye içerisinde 32 GB sunucu belleğini tüketip kullanımda tutabiliyor.” ifadelerini kullandı.

Bellek Kullanımı Katlanarak Artıyor

Saldırının ilk aşamasında saldırganlar, HTTP/2’nin HPACK sıkıştırma özelliğini kullanarak çok küçük veri paketleriyle sunucuda büyük miktarda bellek ayrılmasını sağlıyor.

Araştırmaya göre yalnızca bir baytlık veri gönderimi, bazı platformlarda binlerce baytlık sunucu belleği tahsisine neden olabiliyor.

Testlerde en yüksek büyütme oranlarının Envoy için 5.700:1, Apache httpd için ise 4.000:1 seviyesine ulaştığı bildirildi.

İkinci aşamada ise saldırganlar, HTTP/2 akış kontrol mekanizmasını kullanarak sunucunun ayırdığı belleği geri kazanmasını engelliyor. Böylece tamamlanmayan istekler nedeniyle bellek kullanımı sürekli artıyor.

Dört Büyük Platformda Test Edildi

Araştırmacılar tarafından gerçekleştirilen testlerde aşağıdaki sonuçlar elde edildi:

Envoy 1.37.2, yaklaşık 10 saniyede 32 GB RAM tüketti.

Apache httpd 2.4.67, yaklaşık 18 saniyede 32 GB RAM tüketti.

NGINX 1.29.7, yaklaşık 45 saniyede 32 GB RAM tüketti.

Microsoft IIS (Windows Server 2025), yaklaşık 45 saniyede 64 GB RAM tüketti.

Bu sonuçların, saldırının düşük maliyetle yüksek etki oluşturabildiğini gösterdiği belirtildi.

Yamalar Yayımlanmaya Başladı

Araştırmacılar, saldırının temelinde kullanılan yöntemlerin yeni olmadığını ancak birlikte kullanılmalarının ciddi bir etki yarattığını vurguladı.

NGINX geliştiricileri sorunu 1.29.8 sürümünde yayımlanan max_headers direktifiyle giderdi.

Apache tarafında ise düzeltme mod_http2 2.0.41 sürümünde yayımlandı ve güvenlik açığına CVE-2026-49975 numarası verildi.

IIS, Envoy ve Pingora İçin Henüz Yama Yok

Haberin yayımlandığı tarihte Microsoft IIS, Envoy ve Pingora platformları için resmî bir güvenlik güncellemesinin bulunmadığı belirtildi.

Araştırmacılar, bu sistemleri kullanan kuruluşlara mümkün olduğu durumlarda HTTP/2 özelliğini devre dışı bırakmalarını, ters vekil sunucular veya güvenlik duvarları aracılığıyla başlık sayısı sınırları uygulamalarını tavsiye etti.

Calif tarafından hazırlanan ayrıntılı teknik sunumun bu ay düzenlenecek Real World AI Security konferansında kamuoyuyla paylaşılması bekleniyor. Öte yandan saldırı yöntemine ait kavram kanıtı kodlarının şimdiden yayımlandığı bildirildi.

Kaynak: Beykozun Sesi

Araştırmacılar, daha önce ağırlıklı olarak Doğu Asya'da faaliyet gösteren grubun son dönemde Almanya, İtalya, Birleşik Krallık ve Güney Afrika merkezli kurumları hedef aldığını belirtti.

Proofpoint tarafından yayımlanan raporda, TA4922'nin geçmişte raporlanan Silver Fox ve Void Arachne faaliyetleriyle bazı benzerlikler taşıdığı ifade edildi. Ancak grubun faaliyetlerinin daha çok siber suç amaçlı olması nedeniyle ayrı bir küme olarak takip edildiği kaydedildi.

“Benzersiz Kampanya Sayısında İlk Sırada”

Proofpoint açıklamasında, “TA4922 şu anda tehdit verilerimizde takip edilen tüm siber suç grupları arasında en fazla benzersiz kampanya yürüten aktör konumunda bulunuyor.” ifadelerine yer verildi.

Araştırmacılar, grubun Mart ayından itibaren faaliyetlerini önemli ölçüde artırdığını, Nisan ayından sonra ise daha önce görülmemiş düzeyde operasyonel çeşitlilik ve yoğunluk sergilediğini belirtti.

Raporda, “Grubun temel motivasyonunun finansal kazanç olduğu değerlendiriliyor. Ancak kullandığı zararlı yazılımların gözetleme amacıyla da kullanılabilecek yeteneklere sahip olduğu görülüyor.” değerlendirmesi yapıldı.

Yerelleştirilmiş Kimlik Avı Mesajları Kullanılıyor

Araştırmaya göre saldırganlar, hedef ülkelerin diline ve iş süreçlerine uygun hazırlanmış kimlik avı içerikleri kullanıyor.

Saldırılarda maaş bordroları, vergi denetimleri, KDV bildirimleri, devlet uyumluluk bildirimleri, faturalar ve insan kaynakları yazışmaları gibi içeriklerin taklit edildiği belirtildi.

Proofpoint ayrıca grubun mağdurlarla WhatsApp, LINE ve Microsoft Teams üzerinden iletişim kurmaya çalıştığını da tespit etti.

Atlas RAT Dikkat Çekti

Raporda öne çıkan zararlı yazılımlardan biri olan Atlas RAT, saldırganlara geniş kapsamlı uzaktan erişim imkânı sağlıyor.

Araştırmacılar, Atlas RAT'ın sistem keşfi yapabildiğini, belirli dosyaları çalabildiğini, ek zararlı bileşenler indirebildiğini ve tuş kayıtlarını toplayabildiğini belirtti.

Zararlı yazılımın ayrıca ekran görüntüsü alma, ses kaydı yapma, web kamerasını etkinleştirme ve sistemi yeniden başlatma veya kapatma komutları çalıştırma yeteneklerine sahip olduğu bildirildi.

Gelişmiş Analizden Kaçınma Teknikleri

Proofpoint, Atlas RAT'ın güvenlik analizlerinden kaçınmak amacıyla çeşitli koruma mekanizmaları içerdiğini açıkladı.

Bu mekanizmalar arasında Microsoft Defender Application Guard ile ilişkili kullanıcı adları ve kayıt defteri anahtarlarının kontrol edilmesi, belirli sistem hizmetlerinin aranması ve işletim sistemi kimlik bilgilerinin incelenmesi yer alıyor.

Yeni RomulusLoader ve SilentRunLoader Tespit Edildi

Araştırmacılar ayrıca RomulusLoader adlı yeni bir yükleyici zararlı yazılım keşfetti.

Bu yazılımın süreç gizleme teknikleri, kabuk kodu enjeksiyonu ve doğrudan çalıştırma yöntemleri kullanarak ek zararlı bileşenleri sisteme indirdiği belirtildi.

RomulusLoader'ın saldırılar sırasında AnyDesk ve Çin'de yaygın olarak kullanılan uzaktan izleme aracı SyncFuture gibi meşru yazılımları da çalıştırdığı aktarıldı.

Proofpoint ayrıca SilentRunLoader adı verilen Python tabanlı başka bir zararlı yazılımı da tespit etti. Bu yazılımın Google Chrome üzerinden kayıtlı kullanıcı bilgilerini, çerezleri ve tarayıcı verilerini çaldığı bildirildi.

Birleşik Krallık ve Güneydoğu Asya'daki hedeflere yönelik saldırılarda devlet kurumlarını taklit eden içeriklerle dağıtıldığı kaydedildi.

Yapay Zekâ Destekli Geliştirme Şüphesi

Proofpoint araştırmacıları, bazı zararlı yazılım örneklerinde bulunan açıklama notları, yer tutucu değerler ve kod kalıplarının büyük dil modelleriyle oluşturulan yazılımlarda görülen özelliklere benzediğini belirtti.

Araştırmacılar, bunun saldırganların zararlı yazılım geliştirme süreçlerini hızlandırmak için yapay zekâ araçlarından yararlanıyor olabileceğine işaret ettiğini ifade etti.

Raporda ayrıca TA4922'nin kullandığı komuta ve kontrol altyapılarına ilişkin teknik göstergelerin ve güvenlik tespit bilgilerinin paylaşıldığı belirtildi.

Kaynak: Beykozun Sesi

Europol tarafından yapılan açıklamaya göre operasyon kapsamında 27 Mayıs'ta İspanya'nın Alicante kentinde bir şüpheli gözaltına alındı. Yetkililer, sahte isim kullanılarak kiralanan bir dairede yapılan aramalarda belge üretim ekipmanları ile yaklaşık 800 adet sahte Avrupa kimlik belgesi ele geçirdi.

Soruşturma Fransa’da Başladı

Soruşturmanın, Fransız makamlarının sahte kimlik belgelerinin reklamını yapan bir internet sitesini tespit etmesiyle başladığı bildirildi.

Yapılan teknik ve adli incelemeler sonucunda şüphelinin izinin Alicante’ye kadar sürüldüğü ve kişinin 2024 yılından bu yana bölgede yaşadığı belirlendi.

Europol açıklamasında, “Şüphelinin, Avrupa genelindeki müşterilere fiziksel ve dijital formatlarda sahte kimlik ve idari belgeler sunan çevrim içi bir pazaryerini yönettiğine inanılıyor.” ifadelerine yer verildi.

Göçmen Kaçakçılığı Ağlarına Belge Sağladığı İddia Edildi

Yetkililer, platformun göçmen kaçakçılığı faaliyetlerinde kullanılan sahte belgelerin temin edilmesini kolaylaştırdığını belirtti.

Europol, “Platformun, sınır kontrollerini aşmak, usulsüz şekilde oturum hakkı elde etmek ve Avrupa Birliği içerisinde ikincil hareketliliği kolaylaştırmak amacıyla kullanılan sahte belgeleri suç ağlarına sağladığı değerlendiriliyor.” açıklamasını yaptı.

Soruşturma kapsamında ele geçirilen materyallerin kriminal incelemeye alındığı ve olası bağlantıların araştırıldığı kaydedildi.

Belge Sahteciliği Göçmen Kaçakçılığının Temel Araçlarından Biri

Europol'ün 2025 Avrupa Birliği Ağır ve Organize Suç Tehdit Değerlendirmesi (EU-SOCTA) raporunda, belge sahteciliğinin Avrupa'daki göçmen kaçakçılığı faaliyetlerini destekleyen temel unsurlardan biri olduğu vurgulanmıştı.

Raporda suç ağlarının Schengen bölgesi genelindeki faaliyetlerini sürdürebilmek için sahte veya değiştirilmiş kimlik belgelerine yoğun şekilde başvurduğu belirtilmişti.

Europol açıklamasında, “Sahte kimlik ve oturum belgelerine erişim sağlayan suç ağları hem önemli miktarda yasa dışı gelir elde ediyor hem de çok sayıda suç faaliyetinin yürütülmesine olanak tanıyor.” denildi.

Yeni Avrupa Merkezi Faaliyete Geçti

Europol, Mart 2026 itibarıyla göçmen kaçakçılığıyla mücadele kapasitesini artırdığını da hatırlattı.

Aralık 2025'te kabul edilen Avrupa Birliği düzenlemesiyle kurulan Avrupa Göçmen Kaçakçılığıyla Mücadele Merkezi (ECAMS), istihbarat paylaşımını güçlendirmek, mali soruşturmaları desteklemek ve Frontex, Eurojust ile üye ülke güvenlik birimleri arasındaki koordinasyonu artırmakla görevlendirildi.

Yetkililer, Alicante'de ortaya çıkarılan yapının, sahte belge altyapılarının Avrupa genelindeki göçmen kaçakçılığı ağları için ne kadar kritik bir rol oynadığını gösterdiğini belirtti.

Kaynak: Beykozun Sesi

Araştırmacılar, IronWorm'un özellikle geliştirici ortamlarında ve sürekli entegrasyon (CI) sistemlerinde bulunan hassas bilgileri hedeflediğini belirtti.

86 Ortam Değişkeni ve 20 Kimlik Dosyası Hedefte

JFrog tarafından yayımlanan teknik analizde, zararlı yazılımın 86 farklı ortam değişkenini ve 20 ayrı kimlik bilgisi dosyasını aradığı ifade edildi.

Hedef alınan veriler arasında OpenAI, AWS, Anthropic ve npm erişim bilgileri, kasa yapılandırma dosyaları, SSH anahtarları ve Exodus kripto para cüzdanına ait dosyaların bulunduğu belirtildi.

Araştırmacılar, saldırının yazılım geliştirme süreçlerinde kullanılan kritik erişim bilgilerinin ele geçirilmesini amaçladığını vurguladı.

Rust ile Yazıldı, Tor Üzerinden Haberleşiyor

JFrog'un bulgularına göre IronWorm, Rust programlama diliyle geliştirildi ve faaliyetlerini gizlemek için eBPF tabanlı çekirdek düzeyinde bir rootkit mekanizmasından yararlanıyor.

Araştırmacılar, zararlı yazılımın saldırganlarla iletişim kurarken Tor ağı üzerinden bağlantı sağladığını ve böylece izlenmesini zorlaştırdığını kaydetti.

Çalınan Kimlik Bilgileriyle Kendini Yayabiliyor

IronWorm'un en dikkat çekici özelliklerinden biri ise kendi kendini yayabilmesi oldu.

Araştırmacılar, ele geçirilen npm erişim bilgileri ve Trusted Publishing süreçlerinde kullanılan gizli anahtarlar sayesinde zararlı yazılımın kurbanlara ait npm paketlerine müdahale edebildiğini belirtti.

Bu sayede saldırganların, ele geçirilen geliştirici hesapları üzerinden paketlerin zararlı sürümlerini yayımlayarak yeni geliştiricileri ve CI sistemlerini enfekte edebildiği ifade edildi.

Shai Hulud Saldırılarıyla Benzerlik Taşıyor

JFrog, IronWorm ile daha önce gündeme gelen Shai Hulud tedarik zinciri saldırıları arasında bazı benzerlikler tespit etti.

Araştırmacılar doğrudan bir bağlantı bulamadıklarını belirtirken, her iki kampanyada da aynı commit isimlerinin kullanıldığına dikkat çekti.

Raporda, IronWorm'un önceki saldırıların evrimleşmiş bir sürümü olabileceği ihtimalinin değerlendirildiği aktarıldı.

GitHub Actions Üzerinden Veri Kaçırma Mekanizması

Araştırmacılar ayrıca IronWorm içerisinde dikkat çeken başka bir mekanizma daha keşfetti.

Buna göre zararlı yazılım, ele geçirilen bilgileri tek bir veri dizisi hâline getiriyor ve bunları zararsız görünen bir çıktı dosyası gibi kaydediyor. Daha sonra dosya, GitHub Actions derleme çıktısı olarak yüklenebiliyor.

JFrog, bu yöntemin saldırganların harici bir komuta ve kontrol sunucusu kullanmadan verileri elde etmesine imkân sağlayabileceğini belirtti. Ancak incelenen IronWorm saldırısında bu mekanizmanın aktif olarak kullanılmadığı kaydedildi.

Saldırı Erken Aşamada Durduruldu

Uygulama güvenliği şirketi Ox Security, saldırının erken aşamada tespit edildiğini ve npm üzerindeki daha popüler paketlere yayılmadan engellendiğini açıkladı.

Şirket, etkilenen paketlerin ve sürümlerin listesini yayımlarken geliştiricilere güncellenmiş sürümlere geçmeleri, erişim anahtarlarını yenilemeleri ve tüm hesaplarda iki faktörlü kimlik doğrulamayı etkinleştirmeleri çağrısında bulundu.

Öte yandan Endor Labs ve StepSecurity araştırmacıları da aynı dönemde ortaya çıkan ve binding.gyp adı verilen JavaScript tabanlı farklı bir zararlı yazılım kampanyasını tespit ettiklerini açıkladı. Araştırmacılar, söz konusu saldırının kayıt deposu zehirleme ve GitHub Actions enfeksiyon teknikleri kullandığını bildirdi.

Kaynak: Beykozun Sesi

Kurum tarafından Telegram üzerinden yayımlanan duyuruda, Gazze’de yardım programlarına kayıt amacıyla kullanılan Kendi Kendine Kayıt Uygulaması (Self Registration Application - SRA) sisteminin ihlal edildiği bildirildi.

WFP, saldırı sırasında yararlanıcılara ait isimler, kimlik numaraları, telefon numaraları ve kayıt sırasında toplanan mahalle bilgileri gibi konum verilerinin yetkisiz kişilerin erişimine açıldığını belirtti.

“Yardımlar Normal Şekilde Sürecek”

Dünya Gıda Programı tarafından yapılan açıklamada, “Bilgilerinizi güncellemenize, silmenize veya yeniden kayıt yaptırmanıza gerek yok. Halihazırda kayıtlı olan kişiler yardım programlarının bir parçası olmaya devam edecek.” ifadelerine yer verildi.

Açıklamada ayrıca, “Gıda, nakit ve diğer yardım faaliyetleri normal şekilde sürdürülecek ve yararlanıcılar destek almaya devam edecek.” denildi.

Kurum, güvenlik iyileştirmelerinin uygulanabilmesi amacıyla kayıt platformunun geçici olarak kapatıldığını ve olayla ilgili soruşturmanın sürdüğünü bildirdi.

Yaklaşık 600 Bin Hane Etkilendi

WFP, ilk açıklamalarında etkilenen kişi sayısını paylaşmazken, daha sonra The New Humanitarian ile paylaşılan bilgilere göre saldırganların 14 Mayıs tarihinde sistemlere sızdığı ve Gazze’deki yaklaşık 600 bin Filistinli haneye ait bilgileri ele geçirdiği belirtildi.

Bu rakamın, son yıllarda insani yardım alanında faaliyet gösteren uluslararası kuruluşları etkileyen en büyük veri ihlallerinden biri olduğu değerlendiriliyor.

Dolandırıcılık Uyarısı Yapıldı

Kurum, veri ihlalinin ardından yardım yararlanıcılarına yönelik özel bir güvenlik uyarısı da yayımladı.

WFP açıklamasında, “Dünya Gıda Programı adına hareket ettiğini iddia ederek bilgi veya para talep eden kişilere karşı dikkatli olun.” çağrısında bulundu.

Kullanıcılardan şüpheli bağlantılara tıklamamaları, bilinmeyen kaynaklardan gelen mesajları açmamaları ve kişisel bilgilerini doğrulanmamış kişilerle paylaşmamaları istendi.

Kayıt Sistemi Hâlen Kapalı

Dünya Gıda Programı tarafından yapılan son güncellemede, kayıt platformunun güvenlik önlemlerinin güçlendirilmesi amacıyla geçici olarak hizmet dışı tutulduğu ve sistem koruma çalışmalarının devam ettiği kaydedildi.

Merkezi İtalya'nın başkenti Roma’da bulunan WFP, 1961 yılında kuruldu. Birleşmiş Milletler bünyesinde faaliyet gösteren kuruluş, küresel açlıkla mücadele ve insani krizlerde acil yardım sağlama görevini yürütüyor.

120'den fazla ülke ve bölgede faaliyet gösteren kurumun yaklaşık 20 bin çalışanı bulunuyor. WFP, dünyanın en büyük insani yardım lojistik ağlarından birini işletirken, binlerce araç, gemi ve hava aracıyla milyonlarca kişiye yardım ulaştırıyor.

BM Kurumları Daha Önce de Hedef Alınmıştı

Birleşmiş Milletler kuruluşları son yıllarda çeşitli siber saldırılarla karşı karşıya kaldı. Daha önce BM Cenevre Ofisi’ni etkileyen bir siber saldırının kamuoyuna açıklanmadığı ortaya çıkmış, Birleşmiş Milletler Çevre Programı'nda ise 100 binden fazla çalışanın kişisel bilgilerinin açığa çıktığı bildirilmişti.

2024 yılında Birleşmiş Milletler Kalkınma Programı (UNDP) bir fidye yazılımı saldırısının hedefi olurken, Uluslararası Sivil Havacılık Örgütü'nün (ICAO) işe alım veritabanından yaklaşık 42 bin kaydın çalındığı açıklanmıştı.

Kaynak: Beykozun Sesi

Sansec tarafından yayımlanan teknik analizde, saldırının tamamen güvenilir kabul edilen Google Tag Manager (GTM) ve Stripe API alan adları üzerinden yürütüldüğü belirtildi. Araştırmacılar, bu durumun saldırının içerik güvenlik politikaları ve ağ filtreleri tarafından tespit edilmesini zorlaştırdığını ifade etti.

Sansec açıklamasında, “Hem zararlı yük hem de çalınan kart verileri api.stripe.com üzerinden taşınıyor. Çevrim içi mağazalar bu alan adına varsayılan olarak izin verdiği için saldırı, normalde şüpheli görülebilecek ağ trafiğinin arasına karışabiliyor.” değerlendirmesinde bulundu.

Ödeme Sayfalarında Etkinleşiyor

Araştırmacılara göre zararlı kod, meşru görünümlü Google Tag Manager kapsayıcılarına yerleştiriliyor ve kullanıcı ödeme sayfasına ulaştığında devreye giriyor.

Sistem, belirli bir Stripe müşteri kaydına ait meta veriler içerisinden JavaScript kodu çekiyor, bu kodu yeniden oluşturuyor ve ardından çalıştırıyor.

Sansec, saldırının özellikle Magento ve Adobe Commerce tabanlı ödeme sayfalarını hedef aldığını belirtti.

Kredi Kartı ve Kişisel Veriler Toplanıyor

Zararlı yazılımın kredi kartı numarası, son kullanma tarihi, CVV kodu ve kart sahibinin adının yanı sıra e-posta adresi, telefon numarası ve fatura bilgilerini de toplamaya çalıştığı kaydedildi.

Toplanan verilerin doğrudan saldırganlara gönderilmediği, önce tek bir veri dizisi hâline getirildiği ve XOR yöntemiyle gizlenerek yerel depolama alanında saklandığı belirtildi.

Stripe Müşteri Kayıtları Veri Kasası Olarak Kullanıldı

Araştırmacılar, verilerin daha sonra ayrı bir süreç aracılığıyla Stripe sistemine aktarıldığını tespit etti.

Bu yöntemde çalınan bilgiler iki parçaya bölünüyor, saldırganın Stripe hesabında sahte bir müşteri kaydı oluşturuluyor ve bilgiler müşteri kaydının meta veri alanlarına yerleştiriliyor.

Sansec, “Her çalınan ödeme kartı, saldırganın Stripe hesabında oluşturulan sahte bir müşteri kaydına dönüştürülüyor. Böylece Stripe, çalınan verilerin saklandığı bir arka uç altyapısı olarak kullanılıyor.” açıklamasını yaptı.

Verilerin aktarılmasının ardından yerel kayıtların silindiği ve böylece hem izlerin ortadan kaldırıldığı hem de aynı bilgilerin tekrar yüklenmesinin önüne geçildiği aktarıldı.

Google Firestore Kullanan Varyant da Tespit Edildi

Sansec araştırmacıları, kampanyanın başka bir sürümünde Stripe yerine Google Firestore hizmetinin kullanıldığını da belirledi.

Bu varyantta zararlı kodun, “braintree-payment-app” adlı proje içerisinde yer alan “tracking/captcha” isimli bir belge üzerinden yüklendiği ifade edildi.

Araştırmacılar, kullanılan isimlerin meşru ödeme ve bot koruma sistemlerini çağrıştıracak şekilde seçildiğini ve bu sayede şüphe çekmeden faaliyet yürütülmesinin amaçlandığını kaydetti.

Faaliyetler En Az Aralık 2025’ten Beri Sürüyor

Sansec tarafından yapılan incelemelerde, zararlı kodu barındıran Stripe müşteri kaydının 24 Aralık 2025 tarihinde oluşturulduğu tespit edildi.

Bu bulgunun, saldırı operasyonunun en az bu tarihten itibaren aktif olabileceğine işaret ettiği belirtildi.

Araştırmacılar, çevrim içi alışveriş yapan kullanıcıların olası riskleri azaltmak için işlem limiti belirlenebilen veya tek kullanımlık sanal kartlardan yararlanmasının ek koruma sağlayabileceğini ifade etti.

Kaynak: Beykozun Sesi

İsrail merkezli Hola, özellikle kullanıcıların farklı ülkelerdeki içeriklere erişmesini sağlayan Hola VPN hizmetiyle tanınıyor. Chromium tabanlı Hola Browser ise VPN ve proxy özelliklerini doğrudan tarayıcı içerisine entegre ederek hizmet veriyor.

Şüpheli Dosya Güvenlik Kontrollerinde Tespit Edildi

Sertifikasyon sürecine katılan Sophos ve diğer siber güvenlik şirketleri, bazı kurulumlarda C:\Program Files\Hola\ dizinine yerleştirilen ve daha önce beyan edilmemiş olan “me.exe” adlı bir dosya tespit etti.

Güvenlik uzmanları, söz konusu dosyanın sertifikasyon kapsamında incelenmediğini, dijital imza taşımadığını, zaman damgası bulunmadığını ve karmaşıklaştırılmış kod içerdiğini belirtti. Ayrıca dosyanın sistem belleğine yazma yeteneğine sahip olduğu kaydedildi.

Monero Madencisi Olduğu Belirlendi

Sophos tarafından gerçekleştirilen detaylı analizde dosyanın bir Monero kripto para madencisi olduğu yönünde güçlü bulgular elde edildi.

Araştırmacılar, zararlı yazılımın Windows Defender üzerinde istisna kuralı oluşturduğunu, kendisini “HolaMonitorService.exe” adıyla Program Files klasörüne kopyaladığını ve “hola_monitor_svc” isimli bir Windows hizmeti oluşturarak sistem açılışında otomatik çalıştığını açıkladı.

Analize göre madenci yazılımı, bilgisayarın boşta kaldığı zamanlarda çalışarak sistem kaynaklarını kullanıyor.

Hola Saldırıyı Doğruladı

AppEsteem tarafından bilgilendirilen Hola, yaşanan olayın bir tedarik zinciri saldırısı olduğunu doğruladı. Şirket, olayın siber güvenlik firması Sygnia tarafından da bağımsız olarak tespit edildiğini açıkladı.

Hola tarafından yapılan değerlendirmede, “Etkilenen kullanıcı oranının yaklaşık yüzde 0,1 olduğu tahmin ediliyor.” bilgisi paylaşıldı.

Şirket ayrıca kullanıcı verilerine erişildiğine, veri hırsızlığı yaşandığına veya kullanıcı hesaplarının ele geçirildiğine dair herhangi bir kanıt bulunmadığını belirtti.

“Dağıtım Altyapısını Tamamen Yeniden Kurduk”

Hola Üst Yöneticisi Avi Raz Cohen, konuya ilişkin açıklamasında, “Dağıtım altyapımızı tamamen yeniden inşa ettik, gelişmiş kod imzalama doğrulama mekanizmaları uyguladık ve erişim kontrollerini önemli ölçüde sıkılaştırdık.” dedi.

Cohen, “Bu önlemler, kullanıcılarımıza yalnızca beyan edilmiş, sertifikalandırılmış ve dijital olarak imzalanmış bileşenlerin ulaştırılmasını sağlamak amacıyla hayata geçirildi.” ifadelerini kullandı.

Olayın nasıl gerçekleştiği, saldırının arkasındaki kişi veya gruplar ile diğer platformlardaki kullanıcıların etkilenip etkilenmediği konusunda ise şirket tarafından henüz ayrıntılı bilgi paylaşılmadı.

Kaynak: Beykozun Sesi

Brave tarafından yapılan açıklamada, “Bugün Brave, kutudan çıktığı hâliyle gelen tüm özelliklere ihtiyaç duymayan ancak yalnızca Brave'in sunduğu gizlilik korumasını isteyen kullanıcılar için tarayıcının ücretli sürümü Brave Origin'i duyuruyor.” ifadelerine yer verildi.

Hangi Özellikler Kaldırıldı

Şirketin verdiği bilgilere göre Brave Origin'de Brave Rewards, Brave Wallet, Brave VPN tanıtımları, Brave Leo yapay zekâ hizmeti, Brave News, Brave Talk, sponsorlu görseller ve çeşitli promosyon bileşenleri varsayılan olarak yer almıyor.

Buna karşın Brave'in reklam ve izleyici engelleme teknolojisi olan Brave Shields sisteminin yeni sürümde kullanılmaya devam ettiği belirtildi.

Brave Origin'in hem bağımsız bir tarayıcı olarak indirilebildiği hem de mevcut Brave kullanıcılarının yazılım yükseltmesiyle erişebileceği aktarıldı.

59,99 Dolarlık Tek Seferlik Lisans

Şirket, Brave Origin'in tek seferlik 59,99 dolar karşılığında satın alınabileceğini ve lisansın en fazla 10 cihazda kullanılabileceğini açıkladı. Linux kullanıcıları için ise Brave Origin sürümünün ücretsiz sunulduğu bildirildi.

Brave, yeni sürümün özellikle karmaşık ayarlarla uğraşmak istemeyen ve doğrudan sade bir kullanım deneyimi arayan kullanıcıları hedeflediğini vurguladı.

Kullanıcılardan Eleştiri Geldi

Brave Origin'in duyurulmasının ardından teknoloji topluluklarında ve sosyal medya platformlarında çeşitli eleştiriler gündeme geldi.

Reddit'te görüş paylaşan bir kullanıcı, “Brave başlangıçta kullanıcıları internetin para kazanma katmanlarından koruyan bir tarayıcı olarak ortaya çıktı. Zamanla tarayıcının kendisi de yeni bir para kazanma katmanına dönüştü.” değerlendirmesinde bulundu.

Aynı kullanıcı, “Şimdi ise temiz, sade ve gizlilik odaklı sürümü isteyenlerin ücret ödemesi gerekiyor.” ifadelerini kullandı.

“Bu Ayarlar Zaten Kapatılabiliyor”

Bazı kullanıcılar ise Brave Origin ile kaldırılan özelliklerin büyük bölümünün ücretsiz Brave sürümünde kurumsal grup ilkeleri ve gelişmiş ayarlar aracılığıyla zaten devre dışı bırakılabildiğine dikkat çekti.

Bu nedenle bazı eleştirmenler, Brave Origin'in teknik açıdan yeni bir işlev sunup sunmadığını sorgularken, farklılığın esas olarak mevcut ayarların kullanıcı dostu bir paket hâlinde sunulmasından ibaret olduğunu öne sürdü.

Buna karşılık projeyi destekleyen kullanıcılar, çoğu kişinin kurumsal politika ayarlarıyla uğraşmadığını belirterek, Brave Origin'in daha sade bir deneyime kolay erişim sağladığını ve aynı zamanda gizlilik odaklı tarayıcı geliştirme çalışmalarına finansal destek sunduğunu ifade etti.

Kaynak: Beykozun Sesi

Araştırmacının yayımladığı teknik analizde, açığın github.dev üzerinde çalışan VS Code’un web görünümü mesajlaşma mekanizmasından yararlandığı belirtildi. Paylaşılan kavram kanıtı kodunun, kötü amaçlı JavaScript çalıştırarak editör içinde tuş vuruşlarını taklit ettiği ve zararlı bir eklenti yüklediği aktarıldı.

“Belirteç belirli bir depoyla sınırlı değil”

Ammar Askar, yayımladığı açıklamada, “Bu işlevsellik, github.com tarafından github.dev’e kullanıcının adına işlem yapabilen bir OAuth belirtecinin gönderilmesiyle sağlanıyor.” ifadelerini kullandı.

Askar ayrıca, “Belirteç yalnızca etkileşim kurulan depoyla sınırlı değil. Kullanıcının erişebildiği diğer tüm depolar üzerinde de tam erişim sağlıyor.” değerlendirmesinde bulundu.

Araştırmacı, ele geçirilen belirteçler kullanılarak GitHub API üzerinden kullanıcının erişebildiği özel depoların da listelenebileceğini kaydetti.

Yama yayımlanmadan önce duyuruldu

Henüz CVE numarası almayan güvenlik açığının kamuya açıklanmadan yaklaşık bir saat önce GitHub’a bildirildiği ifade edildi. Askar, daha önce Microsoft Güvenlik Müdahale Merkezi (MSRC) ile yaşadığı süreçten memnun kalmadığını belirterek bu nedenle tam kamu açıklaması yöntemini tercih ettiğini söyledi.

Askar, “VS Code ile ilgili daha önce bildirdiğim bir hata sessizce düzeltildi ve herhangi bir güvenlik etkisi tanınmadı.” ifadelerini kullanırken, gelecekte benzer açıkları doğrudan kamuoyuna açıklayacağını belirtti.

Microsoft’tan açıklama geldi

Konuya ilişkin açıklama yapan Microsoft sözcüsü, “Güvenlik araştırmacılarının ürünlerimizin ve teknoloji ekosisteminin güvenliğini güçlendirmedeki kritik rolüne değer veriyoruz.” dedi.

Microsoft sözcüsü ayrıca, “Bildirilen sorunları hızla değerlendiriyor, uygun mühendislik ve güvenlik ekiplerini harekete geçiriyor ve müşterilerimizi korumak için gerekli önlemleri mümkün olan en kısa sürede devreye alıyoruz.” açıklamasında bulundu.

Şirket daha sonra yaptığı güncellemede, “Bu sorun hizmetlerimiz açısından giderildi ve müşterilerin herhangi bir işlem yapması gerekmiyor.” bilgisini paylaştı.

Araştırmacı, kullanıcıların ek önlem olarak tarayıcılarında github.dev alanına ait çerezleri ve yerel site verilerini temizleyebileceğini, böylece bağlantı üzerinden gerçekleştirilebilecek olası saldırılara karşı ek bir doğrulama ekranı ile karşılaşabileceklerini belirtti.

Kaynak: Beykozun Sesi

“Meta AI Desteği Gereğinden Fazla Erişim İznine Sahipti”

ZachXBT, yaptığı açıklamada, “Meta AI desteği berbat durumda ve gereğinden fazla erişim iznine sahip. Bu sayede 2FA olmayan herhangi bir hesabın şifresi sıfırlanabiliyor ve sistem kimin olduğunu doğrulamıyor.” ifadelerini kullandı.

Dark Web Informer ise konuya ilişkin paylaşımında, “Instagram'da Meta AI kullanılarak MFA'sız hesapların şifrelerini sıfırlamaya izin veren bir açık vardı. Açık kısa süre önce kapatıldı.” açıklamasında bulundu.

Yapay Zekâ Karar Mekanizması Hedefteydi

Paylaşılan teknik değerlendirmelere göre sorun, klasik bir sistem ihlalinden ziyade Meta AI destekli hesap kurtarma aracının mimarisindeki güvenlik eksikliğinden kaynaklandı. Saldırganların chatbot sistemini manipüle ederek şifre sıfırlama kodlarını yeterli kimlik doğrulaması olmadan farklı kişilere yönlendirebildiği öne sürüldü.

Uzmanlar, yetersiz rate-limiting uygulamaları ve authentication enforcement eksiklikleri nedeniyle yalnızca kullanıcı adını bilen kişilerin hesap ele geçirme sürecini başlatabildiğini belirtti. Çok faktörlü kimlik doğrulaması bulunmayan hesapların bu süreçten doğrudan etkilenebileceği kaydedildi.

17,5 Milyon Kullanıcının Verileri Daha Önce Yayınlanmıştı

Güvenlik uzmanları, son olayın tek başına değerlendirilmemesi gerektiğine dikkat çekti. Ocak 2026’da “Solonik” takma adlı bir tehdit aktörünün BreachForums platformunda 17,5 milyon Instagram kullanıcısına ait veri setini ücretsiz olarak yayınladığı bildirildi.

Malwarebytes tarafından yapılan incelemelerde veri setinin rutin dark web taramalarında tespit edildiği aktarıldı. Söz konusu veriler arasında 16,5 milyon kullanıcı adı, 6,2 milyon e-posta adresi, 3,4 milyon telefon numarası, 12,4 milyon isim ve 1,3 milyon fiziksel adres bulunduğu belirtildi.

Teknik analizlerde verilerin, 2024 yılı sonunda yapılandırılmamış bir Instagram API endpoint’i üzerinden gerçekleştirilen geniş ölçekli veri kazıma faaliyetleriyle toplandığı değerlendirildi. Şifrelerin veri setinde yer almamasına rağmen, elde edilen bilgilerin phishing, SIM-swap ve kimlik hırsızlığı saldırılarında kullanıldığı ifade edildi.

Ortak Nokta Güvenlik Katmanlarındaki Eksiklikler

Uzmanlar, her iki olayın ortak paydasının yetersiz rate-limiting uygulamaları, yapay zekâ mantık katmanında eksik kimlik doğrulama süreçleri ve API güvenlik mimarisindeki yapısal açıklar olduğunu vurguladı.

Siber güvenlik uzmanları, kullanıcıların uygulama tabanlı iki faktörlü doğrulamayı etkinleştirmesi, SMS yerine Google Authenticator veya Authy gibi çözümleri tercih etmesi, hesaplara bağlı iletişim bilgilerini düzenli olarak kontrol etmesi ve beklenmeyen şifre sıfırlama taleplerine karşı dikkatli olması gerektiğini belirtti.

Kurumsal tarafta ise yapay zekâ destekli araçların hesap yönetimi süreçlerine entegre edilmesi sırasında kimlik doğrulama ve rate-limiting katmanlarının zorunlu hale getirilmesi, ayrıca API uç noktalarının düzenli penetrasyon testlerinden geçirilmesi önerildi.

Uzmanlar, “Sistemlerimiz ihlal edilmedi” yaklaşımının artık tek başına yeterli olmadığını, yapay zekâ destekli sistemlerin giderek büyüyen saldırı yüzeyinin merkezinde yer aldığını ifade etti.

Kaynak: Beykozun Sesi

 Turla ile Bağlantılı Uzun Soluklu Tehdit

Secret Blizzard faaliyetlerinin daha önce Turla, Uroburos ve Venomous Bear gibi tehdit aktörleriyle örtüştüğü ve Rus istihbarat servisi FSB ile ilişkilendirildiği değerlendiriliyor.

Kazuar’ın 2017’den bu yana aktif olduğu, kod izlerinin ise 2005’e kadar uzandığı belirtiliyor.

 Üç Katmanlı Yeni Mimari: Kernel – Bridge – Worker

Kazuar artık üç ana modül üzerinden çalışıyor:

Kernel:
Botnet’in merkezi koordinatörü olarak görev yapıyor. Lider sistem seçimi, görev dağıtımı ve iletişim akışını yönetiyor.

Bridge:
Dış komuta kontrol (C2) altyapısıyla iletişimi sağlıyor. HTTP, WebSockets ve Exchange protokollerini kullanarak trafik gizleniyor.

Worker:
Asıl casusluk faaliyetlerini yürütüyor; tuş kaydı, ekran görüntüsü alma, dosya hırsızlığı ve Outlook verilerini toplama gibi işlemleri gerçekleştiriyor.

 Lider Sistem Üzerinden Gizli C2 İletişimi

Yeni yapıda enfekte cihazlardan biri “lider” olarak seçiliyor ve doğrudan komuta kontrol sunucusuyla iletişim kuruyor. Diğer sistemler sessiz moda geçerek sadece lider üzerinden veri aktarımı yapıyor.

Microsoft bu yapının ağ trafiğini azaltarak tespit edilmesini zorlaştırdığını belirtiyor.

 150 Yapılandırma Seçeneği ile Gelişmiş Kontrol

Kazuar’ın yeni sürümünde 150 farklı yapılandırma parametresi bulunduğu açıklandı. Bu seçenekler:

• veri hırsızlığı zamanlaması
• süreç enjeksiyonu
• güvenlik atlatma teknikleri
• görev planlama
• veri boyutu kontrolü

gibi birçok saldırı bileşenini kontrol edebiliyor.

 Sessiz ve Uzun Süreli Casusluk Hedefi

Secret Blizzard’ın özellikle hükümet kurumları, diplomatik yapılar ve savunma sanayi hedeflerine odaklandığı belirtiliyor.

Microsoft, kurumlara imza tabanlı tespit yerine davranışsal analiz sistemlerine ağırlık verilmesi gerektiği uyarısında bulundu.

Yeni Kazuar mimarisi, daha az görünürlük, daha uzun süreli kalıcılık ve daha esnek casusluk yetenekleriyle modern APT operasyonlarının geldiği noktayı gösteriyor.

Kaynak: Beykozun Sesi

Güvenlik araştırmacısı Justin O'Leary, düşük yetkili “Backup Contributor” rolüne sahip kullanıcıların Kubernetes ortamında “cluster-admin” seviyesine yükselebileceğini öne sürdü.

 Açığın Teknik Detayları

Araştırmaya göre sorun, Microsoft Azure üzerindeki Kubernetes yönetimi ile RBAC yetkilendirme mekanizmalarının yanlış etkileşiminden kaynaklanıyor.

Saldırı senaryosunda kullanıcı, Azure Backup for AKS üzerinden yedekleme işlemini başlatarak otomatik “Trusted Access” yapılandırmasını tetikliyor ve bu süreçte cluster-admin yetkisi elde edebiliyordu.

Bu durum “confused deputy” zafiyeti olarak tanımlandı.

 Microsoft–Araştırmacı Görüş Ayrılığı

Microsoft Güvenlik Müdahale Merkezi (MSRC), açığın bir güvenlik zafiyeti olmadığını ve yalnızca zaten yönetici erişimine sahip kullanıcıları etkilediğini savundu.

Ancak Justin O'Leary, sistemin aslında hiçbir Kubernetes yetkisi olmayan bir kullanıcının cluster-admin seviyesine çıkmasına izin verdiğini belirtti.

Araştırmacı ayrıca Microsoft’un raporu “AI-generated content” olarak işaretleyerek değerlendirmeyi reddettiğini iddia etti.

 CERT/CC Doğrulaması

Olay, bağımsız inceleme için CERT Coordination Center (CERT/CC) tarafından ele alındı. Kurumun açığı doğruladığı ve “VU#284781” kimliğini verdiği aktarıldı.

Ancak CVE sürecine ilişkin tartışmalar nedeniyle açıklamanın planlanan tarihte yayımlanmadığı ve sürecin daha sonra kapatıldığı bildirildi.

 “Sessiz Yama” İddiası

Araştırmacıya göre Microsoft, resmi CVE yayımlamadan sistemi değiştirerek açığı kapattı. Bu değişiklik sonrası:

• Trusted Access yapılandırması manuel hale getirildi
• Yeni izin kontrolleri eklendi
• Hata mesajları değiştirildi

Microsoft Azure tarafı ise yaptığı açıklamada bunun “beklenen davranış” olduğunu ve bir güvenlik açığı bulunmadığını savundu.

 Güvenlik Dünyasında Tartışma

Justin O'Leary, CVE yayımlanmamasının kurumların risk takibini zorlaştırdığını belirterek “sessiz yamaların görünürlük sorununa yol açtığını” ifade etti.

Olay, büyük teknoloji şirketleri ile güvenlik araştırmacıları arasındaki raporlama ve açıklama süreçlerine ilişkin tartışmaları yeniden gündeme taşıdı.

Kaynak: Beykozun Sesi

 Tycoon2FA Yeniden Yapılanıyor

Araştırmacılar, Mart 2026’da gerçekleştirilen uluslararası kolluk operasyonuyla Tycoon2FA altyapısının büyük ölçüde dağıtıldığını ancak saldırganların kısa sürede yeni altyapılar kurarak faaliyetlerine yeniden başladığını belirtti.

Abnormal AI tarafından yayımlanan raporda da platformun operasyonlarını yeniden güçlendirdiği ve tespit edilmesini zorlaştırmak için yeni gizleme katmanları eklediği ifade edildi.

 Microsoft’un Gerçek Giriş Akışı Kötüye Kullanılıyor

Araştırmaya göre saldırılar, Microsoft’un OAuth 2.0 cihaz yetkilendirme akışını kötüye kullanıyor.

“Device-code phishing” yönteminde saldırganlar sahte bir cihaz doğrulama kodu üretiyor ve kullanıcıyı bunu Microsoft 365 giriş ekranına girmeye ikna ediyor.

Bu işlem sırasında kullanıcı aslında saldırganın kontrol ettiği cihaza erişim yetkisi veriyor ve böylece e-posta, takvim ve bulut verilerine tam erişim sağlanabiliyor.

 Saldırı Zinciri: Trustifi ve Cloudflare Katmanları

Araştırmacılar, saldırının fatura temalı oltalama e-postalarıyla başladığını belirtti. Bağlantılar önce Trustifi üzerinden, ardından Cloudflare Workers ve çok katmanlı JavaScript yönlendirmeleriyle sahte Microsoft CAPTCHA sayfasına ulaşıyor.

Sahte sayfa, saldırganın ürettiği OAuth cihaz kodunu kullanıcıya gösteriyor ve bu kodun gerçek Microsoft giriş sayfasına girilmesini istiyor.

Kullanıcı doğrulamayı tamamladığında saldırgan kontrolündeki cihaz, OAuth erişim ve yenileme tokenlarını elde ediyor.

 Güvenlik Araçlarını Tespit Edebiliyor

eSentire araştırmasına göre Tycoon2FA, analiz ortamlarını tespit edebilen gelişmiş anti-analiz özellikleri içeriyor.

Kitin; Selenium, Puppeteer, Playwright ve Burp Suite gibi araçları algılayabildiği, ayrıca VPN, sandbox ve bulut güvenlik ortamlarını da engellediği ifade edildi.

Analiz ortamı tespit edildiğinde kullanıcılar doğrudan gerçek Microsoft sayfalarına yönlendiriliyor.

 Kurumlara Kritik Uyarılar

Uzmanlar, kuruluşlara OAuth cihaz kodu akışının devre dışı bırakılmasını veya sınırlandırılmasını önerdi. Ayrıca:

• OAuth izinlerinin kısıtlanması
• Üçüncü taraf uygulamalarda yönetici onayı zorunluluğu
• Continuous Access Evaluation (CAE) aktivasyonu

tavsiye edildi.

Microsoft Entra loglarında “deviceCode” girişlerinin ve şüpheli OAuth aktivitelerinin izlenmesi gerektiği de vurgulandı.

Kaynak: Beykozun Sesi

Saldırının, tam güncel sistemlerde SYSTEM yetkisi elde edilmesine imkan tanıdığı belirtiliyor.

 Açığın Kaynağı Cloud Filter Sürücüsü

Açığın, Windows’taki “cldflt.sys” Cloud Filter sürücüsünde bulunan “HsmOsBlockPlaceholderAccess” rutininden kaynaklandığı ifade edildi.

Sorunun ilk olarak Google Project Zero araştırmacısı James Forshaw tarafından Eylül 2020’de Microsoft’a bildirildiği kaydedildi.

Söz konusu açık o dönemde “CVE-2020-17103” kimliğiyle takip edilmiş ve Aralık 2020 güncellemeleri kapsamında yamalandığı açıklanmıştı.

 “Yama Tam Kapanmadı” İddiası

Exploit kodunu yayımlayan araştırmacı Chaotic Eclipse (Nightmare Eclipse), Microsoft’un açığı tam olarak düzeltmediğini iddia etti.

Araştırmacı, hem kaynak kodunu hem de derlenmiş çalıştırılabilir sürümü kamuoyuyla paylaştı.

Açıklamasında şu ifadeye yer verdi:

“Microsoft ya hiçbir zaman tam anlamıyla düzeltmedi ya da yapılan yama daha sonra sessiz şekilde geri alındı.”

 Windows 11 Üzerinde Başarılı Test

Windows 11 üzerinde yapılan testlerde exploitin, Mayıs 2026 güvenlik güncellemeleri yüklü sistemlerde başarıyla çalıştığı bildirildi.

Test sırasında standart kullanıcı hesabı kullanıldığı ve exploit sonrası SYSTEM yetkilerine sahip komut istemcisinin açıldığı aktarıldı.

Güvenlik analisti Will Dormann da açığın güncel Windows 11 sürümünde çalıştığını doğruladı.

 Teknik Detaylar ve Kötüye Kullanım

Araştırmacılar, exploitin undocumented “CfAbortHydration” API’si üzerinden Cloud Filter sürücüsünün kayıt defteri işlemlerini kötüye kullandığını belirtti.

İlk raporlarda açığın, “.DEFAULT” kullanıcı kayıt alanında kontrolsüz anahtar oluşturulmasına izin vererek yetki yükseltmeye yol açabileceği ifade edilmişti.

 EDR İzleme Önerisi

Güvenlik platformları, kurumların saldırıları tespit edebilmesi için belirli kayıt defteri yollarını izlemeleri gerektiğini açıkladı:

• \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps*
• \Registry\User.DEFAULT\Volatile Environment*

Araştırmacının Önceki Açıkları

Chaotic Eclipse, daha önce de “BlueHammer”, “RedSun”, “YellowKey”, “GreenPlasma” ve “UnDefend” gibi Windows exploit araçlarını yayımlamıştı.

“YellowKey” aracının TPM tabanlı BitLocker korumasını aşabildiği ve şifrelenmiş sürücülere erişim sağlayabildiği öne sürülmüştü.

Araştırmacı, bu açıkları kamuya açık paylaşmasının Microsoft’un hata ödül programına bir protesto olduğunu savunuyor.

Kaynak: Beykozun Sesi

Bu yılki yarışmanın odağında kurumsal teknolojiler ve yapay zekâ sistemleri yer aldı. Yarışmacılar; internet tarayıcıları, kurumsal uygulamalar, yerel yetki yükseltme sistemleri, sunucular, bulut altyapıları, konteyner ortamları, sanallaştırma teknolojileri ve büyük dil modelleri gibi birçok kategoride tamamen güncel ürünleri hedef aldı.

 Gün Gün Ödül Dağılımı

Organizasyonun ilk gününde 24 farklı sıfır gün açığı için toplam 523 bin dolar ödül dağıtıldı. İkinci günde 15 sıfır gün açığı için 385 bin 750 dolar, son gün ise sekiz yeni açık için 389 bin 500 dolar ödül verildi.

 DEVCORE Yarışmanın Kazananı Oldu

DEVCORE, yarışmanın genel kazananı oldu. Ekip; Microsoft SharePoint, Microsoft Exchange, Microsoft Edge ve Windows 11 sistemlerini başarıyla istismar ederek toplam 505 bin dolar ödül ve 50,5 “Master of Pwn” puanı topladı.

İkinci sırada 242 bin 500 dolar ödül kazanan STARLabs SG yer alırken, Out Of Bounds ise 95 bin 750 dolarlık ödülle üçüncü sıraya yerleşti.

 “Orange Tsai” Öne Çıktı

Yarışmanın en yüksek tekil ödülü Cheng-Da Tsai’ye, bilinen adıyla “Orange Tsai”ye verildi. Araştırmacı, Microsoft Exchange üzerinde SYSTEM yetkileriyle uzaktan kod çalıştırmayı mümkün kılan üç ayrı açığı zincirleme kullanarak 200 bin dolar ödül kazandı.

Orange Tsai ayrıca dört mantıksal açığı birleştirerek Microsoft Edge sandbox kaçışı gerçekleştirdi ve bu saldırıyla 175 bin dolar daha kazandı.

 Windows 11 ve Linux Sistemleri Hedefteydi

İlk gün içerisinde Windows 11 üç farklı kez başarıyla hacklenirken, Valentina Palmiotti, Red Hat Enterprise Linux sisteminde root erişimi elde ederek ve NVIDIA Container Toolkit için sıfır gün açığı göstererek 70 bin dolar ödül aldı.

İkinci gün Windows 11 için yeni yerel yetki yükseltme açıkları ile Red Hat Enterprise Linux hedef alındı. Ayrıca çeşitli yapay zekâ destekli kodlama ajanlarında da sıfır gün açıkları gösterildi.

Son gün ise VMware ESXi üzerinde bellek bozulması açığı kullanılarak başarılı bir saldırı gerçekleştirildi.

 Yamalar İçin 90 Gün Süre

Pwn2Own Berlin 2026 sonrasında etkilenen teknoloji şirketlerine güvenlik yamalarını yayımlamaları için 90 günlük süre tanındı. Zero Day Initiative, bu sürenin sonunda yamalanmayan açıkların teknik detaylarını kamuoyuyla paylaşacağını açıkladı.

Geçtiğimiz yıl düzenlenen Pwn2Own Berlin yarışmasında ise STAR Labs SG ekibi birinci olmuş, toplam 29 sıfır gün açığı için 1 milyon 78 bin 750 dolar ödül dağıtılmıştı.

Kaynak: Beykozun Sesi

Açığın Linux çekirdeğindeki “rxgk” modülünde bulunduğu belirtilirken, güvenlik araştırma ekibi V12 tarafından yapılan açıklamada güvenlik açığının 9 Mayıs 2026 tarihinde rapor edildiği ancak geliştiricilerin bunun daha önce düzeltilmiş bir hata olduğunu bildirdiği aktarıldı.

V12 ekibi açıklamasında,
“Bu açığı 9 Mayıs 2026 tarihinde tespit edip bildirdik ancak bakım ekibi bunun daha önce yamalanmış bir tekrar kayıt olduğunu belirtti. Sorun, rxgk_decrypt_skb içinde eksik COW korumasından kaynaklanan pagecache yazımıyla ilgili.” ifadelerine yer verdi.

 CVE-2026-31635 ile İlişkilendiriliyor

Güvenlik açığı için henüz resmi bir CVE kaydı yayımlanmasa da Will Dormann, araştırmacıların paylaştığı teknik detayların 25 Nisan’da yamalanan “CVE-2026-31635” ile örtüştüğünü ifade etti.

Açığın istismar edilebilmesi için Linux çekirdeğinde “CONFIG_RXGK” yapılandırma seçeneğinin etkin olması gerekiyor. Bu özelliğin, Andrew File System (AFS) istemcisi ve ağ iletişimi için RxGK güvenlik desteğini aktif hale getirdiği belirtildi.

Uzmanlar, bu nedenle saldırı yüzeyinin Fedora, Arch Linux ve openSUSE Tumbleweed gibi güncel upstream çekirdek sürümlerini yakından takip eden dağıtımlarla sınırlı olduğunu açıkladı.

V12 ekibi tarafından hazırlanan exploit kodunun yalnızca Fedora ve ana Linux çekirdeği üzerinde test edildiği bildirildi.

 “Dirty Frag” ve “Copy Fail” ile Aynı Sınıfta

Araştırmacılar, DirtyDecrypt açığının son haftalarda gündeme gelen “Dirty Frag”, “Fragnesia” ve “Copy Fail” gibi root yetki yükseltme açıklarıyla aynı güvenlik sınıfında değerlendirildiğini belirtti.

Linux kullanıcılarına en güncel çekirdek yamalarını yüklemeleri tavsiye edilirken, yamalama işlemini hemen gerçekleştiremeyen sistemler için geçici önlem de paylaşıldı.

Uzmanlar, aşağıdaki komutların uygulanmasının saldırıyı engelleyebileceğini ancak aynı zamanda IPsec VPN bağlantıları ile AFS dağıtık dosya sistemlerini devre dışı bırakabileceğini bildirdi:

• “install esp4 /bin/false”
• “install esp6 /bin/false”
• “install rxrpc /bin/false”

 CISA’dan Federal Kurumlara Uyarı

Açıklamalar, saldırganların “Copy Fail” isimli başka bir Linux açığını aktif olarak kullanmaya başladığı yönündeki raporların ardından geldi. Cybersecurity and Infrastructure Security Agency, 1 Mayıs’ta Copy Fail açığını aktif saldırılarda kullanılan güvenlik açıkları listesine eklemişti.

Cybersecurity and Infrastructure Security Agency, federal kurumlara Linux cihazlarını 15 Mayıs’a kadar güvence altına alma talimatı verirken,
“Bu tür güvenlik açıkları kötü niyetli siber aktörler tarafından sık kullanılan saldırı vektörleridir ve federal altyapı için ciddi risk oluşturmaktadır.” açıklamasında bulunmuştu.

Nisan ayında ise Linux dağıtımları, yaklaşık 12 yıl boyunca fark edilmeyen “Pack2TheRoot” isimli başka bir root yetki yükseltme açığı için güvenlik yamaları yayımlamıştı.

Kaynak: Beykozun Sesi

Microsoft açıklamasında, sorunun EFI Sistem Bölümü’nde (ESP) yeterli boş alan bulunmamasından kaynaklandığı ifade edildi. Özellikle EFI bölümünde 10 MB veya daha az boş alan bulunan cihazların bu problemden etkilendiği kaydedildi.

Şirket,
“Etkilenen cihazlarda kurulum ilk aşamalarda ilerleyebilir ancak yeniden başlatma sırasında yaklaşık yüzde 35-36 seviyesinde başarısız olabilir.” açıklamasını yaptı.

 “Undoing Changes” Mesajı Görülüyor

Kurulumun başarısız olduğu cihazlarda kullanıcıların “Something didn't go as planned. Undoing changes.” mesajıyla karşılaştığı bildirildi. Microsoft, günlük kayıtlarında yetersiz EFI alanına işaret eden çeşitli hata mesajlarının da görülebileceğini açıkladı.

Şirketin paylaştığı hata kayıtları arasında şu ifadeler yer aldı:

• “SpaceCheck: Insufficient free space”
• “ServicingBootFiles failed. Error = 0x70”
• “SpaceCheck: <value> used by third-party/OEM files outside of Microsoft boot directories”

Microsoft, sorunun çözümü üzerinde çalışıldığını ancak geçici önlem olarak “Known Issue Rollback” özelliğinin kullanılmasını tavsiye etti. Bu sistemin, Windows Update üzerinden yayımlanan sorunlu değişiklikleri geri alabildiği belirtildi.

 Kurumsal Sistemler İçin Grup İlkesi Önerisi

Kurumsal ortamlarda ise BT yöneticilerinin belirli Grup İlkesi ayarlarını manuel olarak yapılandırması gerektiği ifade edildi. Microsoft açıklamasında,
“Bu sorunu çözmek için Windows sürümünüze uygun Grup İlkesi ayarını yükleyip yapılandırmanız gerekiyor. Ayarın uygulanabilmesi için cihazların yeniden başlatılması gerekiyor.” denildi.

Şirket ayrıca Grup İlkesi ayarının, soruna neden olan değişikliği geçici olarak devre dışı bırakacağını bildirdi.

 BitLocker ve Sürücü Sorunları da Gündemdeydi

“KB5089549” güncellemesi geçtiğimiz hafta yayımlanmış ve çok sayıda hata düzeltmesi ile güvenlik iyileştirmesi içermişti. Güncelleme ayrıca bazı Windows 11 cihazlarının Nisan 2026 güvenlik güncellemeleri sonrası BitLocker kurtarma ekranına düşmesine neden olan başka bir sorunu da çözmeyi hedefliyordu.

Microsoft, ay başında ise Avrupa Birliği’ndeki bazı Windows cihazlarına yönetim politikalarıyla engellenmiş sürücü güncellemelerinin gönderilmesine neden olan Windows Autopatch hatasını düzelttiğini açıklamıştı.

Şirket ayrıca Nisan 2026 güvenlik güncellemelerinin, güvenlik açığı bulunan sürücüler kullanan üçüncü taraf yedekleme uygulamalarında hatalara yol açtığını da doğrulamıştı.

Kaynak: Beykozun Sesi

Açıklamada, olayla ilgili yürütülen incelemelerde müşteri verileri veya kişisel bilgilerin sızdırıldığına dair herhangi bir bulguya rastlanmadığı kaydedildi. Grafana Labs, müşteri sistemlerinin de saldırıdan etkilenmediğini ifade etti.

Grafana Labs, gerçek zamanlı veri görselleştirme, analiz ve izleme alanında kullanılan açık kaynaklı Grafana platformunun geliştiricisi olarak biliniyor. Şirketin açıklamasına göre ürün dünya genelinde 7 binden fazla kuruluş tarafından kullanılıyor ve Fortune 50 şirketlerinin yüzde 70’i Grafana altyapısından yararlanıyor.

 “FBI Tavsiyeleri Doğrultusunda Fidye Ödenmedi”

Şirket, saldırganların ele geçirilen kaynak kodlarını yayımlamama karşılığında fidye talep ettiğini açıkladı. Ancak Grafana Labs, Federal Bureau of Investigation tavsiyeleri doğrultusunda ödeme yapmama kararı aldığını duyurdu.

Grafana açıklamasında,
“Operasyonel deneyimlerimiz ve FBI’ın yayımladığı rehber doğrultusunda, fidye ödemenin verilerin geri alınacağını garanti etmediği ve yalnızca benzer saldırıları teşvik ettiği değerlendirilmiştir. Bu nedenle fidye ödememe kararı aldık.” ifadelerine yer verildi.

Şirket ayrıca olay sonrası çalınan erişim bilgilerinin geçersiz hale getirildiğini ve ek güvenlik önlemlerinin devreye alındığını bildirdi.

 CoinbaseCartel Saldırıyı Üstlendi

Saldırının, CoinbaseCartel isimli veri gaspı grubu tarafından üstlenildiği belirtildi. Grup, Grafana’yı kendi veri sızıntısı portalında yayımlarken henüz herhangi bir veri paylaşımı yapılmadığı kaydedildi.

Siber güvenlik araştırmacıları, CoinbaseCartel grubunun geçtiğimiz yıl eylül ayında ortaya çıktığını ve bu yıl içerisinde 100’den fazla kurumu hedef aldığını belirtti. Grubun temel yönteminin veri çalmak ve yayımlama tehdidiyle kurumlardan fidye talep etmek olduğu ifade edildi.

Araştırmacılar, grubun sosyal mühendislik saldırıları, oltalama yöntemleri ve ele geçirilmiş kimlik bilgileri üzerinden hedef ağlara sızdığını aktardı.

 “Shinysp1d3r” Aracı İddiası

Tehdit istihbaratı uzmanı Joe Shenouda, CoinbaseCartel’in “shinysp1d3r” isimli bellek içi çalışan bir şifreleme aracı kullandığını öne sürdü. İddiaya göre araç, VMware ESXi sistemlerini hedef alarak anlık görüntüleri devre dışı bırakabiliyor.

Öte yandan ShinyHunters gasp grubu, haberin yayımlanmasının ardından yaptığı açıklamada CoinbaseCartel ile bağlantılarının bulunmadığını savundu.

Grafana Labs, olayla ilgili adli inceleme tamamlandıktan sonra saldırının teknik detaylarına ilişkin daha kapsamlı bilgi paylaşılacağını açıkladı.

Kaynak: Beykozun Sesi

Araştırmacılar, “deadcode09284814” adlı hesap üzerinden yayımlanan dört kötü amaçlı paketin geliştiricilerin sistemlerinden kimlik bilgileri, yapılandırma dosyaları, kripto cüzdan verileri ve hesap bilgilerini çaldığını açıkladı.

OXsecurity raporunda, saldırganların özellikle Axios kullanıcılarını hedef alan yazım hatalı paket isimleri kullandığı belirtildi. Zararlı paketlerin “chalk-tempalte”, “@deadcode09284814/axios-util”, “axois-utils” ve “color-style-utils” isimleriyle yayımlandığı bildirildi.

 “Shai-Hulud” Kodları Doğrudan Kullanıldı

Araştırmacılar, “chalk-tempalte” adlı paketin TeamPCP ile ilişkilendirilen Shai-Hulud zararlı yazılımının neredeyse değiştirilmemiş bir kopyasını içerdiğini ifade etti.

OXsecurity açıklamasında,
“Bu saldırının TeamPCP dışındaki farklı bir aktör tarafından gerçekleştirildiğini gösteren en önemli kanıt, zararlı yazılım kodunun doğrudan sızdırılan kaynak koddan alınmış olması ve herhangi bir gizleme tekniği kullanılmamasıdır.” ifadelerine yer verildi.

Shai-Hulud zararlı yazılımının geliştiricilere ait oturum bilgileri, gizli anahtarlar, kripto cüzdan verileri ve hesap bilgilerini topladığı, ardından bunları saldırganların kontrolündeki komuta kontrol sunucusuna gönderdiği belirtildi.

Araştırmacılar, kodun ayrıca ele geçirilen GitHub yayınlama yetkilerini kullanarak çalınan bilgileri otomatik oluşturulan herkese açık depolara yükleme özelliğini koruduğunu kaydetti.

 DDoS Botnet Özelliği Dikkat Çekti

Saldırıda kullanılan “axois-utils” paketinin diğerlerinden ayrıldığı ifade edildi. OXsecurity uzmanları, bu paketin yalnızca bilgi çalmakla kalmadığını, aynı zamanda sistemi kalıcı bir DDoS botuna dönüştürdüğünü açıkladı.

Raporda, paketin HTTP, TCP ve UDP flood saldırılarının yanı sıra TCP reset saldırılarını da desteklediği belirtildi. Kod içerisinde “phantom bot” isimli bir botnet altyapısına ilişkin referanslar bulunduğu aktarıldı.

 Geliştiricilere Acil Uyarı Yapıldı

Shai-Hulud kampanyasının ilk olarak Eylül 2025’te ortaya çıktığı ve meşru projelere zararlı kod enjekte edilerek geliştiricilerin bilgilerinin çalındığı hatırlatıldı. Daha önceki saldırıların da TeamPCP ile ilişkilendirildiği kaydedildi.

OXsecurity, saldırganların sızdırılan kaynak kodları hızla kopyalayarak yeni varyantlar geliştirmeye başladığını belirtti. Güvenlik uzmanları, zararlı npm paketlerini indiren geliştiricilerin bu paketleri derhal kaldırmaları ve etkilenen sistemlerdeki tüm kimlik bilgileri ile API anahtarlarını değiştirmeleri gerektiği uyarısında bulundu.

Araştırmacılar, dört zararlı paketin toplamda 2 bin 678 kez indirildiğini açıkladı.

Kaynak: Beykozun Sesi

macOS kullanıcılarını hedef alan SHub bilgi hırsızı yazılımın yeni bir varyantı tespit edildi. SentinelOne tarafından “Reaper” adı verilen yeni sürümün, sahte Apple güvenlik güncellemesi mesajlarıyla kullanıcıları kandırarak sistemlere arka kapı yerleştirdiği açıklandı.

Araştırmacılar, yeni varyantın önceki SHub kampanyalarından farklı olarak “ClickFix” yöntemi yerine Apple’ın “applescript://” URL şemasını kullandığını belirtti. Bu yöntemle kullanıcıların macOS Script Editor uygulamasını açmasının sağlandığı, zararlı AppleScript kodunun burada çalıştırıldığı ifade edildi.

SentinelOne uzmanları, saldırganların WeChat ve Miro uygulamalarının sahte yükleyicilerini kullanarak kullanıcıları zararlı sitelere yönlendirdiğini açıkladı. “qq-0732gwh22[.]com”, “mlcrosoft[.]co[.]com” ve “mlroweb[.]com” gibi alan adlarının meşru platformları taklit edecek şekilde hazırlandığı kaydedildi.

 Sahte Güncelleme Mesajıyla Şifre İsteniyor

Araştırmacılar, kullanıcının “Run” seçeneğine tıklamasının ardından zararlı kodun sahte bir Apple güvenlik güncellemesi mesajı gösterdiğini belirtti. Açıklamada, “XProtectRemediator” referansıyla güvenilir görünüm oluşturulurken arka planda “curl” komutuyla zararlı dosyanın indirildiği ve “zsh” üzerinden sessiz biçimde çalıştırıldığı aktarıldı.

Zararlı yazılımın, bulaşma öncesinde sistemde Rusça klavye veya giriş yöntemi kullanılıp kullanılmadığını kontrol ettiği ifade edildi. Eşleşme tespit edilmesi halinde saldırının sonlandırıldığı ve sisteme bulaşma gerçekleştirilmediği kaydedildi.

 Kripto Cüzdanları ve Tarayıcı Verileri Hedefte

SHub Reaper varyantının Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc ve Orion gibi tarayıcılardaki verileri hedef aldığı bildirildi.

Ayrıca MetaMask ve Phantom gibi kripto cüzdan uzantılarıyla birlikte 1Password, Bitwarden ve LastPass gibi parola yöneticilerinin de saldırı kapsamında olduğu belirtildi.

Araştırmacılar, Exodus, Atomic Wallet, Ledger Live, Electrum ve Trezor Suite gibi masaüstü kripto cüzdan uygulamalarının da hedef alındığını açıkladı.

Zararlı yazılımın uygulama süreçlerini sonlandırarak meşru dosyaların yerine kötü amaçlı “app.asar” dosyası yerleştirdiği ifade edildi.

 “Filegrabber” Modülü Hassas Belgeleri Topluyor

SentinelOne raporunda, “Filegrabber” adlı modülün Masaüstü ve Belgeler klasörlerinde hassas veri içerebilecek dosyaları taradığı belirtildi. 2 MB’a kadar olan dosyaların, PNG görseller için ise 6 MB’a kadar verilerin toplandığı, toplam veri hacminin 150 MB ile sınırlandırıldığı aktarıldı.

Uzmanlar, SHub Reaper’ın kalıcılık sağlamak amacıyla Google yazılım güncelleme hizmetini taklit eden bir script kurduğunu ve bunu LaunchAgent üzerinden her dakika çalışacak şekilde yapılandırdığını bildirdi. Açıklamada, saldırganların bu yöntemle ele geçirilen cihazlara uzun süreli erişim sağlayabildiği ve ek zararlı yazılımlar yükleyebildiği ifade edildi.

 Kullanıcılara Kritik Uyarı

SentinelOne, kullanıcıların Script Editor çalıştırıldıktan sonra oluşan şüpheli ağ trafiğini takip etmeleri ve güvenilir yazılım sağlayıcılarını taklit eden yeni LaunchAgent kayıtlarına karşı dikkatli olmaları gerektiği uyarısında bulundu.

Kaynak: Beykozun Sesi

Tesla araçlarının uzaktan kontrol edilebildiği iddiaları yeniden gündeme geldi. Özellikle son dönemde sosyal medyada paylaşılan örnekler, yazılım güncellemeleri üzerinden araçlara müdahale edilebildiği tartışmasını alevlendirdi.

Elektrikli araç üreticisi Tesla tarafından kullanılan OTA (Over-the-Air) güncelleme sistemi, araçların uzaktan yazılım güncellemesi almasını sağlıyor. Ancak bu sistemin kapsamı, kullanıcılar arasında “araç kontrolü kimde?” sorusunu gündeme getirdi.

Tesla Uzaktan Müdahale Edebiliyor mu?

İddialara göre Tesla, bazı durumlarda araçlara uzaktan erişim sağlayabiliyor. Bu erişim kapsamında:

• Araç yazılımı güncellenebiliyor
• Bazı özellikler devre dışı bırakılabiliyor
• Sistemler uzaktan kontrol edilebiliyor

Özellikle ikinci el bir Tesla aracında aktif olan sürüş destek özelliklerinin sonradan kapatıldığı iddiası, bu tartışmaların en çok konuşulan örneklerinden biri oldu.

Kadırov İddiası Tartışmayı Büyüttü

Son günlerde Ramzan Kadırov tarafından ortaya atılan bir iddia da dikkat çekti. Kadırov, silah monte edildiğini öne sürdüğü Cybertruck modelinin Tesla tarafından uzaktan devre dışı bırakıldığını iddia etti.

Bu iddia bağımsız kaynaklar tarafından doğrulanmış değil. Ancak olay, yazılım tabanlı araçların kontrol yetkileri konusundaki tartışmaları yeniden alevlendirdi.

“Yazılım Tanımlı Araç” Dönemi

Uzmanlara göre Tesla gibi markalar, “yazılım tanımlı araç” konseptini aktif olarak uyguluyor. Bu modelde:

• Araç fonksiyonları yazılım ile yönetiliyor
• Güncellemeler uzaktan yapılabiliyor
• Sistemler sürekli bağlantıda kalıyor

Bu yapı, güvenlik güncellemeleri açısından avantaj sağlasa da, teorik olarak dış müdahale risklerini de beraberinde getiriyor.

Güvenlik mi, Kontrol mü?

Uzaktan müdahale sistemi:

✔ Güvenlik açıklarını hızlı kapatma
✔ Yetkisiz kullanımı engelleme

gibi avantajlar sunarken,

❗ Kullanıcı kontrolünün azalması
❗ Müdahale sınırlarının belirsizliği

gibi endişeleri de beraberinde getiriyor.

Uzmanlar, bu tür sistemlerin daha şeffaf ve denetlenebilir olması gerektiğini vurguluyor.

İlgili Haberler

• Tesla yazılım güncellemeleri
• Elektrikli araç güvenliği
• Yapay zeka ve otomotiv

Kaynak: Beykozun Sesi

CISA tarafından yapılan uyarıda, “Bu tür zafiyetler kötü niyetli aktörler için yaygın bir saldırı vektörüdür ve önemli riskler barındırmaktadır.” ifadelerine yer verildi.

 13 Yıl Boyunca Fark Edilmedi

Söz konusu açığın yaklaşık 13 yıl boyunca tespit edilemeden sistemlerde yer aldığı ve Horizon3 araştırmacısı Naveen Sunkavally tarafından keşfedildiği belirtildi. Araştırmacının, açığı tespit ederken yapay zekâ destekli Claude aracından yararlandığı aktarıldı.

Sunkavally, “Zafiyet, yetersiz girdi doğrulamasından kaynaklanıyor ve kimliği doğrulanmış saldırganların kod çalıştırmasına imkan tanıyor.” değerlendirmesinde bulundu.

 Aktif Sistemler Risk Altında

ShadowServer verilerine göre, internete açık 7.500’den fazla Apache ActiveMQ sunucusu bulunuyor. Uzmanlar, bu sistemlerin saldırılara açık olabileceği uyarısında bulundu.

Horizon3 araştırmacıları, saldırı izlerinin ActiveMQ günlük kayıtlarında tespit edilebileceğini belirterek, “brokerConfig=xbean:http:// parametresi ve VM protokolü içeren şüpheli bağlantılar incelenmeli.” uyarısını yaptı.

 Acil Güncelleme Talimatı

CISA, açığı “Bilinen İstismar Edilen Zafiyetler” (KEV) kataloğuna ekleyerek ABD’deki federal kurumlara 30 Nisan’a kadar sistemlerini güncelleme zorunluluğu getirdi.

Ajans açıklamasında, “Üretici talimatlarına göre gerekli önlemler alınmalı, mümkün değilse ürün kullanımı sonlandırılmalıdır.” denildi.

Açığın, 30 Mart’ta yayımlanan Apache ActiveMQ Classic 6.2.3 ve 5.19.4 sürümleriyle giderildiği bildirildi.

Özel Sektöre de Uyarı

CISA, zorunluluğun yalnızca federal kurumları kapsamasına rağmen özel sektör kuruluşlarına da çağrıda bulunarak sistemlerin öncelikli olarak güncellenmesini ve ağ güvenliğinin güçlendirilmesini istedi.

Daha önce de Apache ActiveMQ içinde bulunan diğer güvenlik açıklarının fidye yazılımı grupları tarafından kullanıldığı hatırlatıldı.

Kaynak: Beykozun Sesi

Açığın, Windows 10, Windows 11 ve Windows Server sistemlerinde en son güvenlik güncellemeleri yüklü olsa bile çalıştığı ifade edildi.

 “Sistem Dosyaları Üzerine Yazma Davranışı Kullanılıyor”

Araştırmacı, açığın Microsoft Defender’ın bir davranışından kaynaklandığını belirterek,
“Defender, bulduğu dosyayı orijinal konumuna yeniden yazıyor ve bu davranış istismar edilerek sistem dosyalarının üzerine yazılabiliyor.” açıklamasında bulundu.

Paylaşılan PoC’nin bu mekanizmayı kullanarak kritik sistem dosyalarını değiştirip yönetici yetkisi elde ettiği aktarıldı.

 Bağımsız Uzman Doğruladı

Güvenlik analisti Will Dormann, açığın çalıştığını doğrulayarak,
“Exploit, tamamen güncel sistemlerde SYSTEM yetkisi elde edebiliyor.” ifadelerini kullandı.

Dormann, saldırı zincirini teknik olarak şu sözlerle açıkladı:
“Cloud Files API kullanılarak dosya yazılıyor, ardından yönlendirme teknikleriyle bu dosya sistem dizinine aktarılıyor ve altyapı bu dosyayı SYSTEM yetkisiyle çalıştırıyor.”

 Tam Sistem Kontrolü Mümkün

Uzmanlara göre saldırganlar bu yöntemle:

• Sistem dosyalarını değiştirme
• Zararlı yazılım yerleştirme
• Cihaz üzerinde tam kontrol sağlama

gibi kritik yetkilere ulaşabiliyor.

 İkinci Sıfır Gün Açığı

Aynı araştırmacı bir hafta önce “BlueHammer” adı verilen başka bir Microsoft Defender açığını daha yayımlamıştı. Bu açık daha sonra CVE-2026-33825 koduyla takip edilerek Microsoft tarafından yamalanmıştı.

 Microsoft ile Gerilim İddiası

Araştırmacı, sıfır gün açıklarını yayımlama kararını Microsoft ile yaşadığı süreçle ilişkilendirerek,
“Sorunu bildirme sürecinde ciddi sorunlar yaşadım ve bu nedenle detayları kamuya açıklamayı tercih ettim.” dedi.

Microsoft ise yaptığı açıklamada,
“Bildirilen güvenlik açıklarını incelemek ve kullanıcıları korumak için gerekli güncellemeleri sağlamak temel önceliğimizdir.” ifadelerini kullandı.

Kaynak: Beykozun Sesi

Google, reklam platformlarında artan dolandırıcılık faaliyetlerine karşı Gemini kullanımını genişlettiğini açıkladı. Şirket, siber suçluların daha gelişmiş yöntemler kullanması nedeniyle savunma sistemlerinin de güçlendirildiğini bildirdi.

Paylaşılan verilere göre 2025 yılı boyunca 8,3 milyar reklam engellendi veya kaldırıldı, 24,9 milyon reklamveren hesabı askıya alındı. Bu reklamların 602 milyonunun dolandırıcılıkla bağlantılı olduğu belirtildi.

“Zararlı Reklamları Gerçek Zamanlı Engelliyoruz”

Google Ads Güvenlik Başkan Yardımcısı Keerat Sharma,
“Kötü niyetli aktörler üretken yapay zekâyı kullanarak aldatıcı reklamları büyük ölçekte oluşturuyor. Gemini sayesinde bu reklamları gerçek zamanlı olarak tespit edip engelleyebiliyoruz.” ifadelerini kullandı.

Sharma, reklamların büyük bölümünün artık yayınlanmadan önce otomatik olarak incelendiğini belirtti.

 Sahte Reklamlar ve Dolandırıcılık Yöntemleri

Google reklam ağında uzun süredir devam eden kötü amaçlı reklam (malvertising) sorununun sürdüğü kaydedildi. Saldırganların;

• Tanınmış markaları taklit eden reklamlar
• Sahte giriş sayfaları
• Kripto para dolandırıcılık siteleri

üzerinden kullanıcıları hedef aldığı belirtildi.

Bu kampanyalarda URL yönlendirme, gizleme teknikleri (cloaking) ve sahte alan adları kullanılarak reklamların güvenilir siteler gibi gösterildiği aktarıldı.

 Gemini Daha Gelişmiş Analiz Yapıyor

Gemini, önceki sistemlerin aksine yalnızca anahtar kelime analizi değil; reklamveren davranışı, hesap geçmişi, kampanya modeli ve niyet analizi dahil milyarlarca sinyali birlikte değerlendiriyor.

Google, ABD özelinde 2025 yılında 1,7 milyar reklamın kaldırıldığını ve 3,3 milyon hesabın askıya alındığını açıkladı.

Yanlış Engellemeler Azaldı

Şirket, yapay zekâ sistemlerinin gelişmesiyle birlikte yanlış reklamveren askıya alma oranının %80 azaldığını duyurdu. Ayrıca kullanıcı bildirimlerinin artık çok daha hızlı işlendiği belirtildi.

Gemini teknolojisinin daha fazla reklam formatına yayılmasıyla zararlı içeriklerin yayınlanmadan engellenmesi hedefleniyor.

Kaynak: Beykozun Sesi

Küresel eğitim yayıncısı McGraw Hill, 13,5 milyon kullanıcı hesabını etkileyen veri ihlalini doğruladığını açıkladı. Şirket, saldırının Salesforce üzerinde bulunan bir yapılandırma hatasının istismar edilmesi sonucu gerçekleştiğini bildirdi.

Şirket sözcüsü yaptığı açıklamada, “Salesforce platformunda barındırılan bir web sayfasından sınırlı veri setine yetkisiz erişim tespit ettik. Bu durum, platform ortamındaki daha geniş kapsamlı bir yapılandırma sorunuyla bağlantılı görünüyor.” ifadelerini kullandı.

 ShinyHunters Verileri Sızdırdı

Siber suç grubu ShinyHunters, saldırıyı üstlenerek McGraw Hill’i veri sızıntısı sitesine ekledi. Grup, başlangıçta 45 milyon kayıt içeren veri çaldığını iddia ederek fidye talebinde bulundu.

Veri ihlali takip platformu Have I Been Pwned ise saldırganların 100 GB’tan fazla veriyi kamuya açık şekilde yayımladığını ve 13,5 milyon benzersiz e-posta adresinin ifşa edildiğini duyurdu.

Kişisel Veriler Risk Altında

Sızdırılan veriler arasında kullanıcıların isimleri, fiziksel adresleri, telefon numaraları ve e-posta bilgileri bulunduğu belirtildi. Uzmanlar, bu bilgilerin özellikle hedefli oltalama (spear-phishing) saldırılarında kullanılabileceği uyarısında bulundu.

McGraw Hill, olayın şirketin ana sistemlerini, müşteri veritabanlarını veya eğitim içeriklerini doğrudan etkilemediğini savundu.

 Geniş Çaplı Saldırı Dalgası

Yetkililer, olayın Salesforce altyapısındaki bir yanlış yapılandırmanın birden fazla kuruluşu etkileyen daha geniş bir sorunun parçası olabileceğini değerlendirdi.

ShinyHunters grubunun son dönemde Avrupa Komisyonu, SoundCloud, Panera Bread ve Match Group gibi çok sayıda kurumu hedef alan saldırılarla da bağlantılı olduğu aktarıldı.

Ayrıca grubun, ABD merkezli oyun şirketi Rockstar Games’e yönelik bir başka saldırıda elde edilen verileri de sızdırmaya başladığı bildirildi. Sızdırılan veriler arasında oyun içi ekonomi, kullanıcı davranışları ve gelir analizlerine ilişkin bilgiler bulunduğu ifade edildi.

Kaynak: Beykozun Sesi

ABD Adalet Bakanlığı, Kuzey Kore bağlantılı bir bilişim ağına destek verdikleri gerekçesiyle iki ABD vatandaşının hapis cezasına çarptırıldığını duyurdu. Kejia Wang ve Zhenxing Wang, Kuzey Koreli uzaktan çalışan IT personelinin ABD’de yaşıyormuş gibi görünmesini sağlayarak çok sayıda şirkete yerleşmelerine yardım etmekle suçlandı.

Mahkeme belgelerine göre, 2021 ile Ekim 2024 arasında yürütülen faaliyetler kapsamında iki sanığın Kuzey Kore hükümeti için 5 milyon dolardan fazla yasa dışı gelir elde ettiği, ABD şirketlerine ise yaklaşık 3 milyon dolar zarar verdiği belirtildi.

 Sahte Kimlikler ve Paravan Şirketler Kullanıldı

Sanıkların, Kuzey Koreli çalışanları meşru ABD şirketleriyle bağlantılı gibi göstermek için sahte finansal hesaplar, internet siteleri ve paravan şirketler kurduğu tespit edildi. Bu şirketler arasında Tony WKJ LLC, Hopana Tech LLC ve Independent Lab LLC’nin yer aldığı aktarıldı.

Yetkililer, söz konusu çalışanların 80’den fazla ABD vatandaşına ait çalıntı kimlikleri kullanarak işe alındığını açıkladı.

“Ulusal Güvenliğe Zarar Verdi”

ABD Ulusal Güvenlikten Sorumlu Başsavcı Yardımcısı John A. Eisenberg, “Sanıklar yıllar boyunca Kuzey Koreli aktörlere yardım ederek ABD şirketlerine sızmalarını sağladı ve bu durum ulusal güvenliğe zarar verdi.” ifadelerini kullandı.

Zhenxing Wang’ın ayrıca şirket dizüstü bilgisayarlarını ABD’de farklı adreslerde barındırarak Kuzey Koreli çalışanların şirket ağlarına şüphe çekmeden erişmesini sağladığı kaydedildi.

 Hapis Cezaları ve Firariler

Kejia Wang, Eylül 2025’te suçunu kabul ettikten sonra 108 ay hapis cezası aldı. Zhenxing Wang ise Ocak 2026’da suçunu kabul ederek 92 ay hapis cezasına çarptırıldı.

Aynı soruşturma kapsamında suçlanan 9 kişinin ise halen firari olduğu belirtildi. ABD Dışişleri Bakanlığı, bu kişilere ilişkin bilgi sağlayanlara 5 milyon dolara kadar ödül verileceğini açıkladı.

 FBI’dan Yıllardır Süren Uyarı

FBI, 2023 yılından bu yana Kuzey Kore bağlantılı aktörlerin ABD merkezli IT çalışanı gibi davranarak şirketlere sızdığı konusunda uyarılarda bulunuyordu.

Yetkililer, Kuzey Kore’nin binlerce kişiden oluşan bir IT çalışan ağıyla yüzlerce ABD şirketinde sahte kimliklerle istihdam sağladığını ve bu yöntemle gelir elde ettiğini belirtti.

Kaynak: Beykozun Sesi

Nginx UI için geliştirilen yönetim arayüzünde ortaya çıkan kritik güvenlik açığının aktif olarak istismar edildiği bildirildi. CVE-2026-33032 olarak takip edilen açık, kimlik doğrulama olmadan tam sunucu kontrolü sağlanmasına imkan tanıyor.

ABD Ulusal Güvenlik Açıkları Veritabanı’nda (NVD) yer alan açıklamada, “Herhangi bir ağ saldırganı, kimlik doğrulama olmadan tüm MCP araçlarını çalıştırabilir ve nginx hizmetini tamamen ele geçirebilir.” ifadelerine yer verildi.

 Korumasız Uç Nokta Kritik Risk Oluşturdu

Açığın, Nginx UI içinde bulunan “/mcp_message” uç noktasının korunmamasından kaynaklandığı belirtildi. Bu zafiyet sayesinde saldırganların, ayrıcalıklı Model Context Protocol (MCP) işlemlerini yetkisiz şekilde çalıştırabildiği kaydedildi.

Bu işlemler arasında nginx yapılandırma dosyalarını değiştirme, silme, yeniden oluşturma ve servisi yeniden başlatma gibi kritik yetkilerin bulunduğu aktarıldı. Uzmanlar, tek bir kimliksiz isteğin bile sunucu davranışını tamamen değiştirebildiğini vurguladı.

Aktif İstismar ve Yaygın Risk

Tehdit istihbarat şirketi Recorded Future, söz konusu açığın halihazırda saldırganlar tarafından aktif şekilde kullanıldığını açıkladı. Pluto Security AI tarafından yapılan internet taramalarında, yaklaşık 2.600 açık Nginx UI örneğinin saldırıya açık olduğu tespit edildi.

Bu sistemlerin büyük bölümünün Çin, ABD, Endonezya, Almanya ve Hong Kong’da bulunduğu belirtildi.

Pluto Security’den Yotam Perkal, saldırının teknik işleyişine ilişkin, “Saldırı yalnızca ağ erişimi gerektiriyor ve SSE bağlantısı üzerinden MCP oturumu başlatılarak gerçekleştiriliyor.” değerlendirmesinde bulundu.

Saldırı Nasıl Gerçekleşiyor?

Güvenlik raporlarına göre saldırganlar, kimlik doğrulama olmadan hedef sisteme bağlanarak MCP oturumu açıyor ve elde ettikleri “sessionID” ile komut gönderiyor.

Bu yöntemle saldırganların;

• Yapılandırma dosyalarını okuma ve dışa aktarma
• Zararlı yapılandırma ekleme
• Nginx’i yeniden yükleme
• Sistemi tamamen kontrol altına alma

gibi işlemleri gerçekleştirebildiği ifade edildi.

 Güncelleme Çağrısı

Nginx UI, açığın keşfedilmesinin ardından 2.3.4 sürümüyle ilk düzeltmeyi yayımladı. Daha sonra yayınlanan teknik detaylar ve örnek saldırı kodları (PoC) sonrası riskin arttığı belirtildi.

Uzmanlar, en güncel güvenli sürüm olan 2.3.6’nın derhal yüklenmesi gerektiğini vurgulayarak sistem yöneticilerine acil güncelleme çağrısında bulundu.

Kaynak: Beykozun Sesi

Kırgızistan merkezli Grinex, 13,7 milyon dolarlık siber saldırıya uğradığını ve operasyonlarını askıya aldığını duyurdu. Platformdan yapılan açıklamada, saldırının Rus kullanıcıların kripto cüzdanlarını hedef aldığı bildirildi.

Grinex yetkilileri, saldırının arkasında “benzeri görülmemiş kaynak ve teknolojiye sahip yabancı istihbarat ajanslarıyla bağlantılı aktörlerin” bulunduğunu iddia ederek, “Ön veriler saldırının Rusya’nın finansal egemenliğine doğrudan zarar vermeyi amaçladığını göstermektedir.” ifadelerini kullandı.

 Rusya Bağlantısı ve Yaptırımlar

2025 yılı başlarında kurulan Grinex’in, daha önce yasa dışı işlemler ve kara para aklama iddialarıyla gündeme gelen Rus kripto borsası Garantex’in yeniden markalanmış hali olduğu öne sürüldü. ABD Hazine Bakanlığı, Ağustos 2025’te yaptığı açıklamada, Grinex’in Garantex faaliyetlerinin devamı niteliğinde olduğunu belirterek yaptırım uygulandığını duyurmuştu.

Platformun, Rusya’daki bireyler ve şirketler için kripto-ruble işlemleri ve yaptırımları aşmaya yönelik finansal araçlar sunduğu ifade edildi. Bu kapsamda, Garantex’ten devralındığı belirtilen ruble destekli stablecoin A7A5’in kullanıldığı aktarıldı.

Saldırının Teknik Detayları

Blockchain analiz şirketi Elliptic, saldırının çarşamba günü saat 12.00 UTC’de gerçekleştiğini belirtti. Çalınan fonların TRON ve Ethereum adreslerine aktarıldığı, ardından SunSwap adlı merkeziyetsiz platform üzerinden TRX ve ETH’ye dönüştürüldüğü kaydedildi.

TRM Labs ise saldırıyla bağlantılı 70 farklı kripto adresi tespit edildiğini açıkladı. Şirket ayrıca, Kırgızistan merkezli bir diğer borsa olan TokenSpot’ta da ikinci bir saldırı gerçekleştiğini bildirdi.

Bağımsız Raporlarda Somut Kanıt Yok

TRM Labs, TokenSpot’un Husi bağlantılı para aklama faaliyetleri, silah tedariki ve Moldova’daki InfoLider etki operasyonlarıyla bağlantılı olabileceğini öne sürdü. Bu faaliyetlerin Rusya’nın stratejik hedefleriyle örtüştüğü ifade edildi.

Öte yandan, ne Grinex açıklamasında ne de Elliptic ve TRM Labs raporlarında saldırının Batılı istihbarat servisleri tarafından gerçekleştirildiğine dair somut teknik kanıt veya doğrulanmış bulgu sunulmadı.

Kaynak: Beykozun Sesi

Kurbanların bilgisayarına erişim sağlamak için saldırganlar Quick Assist uzaktan erişim aracını kullanıyor ve bu oturum üzerinden dijital olarak imzalanmış MSI yükleyiciler aracılığıyla A0Backdoor malware paketini kuruyor. Bu yükleyiciler, Microsoft Teams bileşenleri ve Phone Link uygulamasının CrossDeviceService aracı olarak maskeleniyor.

DLL Sideloading ve Shellcode Kullanımı

Kötü amaçlı kütüphane hostfxr.dll, meşru Microsoft ikili dosyalarıyla birlikte yüklenerek DLL sideloading yöntemiyle çalıştırılıyor. Belleğe yüklendiğinde, kütüphane şifrelenmiş veya sıkıştırılmış veriyi çözüp shellcode yürütüyor. Shellcode, sanal ortam ve sandbox kontrolleri yapıyor, ardından SHA-256 tabanlı bir anahtar oluşturup AES ile şifrelenmiş A0Backdoor’u belleğe çıkarıyor.

Malware, çekirdek rutinlerini çözüp Windows API çağrıları (DeviceIoControl, GetUserNameExW, GetComputerNameW) kullanarak sistem bilgisini topluyor ve hedef cihazı tanımlıyor.

Komut ve Kontrol İletişimi DNS Üzerinden Gizleniyor

A0Backdoor, C2 (Command-and-Control) iletişimini DNS MX kayıtları üzerinden gerçekleştiriyor. Kötü amaçlı yazılım, yüksek entropili alt alan adlarıyla şifrelenmiş meta veriyi genel recursive DNS sunucularına gönderiyor. Sunucular, MX kayıtlarıyla şifrelenmiş komut verilerini geri iletiyor. BlueVoyant, bu yöntemin TXT tabanlı DNS tünelleme kontrollerinden kaçınmak için kullanıldığını belirtiyor.

Hedefler ve Bağlantılar

Araştırmacılar, kampanyanın hedefleri arasında Kanada’daki bir finans kuruluşu ve uluslararası bir sağlık kuruluşu olduğunu açıkladı. Rapor, kampanyanın BlackBasta fidye yazılım grubunun taktik ve tekniklerinin evrimleşmiş bir versiyonu olabileceğini öne sürüyor. Daha önce BlackBasta grubu iç sohbet kayıtlarının sızdırılması sonrası dağılmıştı.

BlueVoyant, imzalı MSI’ler, kötü amaçlı DLL’ler, A0Backdoor payload’u ve DNS MX tabanlı C2 iletişiminin bu kampanyada yeni öğeler olduğunu vurguladı.

Kaynak: Beykozun Sesi

Hollandalı yetkililer, saldırıların büyük ölçüde kimlik avı (phishing) ve sosyal mühendislik tekniklerine dayandığını ve uygulamaların meşru kimlik doğrulama özelliklerinin kötüye kullanıldığını belirtti. Bu yöntemle saldırganların hedef hesaplara erişim sağlayarak yeni mesajları gizlice takip edebildiği kaydedildi.

Signal tarafından yapılan açıklamada ise platformun altyapısı veya uçtan uca şifreleme sisteminin ihlal edilmediği vurgulandı. Signal açıklamasında, “Hedefli kimlik avı saldırıları sonucu bazı kullanıcı hesaplarının ele geçirildiğine dair raporların farkındayız. Signal’in şifreleme altyapısı etkilenmemiştir.” ifadeleri kullanıldı.

Sahte Signal Destek Mesajları Kullanılıyor

Yetkililere göre saldırganların kullandığı yöntemlerden biri, kullanıcıları sahte bir “Signal Security Support Chatbot” hesabı üzerinden kandırmak. Bu mesajlarda kullanıcılara cihazlarında şüpheli etkinlik tespit edildiği iddia edilerek doğrulama işlemi yapmaları gerektiği bildiriliyor.

Sahte mesajda kullanıcıdan telefonuna gönderilen SMS doğrulama kodu veya Signal PIN bilgisini paylaşması isteniyor. Bu bilgilerin paylaşılması durumunda saldırganların hesabı kendi cihazlarına kaydedebildiği ve hesabın kontrolünü ele geçirebildiği belirtildi.

Hollanda istihbarat birimleri, saldırganların hesabı ele geçirdikten sonra telefon numarasını değiştirebildiğini, böylece kullanıcının kişiler listesine ve gelen mesajlarına erişim sağlayabildiğini açıkladı. Ayrıca ele geçirilen hesap üzerinden başka kişilere mesaj gönderilerek kullanıcının kimliğine bürünülmesinin de mümkün olduğu ifade edildi.

QR Kod ve Cihaz Bağlama Özelliği de Kullanılıyor

Yetkililer ikinci saldırı yönteminde ise Signal ve WhatsApp’ın cihaz bağlama (device linking) özelliğinin kötüye kullanıldığını belirtti. Saldırganlar hedef kişilere sahte bir sohbet daveti veya bağlantı gibi görünen zararlı QR kodları veya bağlantılar gönderiyor.

Kullanıcı bu QR kodunu taradığında veya bağlantıyı açtığında, saldırganın cihazı kurbanın hesabına bağlı bir cihaz olarak eklenebiliyor. Bu sayede saldırganların mesaj geçmişini okuyabildiği, sohbetleri gerçek zamanlı takip edebildiği ve kullanıcının adına mesaj gönderebildiği bildirildi.

Uzmanlar, bu yöntemde hesap sahibinin erişiminin çoğu zaman devam ettiğini ve bu nedenle ihlalin fark edilmesinin daha zor olabildiğini vurguladı.

İstihbarat Kurumlarından Güvenlik Tavsiyesi

Hollanda istihbarat kurumları, kullanıcıların mesajlaşma uygulamalarında hassas veya gizli bilgileri paylaşmadan önce kurum politikalarını kontrol etmeleri gerektiğini belirtti. Ayrıca Signal ve WhatsApp hesaplarında bağlı cihazların düzenli olarak kontrol edilmesi ve bilinmeyen cihazların derhal kaldırılması tavsiye edildi.

Yetkililer ayrıca doğrulanmamış bağlantılar, QR kodları veya davet mesajlarına karşı dikkatli olunması gerektiğini belirterek bu tür mesajların mümkünse farklı bir güvenilir iletişim kanalı üzerinden doğrulanmasını önerdi.

Kaynak: Beykozun Sesi

Merkezi İsveç’in Stockholm kentinde bulunan ve 1876 yılında kurulan Ericsson’un dünya genelinde yaklaşık 90 bin çalışanı bulunuyor. Şirket, küresel iletişim teknolojileri sektörünün önde gelen aktörleri arasında yer alıyor.

Saldırı Hizmet Sağlayıcı Üzerinden Gerçekleşti

Ericsson tarafından yapılan açıklamada, çalışan ve müşteri verilerini depolayan bir hizmet sağlayıcısının 28 Nisan 2025’te sistemlerinde bir ihlal tespit ettiği bildirildi. İhlalin tespit edilmesinin ardından ilgili sağlayıcının olayı ABD Federal Soruşturma Bürosu’na (FBI) bildirdiği ve olayın kapsamını belirlemek için harici siber güvenlik uzmanlarıyla çalıştığı ifade edildi.

Yürütülen inceleme sonucunda, bazı dosyalara 17 Nisan 2025 ile 22 Nisan 2025 tarihleri arasında yetkisiz erişim sağlanmış olabileceği tespit edildi. Ericsson açıklamasında, “Yapılan araştırma sonucunda hizmet sağlayıcımız, sınırlı sayıdaki bazı dosyalara yetkisiz erişim sağlanmış veya bu dosyaların ele geçirilmiş olabileceğini belirledi.” ifadelerine yer verildi.

Binlerce Kişinin Verisi Etkilenmiş Olabilir

Teksas Başsavcılığı’na yapılan ayrı bir bildirimde ise veri ihlalinin yalnızca Teksas eyaletinde 4 bin 377 kişiyi etkilediği belirtildi. Olayın toplamda kaç kişiyi etkilediğine ilişkin ise resmi bir rakam paylaşılmadı.

Yetkililer, ihlal kapsamında açığa çıkmış olabilecek bilgiler arasında isim, adres, Sosyal Güvenlik numarası, ehliyet numarası, devlet tarafından verilen kimlik numaraları, finansal hesap bilgileri, kredi veya banka kartı numaraları, tıbbi bilgiler ve doğum tarihleri gibi hassas verilerin bulunabileceğini bildirdi.

Kimlik Koruma Hizmeti Sunulacak

Ericsson, olaydan etkilenmiş olabilecek kişilere IDX kimlik koruma hizmeti sağlayacağını açıkladı. Bu kapsamda ücretsiz kredi izleme, karanlık web izleme, kimlik hırsızlığı kurtarma desteği ve 1 milyon dolara kadar kimlik dolandırıcılığı zarar sigortası sunulacağı bildirildi.

Şirket, söz konusu hizmetten yararlanmak isteyen kişilerin 9 Haziran 2026 tarihine kadar kayıt yaptırabileceğini duyurdu.

Saldırının Arkasında Kim Var Belirsiz

Ericsson, olayı veri hırsızlığı saldırısı olarak nitelendirirken saldırının arkasındaki siber suç grubuna ilişkin herhangi bir açıklama yapılmadı. Olayın ardından henüz hiçbir siber suç grubunun saldırıyı üstlenmediği belirtildi.

Konuyla ilgili ek bilgi talebine yanıt veren Ericsson sözcüsü ise şirketin şu aşamada bildirim mektuplarında yer alan bilgiler dışında paylaşılacak ek bir detay bulunmadığını ifade etti.

Kaynak: Beykozun Sesi

Güvenlik analizlerine göre açık, V8 motorunda meydana gelen bir integer overflow hatasından kaynaklanıyor. JavaScript kodlarının çalıştırılmasından sorumlu olan motorun, belirli sayısal değerlerin beklenen sınırları aşması durumunda hatalı bellek işlemleri gerçekleştirebildiği belirtildi.

Uzmanlar, saldırganların özel olarak hazırlanmış içerikleri hedef sistemlere göndererek heap memory corruption oluşturabileceğini ifade etti. Resmî güvenlik duyurularında açık doğrudan uzaktan kod çalıştırma (RCE) olarak sınıflandırılmasa da, bellek bozulmasının bazı saldırı senaryolarında daha ileri düzey istismarların önünü açabileceği kaydedildi.

Chromium Tabanlı Tarayıcılar Etkileniyor

Güvenlik açığının Google Chrome, Microsoft Edge, Brave ve diğer Chromium tabanlı tarayıcıların 140.0.7339.207 sürümünden önceki versiyonlarını etkilediği bildirildi. Uzmanlar, PoC kodunun kamuya açık hâle gelmesinin saldırı riskini artırabileceğine dikkat çekti.

Yayımlanan PoC’nin, güvenlik araştırmacılarının açığın teknik etkilerini analiz edebilmesine olanak sağladığı ancak aynı zamanda kötü niyetli aktörler tarafından da incelenebileceği belirtildi.

Güncelleme Yayımlandı

Google tarafından yayımlanan güvenlik güncellemesi ile söz konusu açığın Chrome 140.0.7339.207 ve 140.0.7339.208 sürümlerinde giderildiği açıklandı. Kullanıcılara tarayıcılarını en kısa sürede güncellemeleri çağrısı yapıldı.

Uzmanlar, güncelleme yapılmadığı sürece eski sürümlerin saldırılara açık kalabileceğini belirterek kullanıcıların Ayarlar → Chrome Hakkında → Güncelle → Yeniden Başlat adımlarını izleyerek tarayıcılarını güncellemesi gerektiğini vurguladı.

Kaynak: Beykozun Sesi

Geliştirici, API anahtarının nasıl sızdırıldığını henüz kesin olarak tespit edemediğini belirtirken saldırganların ele geçirilen anahtarı kullanarak büyük ölçekli yapay zekâ istekleri oluşturduğu ifade edildi.

Binlerce Açık API Anahtarı Tespit Edildi

Siber güvenlik firması Truffle Security tarafından yapılan araştırmada, kamuya açık internet sitelerinde 2 bin 863 adet Google API anahtarının erişilebilir durumda olduğu tespit edildi. Araştırmacılar, ilgili projelerde Gemini API etkinleştirildiğinde bu anahtarların doğrulama için kullanılabildiğini açıkladı.

Araştırma raporunda Google’ın söz konusu durumu başlangıçta “beklenen davranış” (intended behavior) olarak değerlendirdiği ifade edildi. Ancak uzmanlar, kamuya açık API anahtarlarının ciddi güvenlik ve maliyet riskleri oluşturduğunu vurguladı.

Tek Bir Anahtar Büyük Maliyetlere Yol Açabiliyor

Siber güvenlik uzmanları, saldırganların çoğu zaman doğrudan sunuculara saldırmak yerine sızdırılmış API anahtarlarını hedef aldığını belirtti. Bu anahtarlar ele geçirildiğinde saldırganların yüksek hacimli yapay zekâ işlemleri çalıştırabildiği, bulut servislerini kötüye kullanabildiği ve kısa sürede yüksek maliyetli işlem yükleri oluşturabildiği aktarıldı.

Uzmanlar, “Sızdırılmış bir API anahtarı saldırganlara kontrolsüz erişim sağlayabilir ve bu durum binlerce dolarlık işlem maliyetinin kullanıcıya yansımasına neden olabilir.” değerlendirmesinde bulundu.

Güvenlik Uzmanlarından Temel Önlem Uyarısı

Uzmanlar, bu tür olayların önlenmesi için API anahtarlarının ön uç (frontend) kodlarında veya herkese açık depolarda paylaşılmaması gerektiğini belirtti. Ayrıca doğrudan API erişimi yerine sunucu taraflı proxy kullanılması, anahtarların IP veya alan adı kısıtlamalarıyla sınırlandırılması ve kullanım kotaları ile faturalandırma uyarılarının aktif edilmesi önerildi.

Güvenlik ekipleri ayrıca API anahtarlarının düzenli olarak yenilenmesi ve API kullanımında olağan dışı artışların sürekli izlenmesi gerektiğini vurguladı.

Kaynak: Beykozun Sesi

Siber güvenlik araştırmacıları tarafından paylaşılan bilgilere göre saldırganlar, özel olarak hazırlanmış istekler göndererek kimlik doğrulama sürecini tamamen atlayabiliyor. Bu sayede sisteme giriş yapmadan yetkili erişim elde edilebildiği ifade edildi.

PoC Kodları Uzaktan Kod Çalıştırmayı Hedefliyor

Yayımlanan PoC paketinin Python betikleri ve JSP tabanlı webshell dosyaları içerdiği bildirildi. Bu araçların kimlik doğrulama öncesi uzaktan kod çalıştırma (pre-authentication remote code execution) saldırıları için kullanılabileceği aktarıldı.

Siber güvenlik analizlerinde, saldırının başarılı olması durumunda saldırganların NETCONF protokolü üzerinden 830 numaralı port aracılığıyla SD-WAN altyapı yapılandırmalarını okuyabildiği ve değiştirebildiği belirtildi. Ayrıca saldırganların kontrol veya yönetim düzlemine sahte eşler (rogue peers) ekleyebildiği kaydedildi.

Birden Fazla Sürüm Etkileniyor

Açığın 20.6 ile 20.18.x arasındaki birçok SD-WAN sürümünü etkilediği bildirildi. Güvenlik güncellemesi yayımlanan sürümler arasında 20.9.8.2 ve 20.18.2.1 gibi yamalı versiyonların yer aldığı açıklandı.

Araştırmacılar ayrıca saldırganların sistemi daha eski bir sürüme düşürerek CVE-2022-20775 güvenlik açığını kullanabildiğini belirtti. Bu yöntemle kök (root) seviyesinde yetki yükseltmesi sağlanabildiği, ardından sistemin tekrar güncel sürüme döndürülerek izlerin gizlenebildiği ifade edildi.

Ağ İçinde Yatay Hareket Riski

Uzmanlar, sistem kontrolünün ele geçirilmesi durumunda saldırganların sisteme SSH anahtarları ekleyebileceğini, meşru kullanıcıları taklit edebileceğini ve günlük kayıtlarını silebileceğini bildirdi. Özellikle /var/log dizinindeki logların silinmesi ve komut geçmişinin temizlenmesi gibi iz gizleme yöntemlerinin kullanılabileceği vurgulandı.

Saldırganların NETCONF veya SSH üzerinden ağ içinde yatay hareket ederek farklı sistemlere erişim sağlayabileceği de kaydedildi.

Cisco’dan Güncelleme ve Güvenlik Uyarısı

Cisco tarafından yayımlanan güvenlik duyurusunda sistem yöneticilerine etkilenen sürümlerin acilen güncellenmesi çağrısı yapıldı. Ayrıca kullanılmayan peering bağlantılarının devre dışı bırakılması ve şüpheli kullanıcı hesapları, boş log kayıtları veya sürüm düşürme izleri gibi göstergelerin yakından izlenmesi gerektiği belirtildi.

Kaynak: Beykozun Sesi

Signal tarafından paylaşılan güvenlik bilgilendirmesinde, saldırganların kullanıcılara “cihazınızda şüpheli etkinlik tespit edildi” şeklinde mesajlar gönderdiği belirtildi. Mesajlarda hesap güvenliğini sağlama bahanesiyle SMS doğrulama kodunun paylaşılmasının istendiği aktarıldı.

Şirket, bu kodun paylaşılması durumunda saldırganların kullanıcının Signal hesabını ele geçirebileceğine dikkat çekti. Signal tarafından yapılan bilgilendirmede, “Doğrulama kodunun üçüncü kişilerle paylaşılması, hesabın kontrolünün kaybedilmesine yol açabilir.” ifadelerine yer verildi.

Sosyal Mühendislik Yöntemi Kullanılıyor

Signal güvenlik rehberinde, saldırıların teknik bir açık yerine kullanıcıların güvenini hedef alan sosyal mühendislik yöntemleriyle gerçekleştirildiği vurgulandı. Sahte destek hesaplarının genellikle hızlı hareket edilmesi gerektiğini belirten mesajlar göndererek kullanıcıları baskı altına almaya çalıştığı ifade edildi.

Şirket, kullanıcıların özellikle doğrulanmamış hesaplardan gelen mesajlara karşı dikkatli olması gerektiğini belirtti. Açıklamada, “Signal hiçbir zaman kullanıcılardan doğrulama kodu veya giriş bilgilerini talep etmez.” uyarısı yapıldı.

Kullanıcılara Güvenlik Tavsiyeleri

Signal, olası hesap ele geçirme girişimlerine karşı bazı temel güvenlik önlemlerini de paylaştı. Buna göre kullanıcıların SMS doğrulama kodlarını hiçbir kişi veya bot ile paylaşmaması, şüpheli bağlantılara tıklamaması ve güvenilir olmayan mesajlara karşı dikkatli olması gerektiği belirtildi.

Şirket, güvenlik farkındalığının artırılmasının bu tür saldırıların önlenmesinde kritik rol oynadığını kaydetti.

Kaynak: Beykozun Sesi

TPM ve SPI Yapısı
Cihazda kullanılan Infineon SLB9670 TPM 2.0, cihaz şifreleme anahtarlarını NV (Non-Volatile) alanında saklıyor. Önyükleme sırasında SoC, TPM2_NV_Read komutu ile NV indeksinden anahtarı talep ediyor. Yanıt, SPI hattı üzerinden okunabilir şekilde iletiliyor ve fiziksel erişime sahip bir saldırgan tarafından ele geçirilebiliyor.

Donanım ve Yazılım Analizi
Çalışmada, Logic 8 Saleae 8 kanallı mantık analizörü kullanılarak SPI hattı pasif olarak izlendi. Firmware içinde tespit edilen generate-keys betiği, tpm2_nvread komutunu çalıştırarak LUKS anahtarını NV indeksinden çekiyor. Analiz sırasında alınan MISO/MOSI verileri işlenerek anahtar binary olarak çıkarıldı ve doğruluğu eMMC chipinden yapılan testlerle doğrulandı.

Tespit Edilen Riskler ve Önlemler
Fiziksel erişimi olan bir saldırgan, TPM 2.0 çip ile SoC arasındaki SPI hattını izleyerek disk şifre anahtarını ele geçirebilir. Trusted Computing Group (TCG) tarafından önerilen mitigasyonlar arasında, komut ve yanıt parametrelerinin şifrelenmesi için yetkilendirme oturumları (bound/salted sessions) kullanılması yer alıyor. Salted session kullanımı, kullanıcı girişi olmadan da parametre güvenliği sağlarken, bound session yalnızca yüksek entropili authValue ile koruma sunuyor.

Sonuç ve Öneriler
Araştırma, TPM tabanlı korumanın yalnızca masaüstü veya dizüstü bilgisayarlara özgü olmadığını, gömülü ve endüstriyel cihazlarda da TPM bus sniffing riskinin bulunduğunu ortaya koyuyor. Moxa, güvenlik açığını CVE-2026-0714 olarak kaydetti ve kullanıcıların TPM bus korumasını sağlamak için TCG kılavuzlarına uyması öneriliyor.

Kaynak: Beykozun Sesi

Dava dosyasına göre 14 Ağustos 2025’te Marquis’in ağı, bir SonicWall güvenlik duvarının ele geçirilmesi sonrasında fidye yazılımı saldırısına uğradı. Saldırganın, iş ortaklarından alınan kişisel verileri içeren dosyaları çaldığı belirtildi.

Çalınan veriler arasında isim, adres, telefon numarası, Sosyal Güvenlik numarası, Vergi Kimlik Numarası ve finansal hesap bilgilerinin yer aldığı kaydedildi.

700’den fazla banka, kredi birliği ve ipotek kuruluşuna veri analitiği, CRM araçları, uyum raporlaması ve dijital pazarlama hizmetleri sunan Marquis, Ocak 2026’da saldırının nedenine ilişkin resmi suçlamasını açıkladı.

Marquis, ilk etapta saldırının yamalanmamış bir güvenlik açığından kaynaklandığının düşünüldüğünü, ancak daha sonra saldırganın SonicWall’ın bulut yedekleme altyapısından sızdırılan yapılandırma verilerini kullandığının belirlendiğini ifade etti.

Şirket, ihlalin kaynağının SonicWall’ın MySonicWall bulut yedekleme hizmetinde Şubat 2025’te yapılan bir API kod değişikliğiyle ortaya çıkan güvenlik boşluğu olduğunu öne sürdü. Söz konusu açığın, SonicWall bulutunda saklanan güvenlik duvarı yapılandırma yedek dosyalarına yetkisiz erişime izin verdiği iddia edildi.

Bu yedek dosyaların AES-256 ile şifrelenmiş kimlik bilgileri, yapılandırma verileri ve çok faktörlü kimlik doğrulama (MFA) “scratch code” bilgilerini içerdiği belirtildi.

Marquis, SonicWall’ın olayı üç hafta sonra açıkladığını ve başlangıçta müşteri tabanının yüzde 5’inin etkilendiğini bildirdiğini, daha sonra ise tüm müşterilerin etkilendiğini doğruladığını ileri sürdü.

Olay müdahale firması Mandiant tarafından yürütülen soruşturmada saldırının devlet destekli hackerlar tarafından gerçekleştirildiğinin belirlendiği aktarıldı.

Marquis, saldırı anında kendi SonicWall güvenlik duvarının güncel olduğunu, MFA’nın etkin bulunduğunu ve ek güvenlik kontrollerinin devrede olduğunu savundu. Şirket, tehdit aktörünün SonicWall bulut yedekleme ihlalinde ortaya çıkan bilgiler sayesinde sistemi ele geçirdiğini iddia etti.

Dava dilekçesinde, Marquis’in MFA atlatma konusunu doğrudan SonicWall’a ilettiği ancak kritik bilgilerin paylaşılmadığı ve taleplerin görmezden gelindiği öne sürüldü.

Şikâyet metninde, “SonicWall’ın eylemleri sonucunda Marquis zarar görmüş ve görmeye devam etmektedir; müşteri kaybı, ticari itibar zedelenmesi, iş fırsatlarının, gelir ve kârın kaybı ile şirket değerinde ciddi düşüş yaşanmıştır.” ifadelerine yer verildi.

Marquis ayrıca, yaşanan fidye yazılımı saldırısının ardından 36’dan fazla tüketici toplu davasına karşı savunma yürüttüğünü bildirdi.

Şirket, SonicWall’dan parasal tazminat, ilgili toplu davalardaki olası hükümlere katkı ve rücu hakkı, avukatlık ücretleri ile hakkaniyete uygun diğer giderlerin karşılanmasını talep ediyor.

Kaynak: Beykozun Sesi

Google’ın açıklamasına göre kampanya en az 2023 yılından bu yana aktif ve 42 ülkede 53 kurumu etkiledi. En az 20 ülkede daha şüpheli bulaşma tespit edildiği belirtildi. İlk erişim vektörü netleşmezken, araştırmacılar UNC2814’ün geçmişte web sunucuları ve uç sistemlerdeki açıkları istismar ederek ağlara sızdığını kaydetti.

Google Sheets Üzerinden Gizlenen Komuta Trafiği

Son kampanyada tehdit aktörünün, C dilinde yazılmış yeni bir arka kapı olan “GRIDTIDE” yazılımını kullandığı bildirildi. Google, GRIDTIDE’ın Google Sheets API’yi kötüye kullanarak komuta-kontrol (C2) iletişimini meşru SaaS trafiği içine gizlediğini açıkladı.

Analize göre GRIDTIDE, sabit kodlanmış bir özel anahtar kullanarak bir Google Servis Hesabı üzerinden kimlik doğrulaması yapıyor. Çalıştırıldığında, elektronik tabloda ilk 1000 satırı ve A’dan Z’ye kadar olan sütunları silerek ortamı temizliyor.

Zararlı yazılım daha sonra kullanıcı adı, ana bilgisayar adı, işletim sistemi bilgisi, yerel IP adresi, yerel ayar ve zaman dilimi gibi sistem bilgilerini toplayarak bu verileri V1 hücresine kaydediyor.

Komut ve durum hücresi olarak kullanılan A1 hücresi ise sürekli olarak kontrol ediliyor. Google, “GRIDTIDE, A1 hücresini düzenli olarak yoklayarak komut alır; komut varsa üzerine durum bilgisi yazar, yoksa belirli aralıklarla tekrar kontrol eder.” bilgisini paylaştı.

Uzaktan Komut, Yükleme ve Veri Çekme

GRIDTIDE’ın desteklediği komutlar arasında Base64 kodlu bash komutlarını çalıştırma, dosya yükleme ve indirme işlemleri bulunuyor. A2 ile An arasındaki hücreler komut çıktılarının yazılması, veri sızdırılması ve araç yüklenmesi için kullanılıyor.

Google, zararlı yazılımın C2 iletişiminde URL güvenli Base64 kodlama şeması kullandığını ve bunun web izleme araçları tarafından tespit edilmesini zorlaştırdığını belirtti. Bu sayede kötü amaçlı trafik normal Google Sheets trafiğiyle karışarak gizleniyor.

Google, en az bir vakada GRIDTIDE’ın hassas kişisel veriler (PII) içeren bir sistemde konuşlandırıldığını doğruladıklarını açıkladı. Ancak araştırmacılar doğrudan veri sızdırma faaliyetini gözlemlemediklerini bildirdi.

Altyapı Çökertildi Ancak Risk Sürüyor

Google, Mandiant ve ortaklarının koordineli şekilde UNC2814 tarafından kontrol edilen tüm Google Cloud projelerini sonlandırdığını, bilinen altyapıyı devre dışı bıraktığını, Google Sheets API erişimlerini iptal ettiğini ve komuta-kontrol operasyonlarında kullanılan bulut projelerini kapattığını duyurdu. Mevcut ve geçmişte kullanılan alan adlarının da sinkhole edildiği belirtildi.

Etkilenen kuruluşlara doğrudan bildirim yapıldığı ve sistemlerin temizlenmesi için destek sunulduğu kaydedildi. Google ayrıca raporun sonunda tespit kuralları ve ihlal göstergelerini (IoC) paylaştı.

Buna karşın Google, yapılan kapsamlı müdahaleye rağmen UNC2814’ün yakın gelecekte yeni altyapılarla faaliyetlerine yeniden başlamasını beklediklerini bildirdi.

Kaynak: Beykozun Sesi

Cisco, güvenlik açığının Avustralya Sinyal Müdürlüğü’ne bağlı Australian Cyber Security Centre (ACSC) tarafından bildirildiğini duyurdu. Şirket tarafından yayımlanan güvenlik bülteninde, sorunun eşler arası kimlik doğrulama mekanizmasının düzgün çalışmamasından kaynaklandığı belirtildi.

Cisco açıklamasında, “Bu güvenlik açığı, etkilenen sistemdeki eşleme kimlik doğrulama mekanizmasının düzgün çalışmaması nedeniyle ortaya çıkmaktadır. Bir saldırgan, özel olarak hazırlanmış istekler göndererek bu açığı istismar edebilir.” ifadelerine yer verildi.

Açıklamada ayrıca, başarılı bir istismarın saldırgana etkilenen SD-WAN Controller üzerinde yüksek ayrıcalıklı ancak root olmayan bir dahili kullanıcı hesabıyla oturum açma imkânı verebileceği belirtildi. Cisco, “Bu hesap kullanılarak NETCONF erişimi sağlanabilir ve SD-WAN yapısının ağ yapılandırması değiştirilebilir.” bilgisini paylaştı.

Sahte Eş Ekleyerek Ağa Sızma

Cisco Catalyst SD-WAN, şubeler, veri merkezleri ve bulut ortamlarını merkezi olarak yönetilen bir sistem üzerinden birbirine bağlayan yazılım tabanlı bir ağ platformu olarak kullanılıyor. Saldırganın sisteme kötü amaçlı bir sahte eş (rogue peer) eklemesi halinde, bu cihazın meşru gibi davranarak şifreli bağlantılar kurabileceği ve kendi kontrolündeki ağları duyurabileceği kaydedildi.

Bu yöntemin, saldırganların kurum ağında daha derine ilerlemesine ve kalıcı erişim sağlamasına imkân tanıyabileceği vurgulandı.

2023’ten Bu Yana Aktif İstismar

Cisco Talos tarafından yayımlanan ayrı bir güvenlik bülteninde, açığın “UAT-8616” adı altında izlenen faaliyetler kapsamında aktif olarak kullanıldığı belirtildi. Talos, yüksek güvenle değerlendirmesinde bu operasyonun “son derece sofistike bir tehdit aktörü” tarafından yürütüldüğünü bildirdi.

Talos telemetrilerine göre istismar faaliyetleri en az 2023 yılına kadar uzanıyor. İstihbarat ortaklarının değerlendirmesine göre saldırganın, önce yazılımı eski bir sürüme düşürerek CVE-2022-20775 açığını kullandığı, bu sayede root erişimi elde ettiği ve ardından sistem yazılımını tekrar güncel sürüme yükselttiği aktarıldı.

Bu yöntemle saldırganın hem kök erişim kazandığı hem de tespit edilmekten kaçınmayı hedeflediği ifade edildi.

CISA’dan Acil Direktif

Açığın istismarı, Cisco ile ABD ve İngiltere makamları arasında koordineli olarak kamuoyuna duyuruldu. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 25 Şubat 2026 tarihinde Acil Direktif 26-03 yayımladı.

CISA, Federal Sivil Yürütme Kurulu kurumlarına Cisco SD-WAN sistemlerinin envanterinin çıkarılması, adli bilişim verilerinin toplanması, günlüklerin harici ortamlarda saklanması, güncellemelerin uygulanması ve CVE-2026-20127 ile CVE-2022-20775 ile bağlantılı olası ihlallerin araştırılması talimatını verdi.

CISA, istismarın federal ağlar için “yakın ve ciddi bir tehdit” oluşturduğunu belirterek, cihazların 27 Şubat 2026 saat 17.00 ET’ye kadar yamalanmasını zorunlu kıldı.

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) Teknoloji Direktörü Ollie Whitehouse, “Yeni uyarımız, Cisco Catalyst SD-WAN ürünlerini kullanan kuruluşların ağ ihlali riskini acilen araştırması gerektiğini açıkça ortaya koymaktadır.” açıklamasında bulundu.

Whitehouse, “Birleşik Krallık’taki kuruluşlara, olası ihlalleri NCSC’ye bildirmeleri ve üretici güncellemelerini ve sıkılaştırma rehberlerini en kısa sürede uygulamaları tavsiye edilmektedir.” ifadelerini kullandı.

Güncelleme Tek Çözüm

Cisco, güvenlik açığını gidermek için yazılım güncellemeleri yayımladığını ve sorunu tamamen ortadan kaldıran herhangi bir geçici çözüm bulunmadığını açıkladı.

Cisco ve Talos, özellikle internete açık Catalyst SD-WAN Controller sistemlerinde yetkisiz eşleme olayları ve şüpheli kimlik doğrulama faaliyetleri için günlüklerin dikkatle incelenmesini önerdi. Yöneticilerin, bilinmeyen IP adreslerinden gelen “Accepted publickey for vmanage-admin” kayıtlarını analiz etmesi gerektiği belirtildi.

Ayrıca beklenmeyen root oturumları, yetkisiz SSH anahtarları, PermitRootLogin ayarındaki değişiklikler, günlük dosyalarının silinmesi veya küçülmesi, yazılım düşürme ve yeniden başlatma işlemleri potansiyel ihlal göstergeleri arasında sıralandı.

CISA ve NCSC, SD-WAN yönetim arayüzlerinin internete açık olmaması gerektiğini vurgulayarak, kontrol bileşenlerinin güvenlik duvarı arkasına alınması, günlüklerin harici sistemlere yönlendirilmesi ve Cisco’nun sıkılaştırma rehberinin uygulanması çağrısında bulundu.

Cisco, CVE-2026-20127 açığının tamamen giderilmesi için sabitlenmiş yazılım sürümüne yükseltme yapılmasının tek kalıcı çözüm olduğunu bildirdi.

Kaynak: Beykozun Sesi

Popüler bir JavaScript çerçevesi olan ve React üzerinde çalışan Next.js, Node.js altyapısıyla birlikte web uygulamaları geliştirmek için yaygın şekilde kullanılıyor. Microsoft, saldırganların bu popülerliği kullanarak sahte web uygulama projeleri oluşturduğunu ve bunları iş görüşmesi sürecinde aday geliştiricilerle paylaştığını bildirdi.

Araştırmacılar ilk olarak Bitbucket üzerindeki bir depoyu tespit etti. Ancak yapılan incelemelerde, benzer kod yapısı, yükleyici mantığı ve adlandırma kalıplarına sahip çok sayıda depo bulunduğu kaydedildi. Microsoft, bu durumun tekil bir saldırıdan ziyade koordineli bir operasyonu işaret ettiğini belirtti.

Birden Fazla Tetikleme Mekanizması

Microsoft’un paylaştığı teknik analizde, hedefin projeyi klonlayıp yerel ortamda açmasının ardından standart geliştirme süreci içinde kötü amaçlı JavaScript kodunun otomatik olarak çalıştığı aktarıldı.

Saldırı zincirine göre zararlı komut dosyası, saldırgana ait bir sunucudan ek bir JavaScript arka kapı kodu indiriyor ve bunu çalışan Node.js süreci içinde doğrudan bellekte yürütüyor. Bu yöntemle geliştiricinin makinesinde uzaktan kod çalıştırma (RCE) imkânı elde ediliyor.

Microsoft, enfeksiyon oranını artırmak amacıyla depolara birden fazla çalıştırma tetikleyicisi yerleştirildiğini açıkladı:

VS Code tetikleyicisi: .vscode/tasks.json dosyasında yer alan “runOn: 'folderOpen'” ayarı sayesinde proje klasörü açıldığı anda bir Node betiği otomatik olarak çalıştırılıyor.

Geliştirme sunucusu tetikleyicisi: Geliştirici “npm run dev” komutunu çalıştırdığında, değiştirilmiş bir JavaScript kütüphanesi gizli bir URL’yi çözüyor, uzaktaki sunucudan yükleyici indiriyor ve bunu bellekte çalıştırıyor.

Arka uç başlatma tetikleyicisi: Sunucu başlatıldığında bir arka uç modülü, .env dosyasındaki base64 kodlu uç noktayı çözüyor, process.env içeriğini saldırgana gönderiyor ve karşılık olarak gelen JavaScript kodunu “new Function()” ile yürütüyor.

İki Aşamalı Arka Kapı Yapısı

Microsoft’un analizine göre ilk aşamada (Stage 1) bırakılan JavaScript yükü, sistemi profilliyor ve bir komuta-kontrol (C2) sunucusuna kaydoluyor. Ardından sabit aralıklarla sunucuya bağlanarak komut bekliyor.

İkinci aşamada (Stage 2) ise ayrı bir C2 sunucusuna bağlanan görev denetleyicisi devreye giriyor. Bu aşamada sistem, uzaktan gönderilen JavaScript kodlarını bellekte çalıştırabiliyor, başlatılan süreçleri izleyebiliyor, dosya ve dizinleri listeleyebiliyor ve kademeli veri sızdırma gerçekleştirebiliyor.

Microsoft, kampanyada kullanılan depoların adlandırma düzeni, yükleyici yapısı ve altyapı bileşenleri arasında benzerlikler bulunduğunu vurguladı.

Araştırmacılar, saldırganın kimliği ya da operasyonun kapsamına ilişkin ayrıntı paylaşmadı.

Geliştiricilere Uyarı

Microsoft, geliştiricilerin “standart iş akışlarını dahi yüksek riskli saldırı yüzeyi olarak değerlendirmesi gerektiğini” belirtti. Şirket, VS Code Workspace Trust/Restricted Mode kullanımının zorunlu tutulmasını, Attack Surface Reduction kurallarının etkinleştirilmesini ve Entra ID Protection ile riskli oturum açmaların izlenmesini önerdi.

Ayrıca geliştirici uç noktalarında saklanan gizli anahtar ve kimlik bilgilerinin en aza indirilmesi, mümkün olan durumlarda kısa ömürlü ve en az ayrıcalığa sahip erişim belirteçlerinin kullanılması tavsiye edildi.

Kaynak: Beykozun Sesi

Yıllık yaklaşık 600 milyon dolar gelir elde eden, 4 bin 300 çalışanı bulunan ve cerrahi ekipmanlardan ortopedik uygulamalara kadar geniş bir ürün yelpazesinde faaliyet gösteren UFP Technologies, 14 Şubat’ta BT sistemlerinde şüpheli faaliyet tespit edildiğini bildirdi.

Şirket, olayın fark edilmesinin ardından sistemlerde izolasyon ve iyileştirme adımlarının derhal devreye alındığını, ayrıca soruşturma sürecine destek vermesi için harici siber güvenlik uzmanlarıyla çalışılmaya başlandığını açıkladı.

SEC dosyasında yer alan açıklamada, “Şirketin çabaları sonucunda, bu siber güvenlik olayından sorumlu üçüncü tarafın BT sistemlerinden çıkarıldığına inanılmaktadır ve olaydan etkilenen bilgilere erişim önemli ölçüde yeniden sağlanmıştır.” ifadelerine yer verildi.

Açıklamada ayrıca, “Olayın şirketin tüm BT sistemlerini değil ancak birçoğunu etkilediği, faturalama ve müşteri sevkiyatlarına yönelik etiketleme gibi işlevlerde aksamalara yol açtığı” belirtildi. Şirket, “Bazı şirket veya şirketle bağlantılı verilerin çalınmış ya da yok edilmiş olabileceğinin değerlendirildiğini” kaydetti.

Veri kaybı ve olası veri imhasına ilişkin ifadeler, olayın fidye yazılımı veya silici (wiper) türü bir zararlı yazılımla bağlantılı olabileceği ihtimalini gündeme getirdi. Ancak saldırının niteliği ve veri şifreleme ya da fidye talebi olup olmadığı konusunda resmi bir doğrulama yapılmadı.

UFP Technologies, şu aşamada kişisel verilerin sızdırılıp sızdırılmadığının netleşmediğini belirtti. İlerleyen süreçte kişisel verilerin etkilendiğinin tespit edilmesi halinde, yasal yükümlülükler çerçevesinde ilgili kişilere bildirim yapılacağı ifade edildi.

Şirket, yaşanan siber olaya rağmen ana BT sistemlerinin çalışır durumda olduğunu ve mevcut değerlendirmelere göre olayın operasyonlar veya finansal sonuçlar üzerinde önemli bir etki yaratmasının beklenmediğini bildirdi.

Kaynak: Beykozun Sesi

Uzmanlar, açığın etkilerini şöyle özetledi:

• Saldırganlar SIP kimlik bilgilerini ve yerel cihaz hesap verilerini elde edebiliyor.

• Cihazın SIP ayarlarını yeniden yapılandırabiliyor ve çağrıları kötü niyetli bir SIP proxy üzerinden yönlendirebiliyor.

• Telefon normal şekilde çalmaya devam ediyor, kullanıcılar herhangi bir anormallik fark etmiyor, fakat tüm görüşmeler saldırganın kontrolündeki altyapıdan geçiyor.

Açığın hedef kitlesi arasında küçük ve orta ölçekli işletmeler, hukuk firmaları, satış ekipleri ve finans departmanları bulunuyor.

Grandstream, güvenlik açığını Ocak ayında sorumlu bir şekilde bildirdi. Firma, kullanıcıları uyarmak ve cihazlarını korumak amacıyla 1.0.7.81 sürümlü güvenlik güncellemesini yayımladı. Güncelleme cihazların güvenliğini sağlamak için kritik önem taşıyor.

Kaynak: Beykozun Sesi

“Dahili Kimlik Bilgileri Açığa Çıkabiliyordu”
Araştırmacı, YouTube üzerindeki belirli işlemler sırasında Google hesaplarına ait “Gaia ID” olarak bilinen dahili tanımlayıcıların elde edilebildiğini belirtti. Raporda, bu kimliklerin tek başına doğrudan hassas veri içermediği ancak farklı servislerle birleştirildiğinde risk oluşturabileceği vurgulandı.

Farklı Servisler Arasındaki Zincirleme Etki
Çalışmada, Google’ın farklı ürünleri arasında yer alan veri paylaşım mekanizmalarının, belirli senaryolarda beklenmeyen veri eşleşmelerine yol açabildiği ifade edildi. Araştırmacı, “Farklı sistemlerin birlikte değerlendirilmesi, tek başına kritik görünmeyen açıkların birleşerek daha büyük bir riske dönüşmesine neden olabilir.” değerlendirmesinde bulundu.

Sorumlu Bildirim Süreci İşletildi
Araştırmanın 2024 yılı Eylül ayında Google’a iletildiği, şirketin kısa sürede durumu incelemeye aldığı aktarıldı. Güvenlik paneli tarafından yapılan değerlendirmede açığın yüksek etkili ancak belirli bir teknik karmaşıklık gerektirdiği ifade edildi.

Google yetkililerinin, bildirimin ardından ilgili sistemlerde güncellemeler yaptığı ve tespit edilen açıkların kapatıldığı bildirildi. Sürecin tamamlanmasının ardından rapor, 2025 yılı Şubat ayında kamuoyuyla paylaşıldı.

Ödül ve Değerlendirme Süreci
Güvenlik açığını bildiren araştırmacıya, Google’ın hata ödül programı kapsamında toplamda 10 bin doların üzerinde ödül verildiği açıklandı. Panel değerlendirmesinde, açığın “yüksek etki” kategorisinde olduğu ancak belirli bir saldırı zinciri gerektirdiği için derecelendirmede bir kademe düşürüldüğü kaydedildi.

Uzmanlardan Uyarı
Siber güvenlik uzmanları, bu tür olayların büyük teknoloji platformlarında bile sistemler arası etkileşimlerin dikkatle denetlenmesi gerektiğini ortaya koyduğunu belirtti. Uzmanlar, kullanıcıların da hesap güvenliği için iki faktörlü doğrulama gibi önlemleri aktif kullanmasının önemine dikkat çekti.

Kaynak: Beykozun Sesi

Kanunun ilgili hükmünde, “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” ifadesinin yer aldığı hatırlatıldı.

Dark Web’de Veri Seti Tespit Edildi

Uludağ Elektrik tarafından Kurula iletilen bildirimde, ihlalin 05.08.2025 tarihinde gerçekleştiği ve 18.08.2025 tarihinde tespit edildiği ifade edildi.

Açıklamada, “Dark web üzerinde tehdit aktörlerinin dosya paylaşımı amacıyla kullandığı bir platformda, veri sorumlusu abonelerine ait bilgileri içeren bir veri seti tespit edilmiştir.” denildi.

Söz konusu veri setinde bir aboneye ilişkin abone numarası, ad-soyadı, kısmi adres, tüketim bilgileri ve sayaç bilgileri gibi çoğu teknik veri olmakla birlikte kişisel veri de içeren toplam 57 veri kategorisinin bulunduğu, verilerin şirket sisteminde tutulan kayıtlarla örtüştüğünün belirlendiği bildirildi.

SMS Doğrulamalı Sisteme Hukuka Aykırı Giriş

İhlalin kök nedenine ilişkin olarak, yalnızca kullanıcı adı, şifre ve her girişte alınması gereken SMS doğrulama kodu ile erişilebilen sisteme kötü niyetli tehdit aktörleri tarafından hukuka aykırı yollarla giriş yapıldığının değerlendirildiği aktarıldı.

İhlalden etkilenen kişi sayısının tam olarak belirlenemediği, ancak gerçekleştirilen sorgu sayısının 899 bin 890 olduğu ifade edildi. İhlalden etkilenen ilgili kişi grubunun aboneler veya üyeler olduğu belirtildi.

Şirket, ilgili kişilerin veri ihlali hakkında bilgi almak için dpo@uedas.com.tr e-posta adresi üzerinden iletişime geçebileceğini duyurdu.

Kuruldan İlan Kararı

Kişisel Verileri Koruma Kurulu’nun 25.12.2025 tarih ve 2025/2443 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verildiği açıklandı. Konuya ilişkin incelemenin devam ettiği bildirildi.

Kaynak: Beykozun Sesi

Kanunun ilgili hükmünde, “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” ifadesine yer verildiği hatırlatıldı.

Siber Saldırı 26 Aralık’ta Başladı

Kurula iletilen bildirimde, Hollanda’da kurulu ve faaliyet gösteren Eurail B.V.’nin dünya genelinde seyahat biletlerinin satışı için acentelik dağıtım modeli kullandığı aktarıldı. Şirketin, bazı durumlarda veri sorumlusu, bazı durumlarda ise veri işleyen olarak hareket edebildiği ifade edildi.

İhlalin 26.12.2025 tarihinde başladığı ve 05.01.2026 tarihinde tespit edildiği bildirildi. Açıklamada, “Veri sorumlusunun sistemlerine yapılan siber saldırı neticesinde ihlal gerçekleşmiştir.” denildi.

Pasaport ve Seyahat Bilgileri Etkilendi

İhlalden etkilenen kişisel verilerin; kimlik verileri kapsamında ad-soyad, cinsiyet, doğum tarihi veya yaş, pasaport numarası, pasaportun düzenlendiği ülke ve geçerlilik tarihi olduğu belirtildi.

İletişim verileri kapsamında adres ve ikamet yeri, e-posta adresi ve telefon numarasının; müşteri işlem verileri kapsamında ise tren yolculuklarına ilişkin ülke, şehir, seyahat tarih ve saatleri dahil seyahat bilgilerinin etkilendiği bildirildi.

İhlalden Türkiye’de mukim 8 bin 823 kişinin etkilendiği, ilgili kişi grubunun tren bileti satın alan müşteriler olduğu aktarıldı.

Şirketin, ihlale ilişkin teknik inceleme ve ek araştırmalarının devam ettiği kaydedildi. İlgili kişilerin privacyhelp@eurail.com e-posta adresi üzerinden bilgi alabilecekleri duyuruldu.

Kuruldan İnternet Sitesinde İlan Kararı

Kişisel Verileri Koruma Kurulu’nun 27.01.2026 tarih ve 2026/103 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verildiği açıklandı. İnceleme sürecinin sürdüğü bildirildi.

Kaynak: Beykozun Sesi

Kanunun ilgili hükmünde, “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” ifadesinin yer aldığı hatırlatıldı.

Firebase Yetkilendirme Zafiyeti

Codeway tarafından Kurula iletilen bildirimde, ihlalin 15.01.2026 ile 20.01.2026 tarihleri arasında gerçekleştiği ve 20.01.2026 tarihinde tespit edildiği ifade edildi.

Açıklamada, “‘Chat & Ask AI’ adlı mobil uygulamanın veri tabanı (Firestore) ve dosya depolama (Storage) altyapısı olarak kullanılan Google Firebase servisleri üzerindeki yetkilendirme yapılandırmasındaki zafiyet nedeniyle saldırgan veya saldırganlar kullanıcı verilerine ve dosya havuzuna erişim hakkı elde etmiştir.” denildi.

Teknik zafiyetin giderildiği, veri ihlaline ilişkin iç kontrol ve denetim çalışmalarının sürdüğü bildirildi.

E-Posta ve Gönderi İçerikleri Etkilendi

İhlalden etkilenen kişisel verilerin; kullanıcılara ait e-posta adresleri, uygulamaya kayıt sırasında seçilen takma isimler ve uygulamanın kullanımı esnasında paylaşılan gönderi içerikleri olduğu belirtildi.

Yaklaşık 3 bin 700 kişinin ihlalden etkilenmiş olabileceğinin değerlendirildiği, kesin sayının belirlenmesine yönelik çalışmaların devam ettiği aktarıldı.

Kuruldan İnternet Sitesinde İlan Kararı

Kişisel Verileri Koruma Kurulu’nun 27.01.2026 tarih ve 2026/139 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verildiği açıklandı. İnceleme sürecinin devam ettiği bildirildi.

Kaynak: Beykozun Sesi

Kanunun ilgili hükmünde, “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” ifadesine yer verildiği hatırlatıldı.

Yerel SQL Veritabanı Şifrelendi

Şirket tarafından Kurula sunulan bildirimde, ihlalin 22.01.2026 tarihinde başladığı ve 23.01.2026 tarihinde tespit edildiği ifade edildi.

Açıklamada, “Veri sorumlusunun bordro yazılımı ve online yemek siparişlerinin yönetildiği bilgi sistemlerini barındıran yerel SQL veritabanı, dışardan bir müdahale ile şifrelenerek erişim engellenmiştir.” denildi.

Çalışanlar ve Müşteriler Etkilendi

İhlalden etkilenen ilgili kişi grubunun çalışanlar ve müşteriler olduğu bildirildi. Müşterilere ait kimlik verileri kapsamında ad ve soyad bilgilerinin; iletişim verileri kapsamında adres ve cep telefonu bilgilerinin; müşteri işlem verileri kapsamında ise yemek sipariş detaylarının etkilendiği belirtildi.

Çalışanlara ait kimlik, iletişim ve özlük verilerinin de ihlal kapsamında olduğu aktarıldı.

Şirketin 13 bin çalışanı ve 150 bin müşterisi olmak üzere toplam 163 bin kişinin ihlalden etkilendiği bilgisi paylaşıldı.

Kuruldan İnternet Sitesinde İlan Kararı

Kişisel Verileri Koruma Kurulu’nun 27.01.2026 tarih ve 2026/141 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verildiği duyuruldu. İncelemenin devam ettiği bildirildi.

Kaynak: Beykozun Sesi

Kanunun ilgili hükmünde, “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” ifadesine yer verildiği hatırlatıldı.

İhlal 10 Ocak’ta Başladı, 26 Ocak’ta Tespit Edildi

Vodafone Net tarafından Kurula iletilen bildirimde, ihlalin 10.01.2026 tarihinde başladığı ve 26.01.2026 tarihinde tespit edildiği ifade edildi.

Şirketin, elektronik haberleşme hizmetlerine bağlı kurulum, nakil, arıza, evrak toplama ve aktivasyon süreçlerinde bölgesel hizmet tedarikçisi olarak Vodafone ev interneti abonelerine hizmet sunduğu aktarıldı.

Veriler DarkWeb’de Satışa Sunulduğu İstihbar Edildi

Bildirimde, VodafoneNet aboneleri, veri işleyen çalışanları ve saha operasyonları kapsamında hizmet alınan tedarikçi çalışanlarına ait verilerin DarkWeb üzerinden satışa sunulduğunun istihbar edildiği belirtildi.

Açıklamada, “İstihbar olunan ilgili kayıtların yer alabileceği sistemler üzerinde detaylı bir soruşturma süreci başlatılmıştır.” denildi. Yapılan incelemeler sonucunda, olaya konu kişisel verilerin veri işleyenin sisteminden elde edilmiş olabileceği kanaatine varıldığı bildirildi.

En Fazla 321 Bin 504 Kişi Etkilenmiş Olabilir

İhlalden etkilenen kişi sayısının tam olarak belirlenemediği, tespit çalışmalarının sürdüğü kaydedildi. Açıklamada, etkilenen kişi sayısının çok daha az olabileceği değerlendirilmekle birlikte en fazla 321 bin 504 kişi olabileceği ifade edildi.

Etkilenmiş olabilecek kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve temin edilen ürün-hizmet kapsamında cihaz bilgileri olduğu bildirildi. Veriler arasında herhangi bir özel nitelikli kişisel veri, T.C. kimlik numarası veya finansal veri bulunmadığı vurgulandı.

Şirket, ilgili kişilerin veriguvenligi@vodafone.com adresi üzerinden ve çağrı merkezi kanalıyla bilgi talebinde bulunabileceğini açıkladı.

Kuruldan İnternet Sitesinde İlan Kararı

Kişisel Verileri Koruma Kurulu’nun 03.02.2026 tarih ve 2026/203 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verildiği duyuruldu. İncelemenin sürdüğü bildirildi.

Kaynak: Beykozun Sesi

Kanunun ilgili hükmünde, “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” denildiği hatırlatıldı.

İhlal 15 Şubat’ta Tespit Edildi

TÜRKKEP tarafından Kurula iletilen bildirimde, veri ihlalinin 10.02.2026 ile 16.02.2026 tarihleri arasında gerçekleştiği, olayın 15.02.2026 tarihinde tespit edildiği ifade edildi.

Açıklamada, “Veri sorumlusunun servislerine yönelik gerçekleştirilen siber saldırı neticesinde uygulama kullanıcılarının listesine yetkisiz erişim sağlanmıştır.” bilgisine yer verildi.

Etkilenen Veriler Açıklandı

İhlalden etkilenen kişisel verilerin; ad, soyad, kullanıcı adı, şifre (hashli), e-posta adresi, telefon numarası, müşteri adı, T.C./Vergi kimlik numarası, şirket adı, şehir ve ticaret sicil numarası olduğu bildirildi.

Kuruma yapılan bildirimde, ihlalden etkilenen kişi sayısının tahmini olarak 8 bin 170 olduğu, kesin sayının belirlenmesine yönelik çalışmaların sürdüğü aktarıldı. İhlalden etkilenen kişi grubunun ise kullanıcılar olduğu belirtildi.

Kuruldan İnternet Sitesinde İlan Kararı

Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarih ve 2026/360 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verildiği açıklandı.

Kurum, konuya ilişkin incelemenin devam ettiğini bildirdi.

Kaynak: Beykozun Sesi

Stratejik Kurumlar Hedefte
Onur Oktay, grubun saldırı profilinin özellikle Savunma, Dışişleri, Maliye, Ticaret ve Enerji bakanlıkları üzerinde yoğunlaştığını ifade ederek, “Parlamentolar, emniyet teşkilatları, sınır kontrol birimleri ve ulusal telekomünikasyon şirketleri de hedef alınan yapılar arasında yer alıyor.” dedi.

Aktif Keşif ve Ülkeye Özel Saldırı Planları
Grubu diğer APT yapılanmalarından ayıran iki temel noktaya dikkat çeken Oktay, “Bu yapı sadece sızmakla yetinmiyor, ülkelerin kritik altyapılarına yönelik aktif keşif ve istihbarat toplama faaliyetleri yürütüyor.” ifadelerini kullandı. Oktay, her ülke ve sisteme özel saldırı senaryoları oluşturulmasının, kalıcı bir tespit mekanizması geliştirilmesini zorlaştırdığını vurguladı.

ShadowGuard Rootkit ve Yaygın Zafiyetler
Saldırılarda kullanılan yöntemlere de değinen Oktay, “Grup, daha önce belgelenmemiş ShadowGuard adlı bir Linux rootkit’i kullanarak sistemlerde uzun süre fark edilmeden kalabiliyor.” dedi. Microsoft Exchange, SAP ve Atlassian ürünlerindeki yamalanmamış veya keşfedilmemiş açıkların da sıkça istismar edildiğini kaydetti.

Çin Bağlantısı İddiası
Grubun faaliyet zamanlarının GMT+8 saat dilimi ile örtüştüğünü belirten Onur Oktay, “Bu durum, grubun Çin istihbaratı ile bağlantılı olabileceği yönündeki değerlendirmeleri güçlendiriyor.” şeklinde konuştu.

Türkiye De Hedefte
Türkiye’ye yönelik tehdit boyutuna ilişkin değerlendirmesinde Oktay, “Unit42 raporlarına göre grup, Kasım-Aralık 2025 döneminde Türkiye dahil birçok ülkenin hükümet altyapılarına yönelik aktif keşif faaliyetleri yürüttü.” ifadelerini kullandı. Türkiye’nin doğrudan sızma yapılan 37 ülke arasında ismen yer almadığını, ancak geniş kapsamlı tarama operasyonlarının menzilinde bulunduğunu söyledi.

Davranışsal Tespit Öne Çıkıyor
IOC bilgilerinin sınırlı olduğuna dikkat çeken Oktay, “Her saldırı farklı yöntemlerle gerçekleştirildiği için elde edilmiş kritik IOC setleri yok. Ancak ShadowGuard rootkit’inin davranışsal izleri üzerinden tespit çalışmaları yapılabiliyor.” dedi. Web shell olarak Behinder, Godzilla ve Neo-reGeorg varyantlarının kullanıldığını, C2 trafiğinde Cloudflare arkasına gizlenmiş alan adları ile popüler VPS servislerinin tercih edildiğini aktardı.

Exchange Sunucuları İçin Uyarı
Onur Oktay, “Türkiye dahil birçok ülkede Exchange sunucuları hedef alındı. Bu nedenle owa/auth dizinleri altında .aspx ve .ashx dosyalarının oluşturulması yakından incelenmeli.” uyarısında bulundu. Ayrıca sahte Googlebot gibi alışılmadık User-Agent değerlerinin C2 trafiğinde sıkça kullanıldığını belirtti.

Kaynak: Beykozun Sesi

Güvenlik açığının, uygulamada kullanılan güvensiz nesne serileştirme süreçleri ile birlikte etkili bir sandbox izolasyonunun bulunmamasından kaynaklandığı belirtildi. Bu durumun, saldırganların tek bir bağlantı üzerinden hedef sistemde keyfi komutlar çalıştırabilmesine olanak tanıdığı aktarıldı.

Hiçbir Şey İndirmeden, Hiçbir Uyarı Almadan
Uzmanlar, açığın istismarı için dosya indirilmesine gerek olmadığını, çok aşamalı bir exploit zinciri kullanılmadığını ve kullanıcıya herhangi bir güvenlik uyarısı gösterilmediğini vurguladı. Bağlantıya tıklanmasının ardından kodun doğrudan çalıştırıldığı kaydedildi.

Yapay Zekâ İki Saatte Tespit Etti
Zafiyetin dikkat çeken yönlerinden biri de keşif süreci oldu. Açığın, otonom bir yapay zekâ ajanı tarafından uçtan uca analiz edilerek doğrulandığı, sürecin iki saatten kısa sürdüğü ifade edildi. Bu gelişmenin, yapay zekânın siber güvenlik alanındaki etkinliğine dair yeni bir dönemi işaret ettiği değerlendirildi.

Yetkililer, Moltbot/Clawdbot ile bağlantılı sistemleri kullanan kurum ve bireylerin ağ trafiğini incelemesi, ilgili bileşenleri izole etmesi ve olası saldırı izlerini araştırması gerektiğini belirtti.

Kaynak: Beykozun Sesi

Ctrl F Yapıldığında DOM Sessiz Kalmıyor
hidden="until-found" ile gizlenen içerikler normal şartlarda görünmez durumda kalıyor. Ancak sayfa içi arama sırasında eşleşme oluştuğunda, tarayıcı bu elementleri geçici olarak görünür hâle getiriyor. Bu aşamada tetiklenen beforematch adlı DOM olayı, JavaScript tarafından dinlenebiliyor ve kullanıcı aramasına dair dolaylı bilgiler üretebiliyor.

Karakter Karakter Çözümlenebilen Arama
Teknik incelemede, sayfaya eklenen binlerce gizli HTML elementinin olası karakter dizilerini temsil ettiği belirtiliyor. Kullanıcı Ctrl+F alanına bir karakter yazdığında, yalnızca eşleşen element için beforematch olayı tetikleniyor. Bu zincirleme yapı sayesinde, klavye dinlemesi yapılmadan kullanıcının arama girdisinin adım adım tahmin edilebildiği ifade ediliyor. Bu yöntem, klasik anlamda bir side‑channel olarak tanımlanıyor.

Parola Sızıntı Siteleri İçin Kritik Senaryo
Uzmanlar, bu tekniğin özellikle “parolanız sızdırıldı mı” iddiasıyla hizmet veren siteler açısından ciddi bir risk barındırdığına dikkat çekiyor. Kullanıcının mevcut parolasını bu tür sitelere yazması hâlinde, sayfa içinde yer alan hidden="until-found" elementleri aracılığıyla parolanın kısmen bile olsa sızdırılabilmesi teorik olarak mümkün görülüyor. Bu durum, kullanıcı parolayı kendi rızasıyla girmiş olsa bile ek bir gizlilik tehdidi oluşturuyor.

Teknik Çalışmanın Kaynağı ve Türkçe Yayın
Söz konusu riskin pratikte nasıl çalıştığı, uluslararası güvenlik araştırmaları kapsamında daha önce ortaya konulan teknik bir yöntem üzerinden gösteriliyor. Bu çalışmayı derleyerek Türkçeleştiren ve kamuoyuna haberleştiren isim ise siber güvenlik araştırmacısı Ebubekir Bastama oldu. Bastama’nın internet sitesinde yayımlanan içerikte, hidden="until-found" ve beforematch kombinasyonunun Ctrl+F girdilerini nasıl dolaylı biçimde açığa çıkarabildiği ayrıntılı şekilde aktarılıyor.

Test Edilebilen PoC Adresi
Yayımlanan çalışmada, yöntemin teorik anlatımla sınırlı kalmadığına dikkat çekiliyor. Kullanıcılar ve geliştiriciler, ilgili davranışı doğrudan test edebilmek için hazırlanan PoC’ye şu adres üzerinden erişebiliyor: https://ebubekirbastama.com.tr/ctrl-f-until-found-side-channel-poc.html

Boşluklar Bile Atlanmıyor
Analizde, Ctrl+F indekslemesinde boşluk karakterlerinin tek başına algılanmaması nedeniyle Zero‑Width Space (\u200B) gibi görünmez karakterlerin kullanıldığı aktarılıyor. Bu sayede, boşluk içeren kelime ve parola dizilerinin de tarayıcı tarafından indekslenebildiği belirtiliyor.

Hızlı Yazımda Özellikle PC’lerde Çalışmıyor
Çalışmada özellikle masaüstü bilgisayarlara vurgu yapılıyor. Ctrl+F alanına karakterlerin çok hızlı yazılması veya metnin yapıştırılması durumunda, tarayıcıların performans optimizasyonları nedeniyle bazı DOM taramalarını atladığı belirtiliyor. Bu senaryolarda beforematch olayının tetiklenmediği ve algılamanın çalışmadığı ifade ediliyor. Uzmanlar, bunun JavaScript kaynaklı bir hata değil, bilinçli bir tarayıcı davranışı olduğunun altını çiziyor.

Tarayıcı Güvenliği Yeniden Gündemde
Uzman görüşlerinde, beforematch olayının JavaScript erişimine kapatılması, hidden="until-found" elementlerinin gözlemlenemez hâle getirilmesi ya da Ctrl+F indekslemesinin DOM olayı üretmeden çalışması gibi önlemlerin değerlendirilmesi gerektiği belirtiliyor. Kullanıcı deneyimi için eklenen her yeni tarayıcı özelliğinin, gizlilik ve veri güvenliği açısından yeniden ele alınması gerektiği vurgulanıyor.

Kaynak: Beykozun Sesi

Şüpheli Link Detayı Ortaya Çıktı
Sahte e-postada yer alan “Ödemeyi Tamamla” butonuna tıklayan kullanıcıların, i6ome8hbb.cc.rs6.net uzantılı, PTT ile hiçbir bağlantısı bulunmayan bir adrese yönlendirildiği tespit edildi. Bağlantının, Constant Contact altyapısı üzerinden gizlenmiş şekilde sunulduğu ve kullanıcıyı sahte ödeme sayfasına yönlendirmeyi amaçladığı ifade ediliyor.

Yurt Dışı Kaynaklı Adresler Alarm Veriyor
E-postanın gönderici adresinde “info-santedicola.com@shared1.ccsend.com” ibaresinin yer aldığı, mesajın alt bölümünde ise ABD’ye ait açık adres bilgilerinin bulunduğu görüldü. Siber güvenlik uzmanları, bu tür yurt dışı kaynaklı ve kurumsal görünümlü adreslerin, oltalama saldırılarında sıkça kullanıldığını vurguluyor.

Amaç Kredi Kartı ve Kişisel Veriler
Uzmanlara göre sahte bağlantı üzerinden açılan sayfalarda kredi kartı bilgileri, kimlik verileri ve banka bilgileri hedef alınıyor. Girilen bilgilerin anlık olarak dolandırıcıların eline geçtiği ve kartlardan izinsiz harcamalar yapıldığı bildiriliyor.

PTT’nin Uygulamalarıyla Örtüşmüyor
PTT’nin resmî uygulamalarında gümrük vergisi bildirimlerinin e-posta yoluyla ve üçüncü taraf bağlantılar üzerinden yapılmadığı belirtiliyor. Kurumun, ödemelerin yalnızca resmî internet sitesi, e-Devlet ve PTT şubeleri aracılığıyla gerçekleştirildiğini daha önce kamuoyuna duyurduğu hatırlatılıyor.

Yetkililerden Vatandaşa Uyarı
Siber güvenlik uzmanları, bu tür e-postaların kesinlikle açılmaması, bağlantılara tıklanmaması ve ödeme bilgisi girilmemesi gerektiğini vurguluyor. Şüpheli mesajların BTK ve ilgili resmi platformlara bildirilmesi çağrısı yapılıyor.

Kaynak: Beykozun Sesi

Güncelleme Trafiği Saldırganların Kontrolüne Geçti
Paylaşılan bilgilere göre, Haziran 2025 ile 2 Aralık 2025 tarihleri arasında Notepad++’ın güncelleme mekanizması olan WinGUp üzerinden gerçekleşen trafik, saldırganlar tarafından kontrol edilen sunuculara yönlendirildi. Bu süreçte, kullanıcılara resmi güncelleme izlenimi veren zararlı yazılım içeren sahte paketler gönderildiği belirtildi.

“Hedefli ve Seçici Bir Operasyon”
Onur Oktay, saldırının geniş kitleleri kapsayan rastgele bir girişim olmadığını vurgulayarak, “Bu operasyon herkese açık bir saldırı değildi. Belirli IP blokları veya coğrafi bölgelerdeki kullanıcılar hedef alındı.” ifadelerini kullandı. Elde edilen bulguların, saldırının Çin devlet destekli bir APT grubu tarafından yürütüldüğüne işaret ettiği aktarıldı.

Zafiyet Kaynak Kodda Değil Güncelleyicide
Oktay’ın değerlendirmesine göre, Notepad++’ın kaynak kodunda herhangi bir güvenlik açığı tespit edilmedi. Ancak WinGUp aracının, indirilen dosyaların dijital imza ve sertifika doğrulamasını yeterince sıkı yapmaması, saldırının başarıya ulaşmasına neden oldu. Hosting seviyesinde gerçekleştirilen Man-in-the-Middle yönlendirmesiyle sahte güncellemeler meşru kabul edildi.

Alınan Önlemler ve Yeni Sürüm
Olayın ardından Notepad++ tarafında hosting sağlayıcısı değiştirildi, tüm erişim bilgileri sıfırlandı ve v8.8.9 sürümü yayımlandı. Bu sürümle birlikte güncelleyicinin, indirilen paketlerin imza ve sertifikalarını zorunlu olarak kontrol ettiği, doğrulama başarısız olursa güncellemenin iptal edildiği kaydedildi.

Kullanıcılara Güvenlik Uyarısı
Saldırının hedefe özel zararlı yazılımlar içermesi nedeniyle tek bir dosya imzası bulunmadığına dikkat çekildi. Şüpheli ağ trafiği ve %TEMP% klasöründe Notepad++ imzası taşımayan çalıştırılabilir dosyalar, olası bulaş göstergeleri arasında yer aldı. Onur Oktay, v8.8.9 öncesi sürümleri kullananların uygulama içinden güncelleme yapmaması ve ilgili dönemde güncelleme alan sistemlerin EDR veya antivirüs çözümleriyle taranması gerektiğini belirtti.

Yeni Güvenlik Katmanları Geliyor
Geliştirici ekip tarafından, ilerleyen sürümlerde XML dijital imzalama (XMLDSig) desteğinin devreye alınacağı duyuruldu. Olayın, yazılım güvenliği kadar altyapı güvenliğinin de kritik önemde olduğunu bir kez daha ortaya koyduğu ifade edildi.

Kaynak: Beykozun Sesi

Araştırmacı, JavaScript kapalıyken dahi çalışan bu formun, belirli HTTP istekleri aracılığıyla bir telefon numarasının belirli bir ad-soyad ile eşleşip eşleşmediğini doğruladığını tespit etti. Bu mekanizma sayesinde, doğru parametreler kullanıldığında bir Google hesabının varlığı ve ilişkili telefon numarası hakkında doğrulama yapılabildi.

İki Aşamalı Doğrulama Mekanizması
İlk aşamada, hesap kurtarma formuna girilen telefon numarasıyla bir oturum anahtarı üretildi. İkinci aşamada ise bu anahtar kullanılarak ad ve soyad bilgileriyle doğrulama yapıldı. Sistem, eşleşme durumunda kullanıcıyı farklı bir kurtarma sayfasına yönlendirerek hesabın varlığını dolaylı olarak doğruladı.

Başlangıçta IP bazlı hız sınırlaması ve captcha engeliyle karşılaşan araştırmacı, BotGuard doğrulama token’ının, JavaScript’li formdan alınıp JavaScript’siz forma entegre edilmesiyle bu engellerin aşıldığını belirtti. Bu yöntemle, veri merkezi IP’leri üzerinden dahi yüksek hacimli sorguların mümkün hale geldiği ifade edildi.

IPv6 ve Büyük Ölçekli Denemeler
Araştırmada, IPv6 adres alanlarının sunduğu genişlikten faydalanılarak her istek için farklı bir IP kullanıldığı, bu sayede hız sınırlamalarının etkisiz hale getirildiği kaydedildi. Araştırmacı, geliştirdiği araçla saniyede on binlerce deneme yapılabildiğini aktardı.

Ülke Kodu ve İsim Bilgileri de Tespit Edilebildi
Telefon numarasının ülke kodu, Google’ın “şifremi unuttum” akışında gösterdiği maskeli numara formatları üzerinden belirlenebildi. Araştırmacı, bu formatların Google’ın kullandığı açık kaynaklı libphonenumber kütüphanesiyle birebir örtüştüğünü belirtti.

Kullanıcının ad ve soyad bilgisine ise Google Looker Studio üzerinden ulaşıldı. Araştırmacı, oluşturulan bir belgenin hedef kullanıcıya devredilmesiyle, kullanıcının hiçbir etkileşimi olmadan adının ana sayfada görüntülendiğini kaydetti.

“İstismar Olasılığı Düşük Denildi, Ödül Artırıldı”
Açık, 14 Nisan 2025’te Google’a bildirildi. Google, ilk değerlendirmede istismar olasılığını düşük bularak sınırlı bir ödül verdi. Araştırmacının itirazı sonrası yapılan yeniden değerlendirmede ise etkinin yüksek olduğu kabul edilerek ödül toplam 5 bin dolar seviyesine çıkarıldı.

Google, 22 Mayıs 2025 itibarıyla geçici önlemlerin devreye alındığını, 6 Haziran 2025’te ise JavaScript’siz kullanıcı adı kurtarma formunun tamamen devre dışı bırakıldığını doğruladı. Açık, 9 Haziran 2025’te kamuoyuna açıklandı.

Kaynak: Beykozun Sesi

Araştırma, üç bölüm halinde yayımlandı. İlk bölümde çipin EMFI saldırılarına karşı karakterizasyonu, ikinci bölümde Secure Monitor içinde rastgele okuma ve yazma elde edilmesi, üçüncü bölümde ise EL3 seviyesinde kalıcı kod yürütme ayrıntıları paylaşıldı. Araştırmacılar, “Amaç, donanım tabanlı güvenlik mekanizmalarının gerçek dünyada ne kadar dayanıklı olduğunu ölçmekti.” ifadelerini kullandı.

Elektromanyetik Hata Enjeksiyonu Nasıl Çalışıyor
EMFI yöntemi, işlemci üzerine çok kısa süreli ve yüksek enerjili elektromanyetik darbeler uygulanmasına dayanıyor. Bu darbeler sayesinde işlemcinin yürüttüğü talimatların bozulabildiği belirtiliyor. Araştırmacılar, “Bir kontrol talimatı atlanabiliyor ya da beklenen işlem yerine farklı bir komut yürütülebiliyor.” değerlendirmesinde bulundu.

Secure Monitor Kontrolleri Atlatıldı
Çalışmanın ikinci aşamasında, Secure Monitor tarafından uygulanan adres doğrulama mekanizmalarının hedef alındığı aktarıldı. Normal şartlarda yalnızca izin verilen bellek alanlarına erişim sağlayan is_allowed_address benzeri kontrollerin, doğru zamanlamayla yapılan EMFI saldırıları sonucunda devre dışı bırakılabildiği kaydedildi. Bu sayede, EL3 bağlamında rastgele 32 bit okuma ve yazma yapılabildiği vurgulandı.

XPU Yapılandırması Değiştirildi
Araştırmanın en kritik aşamasında, TrustZone adres alanlarını koruyan XPU yapılandırmasının yeniden programlanabildiği belirtildi. Araştırmacılar, “Tek bir başarılı glitch, Secure Monitor içinde keyfi uzunlukta kod yürütmek için yeterli.” ifadesini kullandı. Bu durumun, cihazın en korumalı yazılım katmanının tamamen kontrol altına alınması anlamına geldiği aktarıldı.

Saldırı Zor Ama Mümkün
Araştırmacılar, saldırının pratikte yüksek beceri, hassas ekipman ve uzun deneme süreleri gerektirdiğini belirtti. Ortalama başarı süresinin 30 ila 40 dakika arasında değiştiği, çok sayıda yeniden başlatma ve zamanlama denemesi gerektiği kaydedildi. Buna rağmen, elde edilen sonucun teorik değil, pratik olarak uygulanabilir olduğu vurgulandı.

Donanım Güvenliği Tartışması
Çalışma, gömülü ağ cihazlarında yalnızca yazılımsal önlemlerin yeterli olmayabileceğini ortaya koydu. Araştırmacılar, “TrustZone ve Secure Monitor gibi donanım destekli güvenlik katmanları bile fiziksel saldırılar karşısında aşılabilir.” değerlendirmesinde bulundu. Fiziksel erişim sağlanan cihazlarda, en yüksek ayrıcalık seviyesinin dahi ele geçirilebileceği uyarısı yapıldı.

Kaynak: Beykozun Sesi

VoiceOver Çerçevesi Üzerinden İstismar
Güvenlik araştırmacıları, açığın VoiceOver framework’ü ve com.apple.scrod adlı sistem servisi üzerinden tetiklendiğini belirtti. Bu yöntemle saldırganların, Apple tarafından imzalanmış süreçlere kod enjekte edebildiği ve bu süreçler aracılığıyla AppleScript çalıştırabildiği ifade edildi.

TOCTOU Yarış Koşulu ile Tam TCC Aşımı
İstismarın temelinde, Time-of-Check-Time-of-Use (TOCTOU) türü bir yarış koşulunun yer aldığı kaydedildi. Kod enjeksiyonu ile bu yarış koşulunun birlikte kullanılması sonucunda, saldırganların Finder ile etkileşime girebildiği, dosya okuyabildiği, mikrofona erişebildiği ve keyfi AppleScript komutları çalıştırabildiği aktarıldı. Tüm bu işlemlerin kullanıcıya herhangi bir bildirim gönderilmeden gerçekleştiği vurgulandı.

Apple: Açık macOS 26.2 ile Kapatıldı
Apple, güvenlik açığının macOS 26.2 sürümünde giderildiğini duyurdu. Şirket, com.apple.private.accessibility.scrod yetkisinin artık process audit token üzerinden doğrulandığını ve bu sayede hem kod enjeksiyonu açığının hem de TOCTOU penceresinin ortadan kaldırıldığını açıkladı.

Kullanıcılara Güncelleme Çağrısı
Apple, kullanıcıların sistemlerini en kısa sürede güncellemelerini önerdi. Güncellemenin, macOS → System Settings → Software Update adımları izlenerek yapılabileceği hatırlatıldı. Güvenlik uzmanları, açığın kapsamı nedeniyle güncellemenin geciktirilmemesi gerektiğini belirtti.

Kaynak: Beykozun Sesi

İngiltere Perakende Sektöründe Tedarik Zinciri Krizi
Nisan 2025’te Marks & Spencer, Co-op ve Harrods’a yönelik düzenlenen fidye yazılımı saldırıları, yılın en çok ses getiren olayları arasında yer aldı. Scattered Spider bağlantılı saldırganların üçüncü taraf bir hizmet sağlayıcısını hedef aldığına dikkat çeken Yılmaz, “Tek bir tedarikçi zafiyeti, tüm sektörü domino etkisiyle felç edebiliyor.” dedi. Marks & Spencer’ın vergi öncesi kârının altı ayda 391,9 milyon sterlinden 3,4 milyon sterline düştüğü hatırlatıldı.

Jaguar Land Rover’da Üretim Beş Hafta Durdu
Ağustos 2025’te Jaguar Land Rover’a yönelik saldırının İngiltere tarihinin en maliyetli siber olayı olarak kayda geçtiği belirtildi. Yılmaz, “1,9 milyar sterlinlik zarar ve beş haftalık üretim duruşu, OT ve IT ağlarının yeterince ayrıştırılmamasının sonuçlarını gösterdi.” değerlendirmesinde bulundu.

Havacılıkta Dijital Bağımlılığın Bedeli
Mart 2025’te Collins Aerospace’in vMUSE sistemlerine yapılan saldırı, Avrupa genelinde 20’den fazla havalimanında ciddi aksamalara yol açtı. Yılmaz, “Paylaşılan dijital platformlar, saldırganlar için tek atışta çoklu hedef anlamına geliyor.” ifadesini kullandı.

ABD’de Belediye Sistemleri Çöktü
Temmuz 2025’te St. Paul Belediyesi’nin maruz kaldığı saldırı sonrası olağanüstü hal ilan edildi. Olayda acil durum koordinasyonu ve vatandaş hizmetleri iki hafta boyunca durdu. Yılmaz, “Kamu altyapısındaki kronik yetersiz yatırım artık bir ulusal güvenlik sorunudur.” dedi.

Yapay Zekâ Destekli İlk Otonom Siber Saldırı
Kasım 2025’te Anthropic tarafından yayımlanan rapora değinen Yılmaz, “İnsan müdahalesi olmadan, yapay zekânın kendi kararlarıyla yürüttüğü ilk büyük ölçekli siber saldırı belgelendi.” açıklamasında bulundu. Bu gelişmenin, savunma mekanizmalarının da makine hızında çalışmasını zorunlu kıldığı vurgulandı.

Yılmaz, 2025’te yaşanan saldırıların ortak mesajını ise şu sözlerle özetledi: “Üçüncü taraf riskleri, bulut entegrasyonları, operasyonel teknoloji güvenliği ve kimlik yönetimi artık siber savunmanın merkezinde yer alıyor.”

Kaynak: Beykozun Sesi

GlassWorm ilk kez ekim ayında ortaya çıktı. Zararlı yazılım, görünmez Unicode karakterler kullanılarak gizlenen eklentiler aracılığıyla GitHub, npm ve OpenVSX hesap bilgilerini, ayrıca tarayıcı tabanlı kripto cüzdan verilerini ele geçirmeyi hedefledi. Önceki dalgalarda Windows sistemler odak alınırken, son kampanyada yalnızca macOS kullanıcılarının hedef seçildiği bildirildi.

Yeni Saldırı Yöntemi ve Teknik Detaylar
Araştırmacılara göre son dalgada, önceki sürümlerde kullanılan Unicode gizleme veya Rust tabanlı ikililer yerine, AES-256-CBC ile şifrelenmiş bir yük derlenmiş JavaScript kodu içine gömülüyor. Zararlı eklentilerin, kurulumu takip eden 15 dakikalık gecikmeyle çalıştığı ve bu yöntemin analiz ortamlarından kaçınmayı amaçladığı ifade edildi.

GlassWorm’un yeni sürümü, PowerShell yerine AppleScript kullanıyor ve kalıcılık için Windows Kayıt Defteri yerine LaunchAgents mekanizmasından yararlanıyor. Komuta-kontrol altyapısında ise önceki kampanyalarda da kullanılan Solana blokzinciri tabanlı yapı korunuyor.

Trojenli Donanım Cüzdanları ve Keychain Hedefi
Zararlı yazılımın, 50’den fazla tarayıcı kripto eklentisini, geliştirici hesap bilgilerini ve tarayıcı verilerini hedef almasının yanı sıra artık macOS Keychain parolalarına erişmeye çalıştığı kaydedildi. Ayrıca sistemde Ledger Live ve Trezor Suite gibi donanım cüzdan uygulamalarını tespit ederek, bunları trojenli sürümlerle değiştirmeyi amaçlayan yeni bir yetenek eklendi.

Koi Security, bu mekanizmanın şu an için başarısız olduğunu ve trojenli cüzdan dosyalarının boş döndüğünü belirtti. Kurum, “Bu durum saldırganların macOS cüzdan trojenlerini henüz hazırlamakta olduğunu ya da altyapının geçiş aşamasında bulunduğunu gösteriyor. Ancak tüm diğer zararlı işlevler aktif durumda.” açıklamasını yaptı.

Binlerce İndirme, Artan Risk
OpenVSX üzerinde yayımlanan ve zararlı olduğu tespit edilen eklentilerden bazılarının 33 bini aşkın indirme sayısına ulaştığı görüldü. Uzmanlar, bu tür rakamların güvenilirlik algısı oluşturmak için manipüle edilebildiğine dikkat çekti.

Güvenlik uzmanları, ilgili eklentileri yükleyen geliştiricilerin derhal kaldırma, GitHub parolalarını sıfırlama, npm erişim anahtarlarını iptal etme, sistemlerini detaylı şekilde kontrol etme ve gerekirse işletim sistemini yeniden kurma çağrısında bulundu.

Kaynak: Beykozun Sesi

Güvenlik araştırmacılarının paylaştığı bilgilere göre zafiyet, VoiceOver framework’ü üzerinden çalışan com.apple.scrod sistem servisini hedef alıyor. Bu yapı istismar edilerek Apple tarafından imzalanmış süreçler içinde kod çalıştırılabildiği, bunun için yönetici yetkisine gerek duyulmadığı kaydedildi.

Kod Enjeksiyonu ve TOCTOU Birlikteliği
Açığın istismar sürecinde iki kritik unsurun bir araya geldiği aktarıldı. Bunların, Apple imzalı süreçlere yönelik kod enjeksiyonu ve bir Time-of-Check-Time-of-Use (TOCTOU) yarış durumu olduğu ifade edildi. Bu kombinasyonun, TCC korumasını tamamen etkisiz hale getirdiği vurgulandı.

Bu yöntemle saldırganların; belgelere erişebildiği, mikrofonu kullanabildiği, Finder ile etkileşime girebildiği ve AppleScript komutlarını çalıştırabildiği, tüm bunların ise kullanıcıya herhangi bir bildirim gösterilmeden gerçekleştirilebildiği aktarıldı.

Apple’dan Güvenlik Güncellemesi
Apple, söz konusu güvenlik açığını macOS 26.2 sürümünde yayımladığı güncellemeyle giderdi. Güncelleme kapsamında, com.apple.private.accessibility.scrod yetkisinin süreç denetim belirteci üzerinden doğrulanmasının zorunlu hale getirildiği, bu sayede hem kod enjeksiyonu açığının hem de TOCTOU penceresinin kapatıldığı bildirildi.

Apple, macOS 26.2 güvenlik güncellemesine ilişkin teknik detayları resmi güvenlik bülteninde paylaştı. Kullanıcıların, Sistem Ayarları > Yazılım Güncelleme adımlarını izleyerek en son sürüme geçmeleri önerildi.

Kaynak: Beykozun Sesi

Dark Web Forumunda Paylaşıldı
Dark Web Informer tarafından aktarılan bilgilere göre, sızdırıldığı iddia edilen veriler bir dark web forumunda satışa veya paylaşıma açıldı. Tehdit aktörü, ele geçirilen bilgilerin NordVPN’e ait Salesforce veritabanı içerikleri olduğunu savundu.

Brute Force ile Erişim İddiası
Paylaşımda, saldırganın yanlış yapılandırılmış bir NordVPN geliştirme sunucusunu brute force yöntemiyle ele geçirdiği ileri sürüldü. Bu sunucuda Salesforce ve Jira sistemlerine ait bilgilerin birlikte tutulduğu iddia edildi.

Sızdırıldığı Öne Sürülen Veriler
Dark Web Informer, tehdit aktörünün paylaştığını iddia ettiği örnekler üzerinden şu bilgilerin ele geçirildiğini bildirdi:
10’dan fazla veritabanı kaynak kodu, Salesforce API anahtarları, Jira erişim tokenları ve ek hassas teknik bilgiler.

SQL Dökümleri Paylaşıldı
Forumda yayınlanan örnek SQL dökümlerinde, “salesforce_api_step_details” ve “api_keys” tablolarına ait yapılar ile ayrıntılı veritabanı şema bilgilerinin yer aldığı öne sürüldü. Bu örneklerin, iddiaların gerçekliğini desteklemek amacıyla paylaşıldığı ifade edildi.

NordVPN’den Resmî Açıklama Bekleniyor
Sızıntı iddialarına ilişkin olarak NordVPN tarafından şu ana kadar kamuoyuna yansımış resmî bir açıklama bulunmuyor. Uzmanlar, iddiaların doğrulanması hâlinde bunun VPN hizmetlerine duyulan güven açısından önemli sonuçlar doğurabileceğini belirtiyor.

Kaynak: Beykozun Sesi

20 Yıllık Açıklardan Güncel Zafiyetlere Kadar Tarama
Uzmanlar, saldırıların hem 20 yıla varan eski güvenlik açıklarını hem de 2023–2024 döneminde açıklanan kritik zafiyetleri hedef aldığını belirtti. ColdFusion’a odaklanan aşamada, 10’dan fazla kritik güvenlik açığının aktif biçimde istismar edilmeye çalışıldığı kaydedildi.

Saldırıların Zamanlaması Dikkat Çekti
Saldırı trafiğinin yüzde 68’inin Noel Günü gerçekleştiği bilgisi paylaşıldı. Araştırmacılar, bu zamanlamanın SOC ekiplerinin düşük kapasiteyle çalıştığı tatil dönemlerini bilinçli olarak hedef aldığını vurguladı.

Saldırı Kaynakları ve Teknikler
Analizlerde, saldırı trafiğinin büyük bölümünün 134.122.136.119 ve 134.122.136.96 IP adreslerinden geldiği tespit edildi. Kampanya kapsamında Interactsh ile out-of-band doğrulama, WDDX deserialization açıklarının istismarı ve JNDI/LDAP enjeksiyon saldırıları kullanıldı.

Öne Çıkan Güvenlik Açıkları
Saldırılarda en sık hedef alınan zafiyetler arasında CVE-2022-26134 (Confluence OGNL Injection) ve CVE-2014-6271 (Shellshock) yer aldı. Uzmanlar, ColdFusion’un bu kampanyanın yalnızca bir parçası olduğunu, saldırı yüzeyinin çok daha geniş olduğunu ifade etti.

Acil Önlem Çağrısı
Güvenlik ekiplerine, ilgili IP adreslerinin ve bağlantılı ASN’lerin engellenmesi, ColdFusion ve Java tabanlı altyapıların öncelikli olarak yamalanması ve özellikle tatil dönemlerine ait log kayıtlarının detaylı incelenmesi çağrısında bulunuldu.

Kaynak: Beykozun Sesi

Araştırmacılar tarafından paylaşılan teknik çalışmada, PWNSAT ile yer istasyonu arasındaki haberleşmenin pasif olarak dinlenmesi ayrıntılı biçimde belgelendi. Çalışmada, yazılım tabanlı radyo sistemleri kullanılarak uyduya ait telemetri ve telekomut sinyallerinin tespit edilmesi, yakalanması ve çözümlenmesi adım adım gösterildi.

Yazılım Tabanlı Radyo ile Dinleme Senaryosu
Araştırmada, gerçek dünyadaki bir dinleme saldırısını taklit eden bir laboratuvar ortamı kuruldu. Hedef olarak, donanımı, yazılımı ve yer istasyonu bileşenleriyle bilerek savunmasız bırakılan PWNSAT 0.1 FlatSat sistemi seçildi. RTL-SDR ve HackRF One cihazları ile açık kaynak yazılımlar kullanılarak, uydunun aşağı yönlü telemetri ve yukarı yönlü telekomut trafiği izlendi.

“Gizli Frekans Güvenli Değildir”
Spektrum taraması sonucunda, uydunun LoRa tabanlı haberleşme yaptığı 915 MHz ISM bandında belirgin sinyal patlamaları tespit edildi. Araştırmacılar, bu bulgunun “gizli frekans” yaklaşımının tek başına bir güvenlik önlemi olmadığını açık biçimde ortaya koyduğunu vurguladı.

Şifreleme Olmadan Aktarılan Veriler
Çalışmada, CCSDS Space Packet Protocol kullanan telemetri verilerinin uygulama katmanında şifrelenmemiş olması nedeniyle, ham radyo sinyallerinin anlamlı sensör verilerine dönüştürülebildiği gösterildi. BME280 ve MPU6050 sensörlerinden gelen çevresel ve hareket verilerinin gerçek zamanlı olarak çözümlenebildiği kaydedildi.

Gelecekteki Risklere Dikkat Çekildi
Araştırmacılar, pasif dinlemenin çoğu zaman son adım olmadığını belirterek, telemetri verilerinin ele geçirilmesinin uydunun çalışma döngülerini ve sağlık durumunu açığa çıkardığını ifade etti. Bu durumun, daha ileri mantıksal ya da fiziksel saldırılar için zemin hazırlayabileceği kaydedildi.

Paylaşılan çalışmada, tüm deneylerin eğitim ve araştırma amacıyla, kontrollü bir laboratuvar ortamında gerçekleştirildiği özellikle vurgulandı. Yetkisiz uydu haberleşmesi dinlemenin ulusal ve uluslararası hukuka aykırı olabileceği hatırlatıldı.

Kaynak: Beykozun Sesi

BreachForums’ta İlk Alarm
2024’ün başlarında “Tamagami” adlı bir tehdit aktörünün BreachForums’ta yaptığı paylaşım, sistemin nasıl istismar edildiğini gözler önüne serdi. Söz konusu paylaşımda, “Kodex Global hesabımı satıyorum. Binance veya Coinbase üzerinden EDR ile istediğiniz kişiyi sorgulayabilirsiniz.” ifadeleri yer aldı. İddialara göre tekil sorgu bedelleri 300 dolara, tam erişim ise 5 bin dolara kadar çıktı.

Hedefte Sosyal Ağlar ve Kripto Platformları
Araştırmalara göre Kodex üzerinden yapılan sahte acil talepler yalnızca kripto borsalarıyla sınırlı kalmadı. Discord, Tinder ve LinkedIn gibi sosyal platformların da listede yer aldığı, bu yolla kullanıcıların IP adresleri, telefon numaraları ve fiziksel adreslerinin elde edildiği kaydedildi.

Sistem Nasıl İstismar Ediliyor
Uzmanlar, Kodex altyapısının teknik olarak güvenli olduğunu ancak insan faktörünün zayıf halka haline geldiğini vurguladı. Sürecin, bilgi hırsızlığı zararlıları ve oltalama saldırılarıyla ele geçirilen .gov ve .police uzantılı e-posta hesaplarıyla başladığı aktarıldı. Bu adreslerle Kodex’e kayıt yapıldığı ve “hayati tehlike” veya “terör şüphesi” gibi gerekçelerle platformlardan veri talep edildiği ifade edildi.

“EDR as a Service” Dönemi
Şubat 2025 tarihli paylaşımlar, sahte Kodex hesaplarının fiyatlarının 400 dolara kadar düştüğünü gösterdi. Bu durumun, düşük profilli saldırganların da sistemi kullanabilir hale gelmesine yol açtığı bildirildi. Aralık 2025 itibarıyla bazı grupların, “doğrulanmış Avrupa devlet e-postalarıyla EDR geçeriz” şeklinde açık ilanlar verdiği kaydedildi.

Sanal Veriden Fiziksel Tehdide
Elde edilen adres ve iletişim bilgilerinin yalnızca ifşa için değil, fiziksel tehditler için de kullanıldığı belirtildi. Uzmanlar, saldırganların bu verilerle sahte bomba ihbarı veya rehine bildirimi yaparak polis ekiplerini hedef adreslere yönlendirdiğini, bu yöntemin geçmişte ABD’de ölümle sonuçlanan olaylara neden olduğunu hatırlattı.

APT Grupları ve Fidye Çeteleri de Kullanıyor
Analizlerde, Lapsus$ ve Scattered Spider gibi organize grupların yanı sıra devlet destekli APT yapılanmalarının da Kodex EDR’yi stratejik bir araç olarak gördüğü ifade edildi. Fidye gruplarının, şirket yöneticilerinin aile bireylerine ulaşarak baskıyı artırdığı; APT gruplarının ise diplomat, gazeteci ve muhalifleri zararlı yazılım kullanmadan izleyebildiği aktarıldı.

Kaynak: Beykozun Sesi

100 Bin Numara Üzerinden Teknik Test
Ebubekir Bastama tarafından yürütülen çalışmada, 100.000 adet benzersiz telefon numarası WhatsApp Web istemcisi üzerinden ayrı ayrı test edildi. Test süreci boyunca herhangi bir hız kısıtı, engelleme veya rate-limit davranışıyla karşılaşılmadığı belirtildi.

Resmi İstemci Katmanları İncelendi
Araştırmada, WhatsApp Web arayüzünün normal işleyişinde kullandığı ContactStore ve ChatStore bileşenleri analiz edildi. Bastama, bu yapıların profil bilgileri, sohbet başlıkları ve kullanıcı durumlarının istemciye yansıtılmasında kullanılan resmi istemci API’lerinin çıktıları olduğunu ifade etti.

Sunucu Taraflı Doğrulama Davranışı
Yayımlanan bulgulara göre, WhatsApp Web istemcisi, girilen her numara için WhatsApp sunucularıyla arka planda iletişim kurarak doğrulama gerçekleştiriyor. Bu sürecin, arayüzün olağan kullanım kalıpları içinde gerçekleştiği ve anormal bir istek paterni oluşturmadığı vurgulandı.

Değerlendirme Kriterleri Açıklandı
Her numara için doğrulama, Contact durumu veya Chat durumu kriterlerine göre yapıldı. Bu göstergelerin, sunucu tarafında gerçekleşen doğrulamanın istemciye yansıyan sonucu olduğu belirtildi.

%100 Doğrulukla Teyit Edildi
Ebubekir Bastama, WhatsApp kullanıcısı olan ve olmayan numaraların tamamının doğru şekilde ayrıştırıldığını, test sonuçlarının sonrasında manuel kontrollerle doğrulandığını ve %100 doğruluk oranına ulaşıldığını kaydetti.

Herkese Açık Profil Bilgileri Gözlemi
Çalışmada ayrıca, kullanıcıların gizlilik ayarlarıyla herkese açık hale getirdiği profil fotoğrafı, görünen isim, işletme adı ve profil durumu gibi bilgilerin WhatsApp Web istemcisi üzerinden erişilebilir olduğu gözlemlendi. Bu erişimin ek bir doğrulama gerektirmediği ifade edildi.

Güvenlik Açığı Değil, Teknik İnceleme
Bastama, çalışmanın bir güvenlik açığı veya istismar niteliği taşımadığını belirtti. İncelenen istemci–sunucu iletişiminin, WhatsApp Web uygulamasının kendi çalışma mantığı içinde kullanılan uç noktalara dayandığı ve herhangi bir yetki aşımı yapılmadığı vurgulandı.

Etik Çerçeve Vurgusu
Araştırmacı Ebubekir Bastama, elde edilen bulguların yalnızca teknik analiz ve araştırma amacıyla değerlendirildiğini, spam, otomasyon veya izinsiz pazarlama faaliyetlerinde kullanılmasının platform politikalarına aykırı olduğunu ifade etti.

Kaynak: Beykozun Sesi

Görev Tanımı Genişletildi
Kararnameye göre Siber Güvenlik Başkanlığı, siber güvenlik ve dijital devlet alanında mevzuat çalışmalarını yürütmek, ulusal strateji ve eylem planlarını hazırlamak ve uygulanmasını koordine etmekle görevlendirildi. Ulusal ve uluslararası düzenlemelere uyum sağlanması ile ilgili kurumlar arası koordinasyon da başkanlığın sorumlulukları arasında yer aldı.

Dijital Devlet ve Veri Standartları Vurgusu
Düzenleme kapsamında başkanlığa, dijital devlet kurumsal mimarisini oluşturma, kamu kurumlarının geliştireceği bilişim ürün ve hizmetlerine ilişkin idari, mali ve teknik ilkeleri belirleme yetkisi verildi. Ayrıca kamu projelerinde kullanılacak verilerin kalite kriterleri ve standartlarının belirlenmesi de görev alanına eklendi.

Teşkilat Yapısı Yeniden Düzenlendi
Kararname ile başkanlığın teşkilat yapısı; başkan, üç başkan yardımcısı ve hizmet birimleri şeklinde yeniden tanımlandı. Başkanlığın yurt içinde temsilcilik kurabilmesine ve yurt dışı teşkilatlanmaya yetkili olmasına ilişkin hükümler de düzenlemede yer aldı.

Yeni Genel Müdürlükler Kuruldu
Yapılan değişiklikle Kamu Yapay Zekâ Genel Müdürlüğü, Dijital Devlet Genel Müdürlüğü, Yönetim Hizmetleri Genel Müdürlüğü ve Strateji Geliştirme Dairesi Başkanlığı başkanlık bünyesine eklendi. Mevcut bazı birimler ise yürürlükten kaldırılarak yeni yapıya entegre edildi.

Kadrolar Yeniden Belirlendi
Kararnamenin ekinde yer alan listeyle Siber Güvenlik Başkanlığının merkez teşkilatına ait kadrolar yeniden düzenlendi. Başkan, başkan yardımcıları, genel müdürler, daire başkanları ve teknik personel dahil olmak üzere çok sayıda unvan için derece ve adetler yeniden tanımlandı.

Cumhurbaşkanı Recep Tayyip Erdoğan tarafından imzalanan kararname, yayımlandığı tarih itibarıyla yürürlüğe girdi.

Kaynak: Beykozun Sesi

Geliştiriciler ve İş Arayan DevOps Uzmanları Hedefte

Analize göre tehdit aktörü, özellikle yazılım geliştiricileri, DevOps ve DevSecOps ekiplerini ve iş arama sürecinde olan teknik adayları hedefliyor. Saldırganlar, daha önce ele geçirdikleri JSON Storage bağlantılarını iş görüşmesi veya teknik değerlendirme dosyası gibi göstererek mağdurlara iletiyor. Böylece süreç, meşru bir işe alım veya proje paylaşımı izlenimi veriyor.

Meşru Görünümlü JSON Dosyalarında Gizli Payload

Gönderilen linkler üzerinden erişilen dosyalar, ilk bakışta server, config.env ve benzeri default servis dosyalarını içeren gerçek bir JSON yapılandırması gibi görünüyor. Ancak içerikte base64 ile encode edilmiş zararlı bir payload bulunuyor. Mağdur bu dosyaları indirdiğinde veya çalıştırdığında payload sisteme yerleşiyor ve tehdit aktörünün iç ağa sızmasına zemin hazırlıyor.

Onur OKTAY’ın aktardığına göre saldırının ilk aşamasında, BearVerTail isimli bir JavaScript dosyası çalıştırılıyor ve zararlı yükün sisteme yerleşimi başlıyor. İkinci aşamada ise Python ile derlenmiş InvisibleFerret adlı bir backdoor devreye giriyor. Bu arka kapı yalnızca kalıcılık sağlamıyor, aynı zamanda başka bir zararlıyı sisteme çekmek için kullanılıyor.

TsunamiKit ile Veri Hırsızlığı, Fingerprint ve Lateral Movement

Saldırı zincirinin sonraki adımında TsunamiKit isimli malware öne çıkıyor. Analize göre TsunamiKit; data stealing (veri hırsızlığı), fingerprint (sistem ve kullanıcı profilleme) ve lateral movement (yatayda yayılma) gibi işlevler gerçekleştiriyor. Araç, base64 ile encode edilmiş bir URL yükü taşıyor ve bu trafiği “.onion” adreslerine yönlendirerek Tor ağı üzerinden haberleşiyor. Böylece komuta-kontrol (C2) trafiği gizleniyor ve iz sürmeyi zorlaştırıyor.

JsonKeeper, JsonSilo ve Npoint Üzerinden Meşru Trafik İllüzyonu

Tehdit aktörlerinin, güvenli ve masum görünen JsonSilo, JsonKeeper ve Npoint gibi JSON Storage servislerini kullanması saldırının kritik noktalarından biri olarak öne çıkıyor. Bu servisler üzerinden akan trafik, ilk bakışta tamamen meşru HTTP isteği gibi göründüğü için, manuel inceleme yapılmadığı sürece şüphe uyandırmıyor.

Onur OKTAY, söz konusu trafiğin çoğu durumda ancak HTTP trafiği derinlemesine izlenir ve içerikte base64 ile encode edilmiş şüpheli bloklar fark edilirse ortaya çıkarılabildiğini vurguluyor. Aksi durumda tüm süreç, “fazlasıyla legal” ve doğal bir JSON servis kullanımı gibi algılanabiliyor.

Saldırı Nasıl Tespit Edilebilir?

Analizde, bu tür saldırıların tespitine yönelik birden fazla savunma katmanı öneriliyor. Buna göre iyi yapılandırılmış bir EDR/XDR ürününün, base64 ile encode edilmiş şüpheli dosya ve komut dizilerini tespit ederek güvenlik ekiplerine ilk uyarıyı verebileceği belirtiliyor. Bu, saldırının anlaşılması ve zincirin geriye doğru analiz edilmesi için kritik ilk aşama olarak tanımlanıyor.

Kurumsal EDR çözümü bulunmayan, kişisel cihaz kullanan hedefler açısından ise kişisel güvenlik farkındalığı öne çıkıyor. Onur OKTAY, bu tip dosyaların doğrudan üretim sistemlerinde veya ana iş istasyonunda çalıştırılmaması, bunun yerine virtual ortamlar ya da sandbox sistemlerde açılıp analiz edilmesinin doğru ve güvenli yöntem olacağını ifade ediyor.

Ayrıca network tarafında HTTP URL monitoring yapılarak, bilinen kötü amaçlı alanlara veya meşru görünmeyen hedeflere çıkan trafiğin tespit edilebileceği belirtiliyor. Özellikle .onion uzantılı adreslere yönelen istekler ve daha önce ilişkilendirilmiş C2 IP adreslerine giden bağlantılar, saldırının pratikte yakalanabileceği noktalardan biri olarak gösteriliyor.

Yayınlanan IoC’ler: E-posta Adresleri, JSON URL’leri ve C2 IP’leri

Onur OKTAY’ın blog yazısında, saldırıyla ilişkilendirilen ve kamuya açık şekilde raporlanmasına onay verilen bir IoC (Indicator of Compromise) listesi paylaşıldı. Bu listede hem kimlik avı ve iletişim amaçlı kullanılan e-posta adresleri, hem JSON Storage servislerindeki zararlı içeriklerin bulunduğu URL’ler, hem de C2 sunucuları için kullanılan IP adresleri yer alıyor.

Paylaşılan e-posta adreslerinden bazıları şöyle sıralandı:
ahmadbahai07[@]gmail.com, drgru854[@]gmail.com, jack.murray.tf7[@]gmail.com, jackhill2765[@]gmail.com, reichenausteve[@]gmail.com, magalhaesbruno236[@]gmail.com, stromdev712418[@]gmail.com, trungtrinh0818[@]gmail.com.

JSON Storage Service URL’leri arasında ise şu adresler öne çıktı:
hxxps://jsonkeeper[.]com/b/GNOX4, hxxps://jsonkeeper[.]com/b/IARGW, hxxps://jsonkeeper[.]com/b/FM8D6, hxxps://jsonkeeper[.]com/b/GCGEX, hxxps://jsonkeeper[.]com/b/IXHS4, hxxps://jsonkeeper[.]com/b/86H03, hxxps://jsonkeeper[.]com/b/6OCFY, hxxps://jsonkeeper[.]com/b/E4YPZ, hxxps://jsonkeeper[.]com/b/8RLOV, hxxps://jsonkeeper[.]com/b/BADWN, hxxps://jsonkeeper[.]com/b/4NAKK, hxxps://jsonkeeper[.]com/b/JNGUQ, hxxps://jsonkeeper[.]com/b/O2QKK, hxxps://jsonkeeper[.]com/b/T7Q4V.

JsonSilo ve Npoint tarafında listelenen bazı URL’ler ise şöyle verildi:
hxxps://api[.]jsonsilo[.]com/public/0048f102–336f-45dd-aef6–3641158a4c5d, hxxps://api[.]jsonsilo[.]com/public/942acd98–8c8c-47d8–8648–0456b740ef8b, hxxps://api[.]npoint[.]io/e6a6bfb97a294115677d, hxxps://api[.]npoint[.]io/8df659fd009b5af90d35, hxxps://api[.]npoint[.]io/f4be0f7713a6fcdaac8b, hxxps://api[.]npoint[.]io/148984729e1384cbe212, hxxps://api[.]npoint[.]io/2169940221e8b67d2312, hxxps://api[.]npoint[.]io/a1dbf5a9d5d0636edf76, hxxps://api[.]npoint[.]io/62755a9b33836b5a6c28, hxxps://api[.]npoint[.]io/336c17cbc9abf234d423, hxxps://api[.]npoint[.]io/832d58932fcfb3065bc7, hxxps://api[.]npoint[.]io/cb0f9d0d03f50a5e1ebe, hxxps://api[.]npoint[.]io/f6dd89c1dd59234873cb, hxxps://api[.]npoint[.]io/03f98fa639fa37675526, hxxps://api[.]npoint[.]io/38acf86b6eb42b51b9c2.

C2 / IP adresleri arasında ise 107[.]189[.]25[.]109, 144[.]172[.]100[.]142, 144[.]172[.]103[.]97, 144[.]172[.]95[.]226, 144[.]172[.]97[.]7, 146[.]70[.]253[.]10, 146[.]70[.]253[.]107, 147[.]124[.]197[.]138, 147[.]124[.]197[.]149, 147[.]124[.]212[.]146, 147[.]124[.]212[.]89, 147[.]124[.]214[.]129, 147[.]124[.]214[.]131, 147[.]124[.]214[.]237, 165[.]140[.]86[.]227, 172[.]86[.]84[.]38, 172[.]86[.]98[.]240, 185[.]153[.]182[.]241, 185[.]235[.]241[.]208, 216[.]126[.]229[.]166, 23[.]106[.]253[.]194, 23[.]106[.]253[.]215, 23[.]106[.]253[.]221, 23[.]106[.]253[.]242, 23[.]227[.]202[.]242, 23[.]227[.]202[.]244, 23[.]254[.]164[.]156, 38[.]92[.]47[.]151, 38[.]92[.]47[.]85, 38[.]92[.]47[.]91, 45[.]128[.]52[.]14, 45[.]137[.]213[.]30, 45[.]43[.]11[.]201, 45[.]61[.]133[.]110, 45[.]61[.]150[.]30, 45[.]61[.]150[.]31, 45[.]61[.]151[.]71 adresleri paylaşıldı.

Diğer URL’ler arasında ise şu adresler dikkat çekiyor:
hxxps://pastebin[.]com/u/NotingRobe2871_FranzStill8494, hxxp[://]23[.]254[.]164[.]156/introduction-video, hxxp[://]n34kr3z26f3jzp4ckmwuv5ipqyatumdxhgjgsmucc65jac56khdy5zqd[.]onion.

Kuruluşlara ve Bireylere Çağrı

Onur OKTAY, paylaştığı IoC listesinin güvenlik ürünlerine, SIEM kurallarına ve URL/IP engelleme politikalarına hızla dahil edilmesi gerektiğini belirtiyor. Özellikle işe alım süreçlerinde veya proje iş birliklerinde gelen JSON Storage linklerinin, kaynağı ve içeriği doğrulanmadan açılmaması isteniyor. Kurumların, geliştiricilere ve DevOps ekiplerine yönelik farkındalık eğitimleriyle bu tür hedefli saldırı tekniklerine karşı hazırlıklı olması gerektiği vurgulanıyor.

Kaynak: Beykozun Sesi

İlk Bulaşma ve Zincir
Kampanya, kurbana WhatsApp mesajı ile ulaştırılan ZIP dosyası içindeki LNK dosyasının çalıştırılmasıyla başlıyor; LNK aracılığıyla cmd/PowerShell komutları bellek içinde yürütülüyor, Donut ile paketlenmiş shellcode ve gömülü .NET yürütülebilirleri C2’den indirilerek diske minimum yazma ile işleniyor. Araştırmacılar, bu akışın tamamen fileless olacak şekilde tasarlandığını belirtti.

Teknik Özellikler ve Hedefleme
Maverick, indirme isteklerinde özel User-Agent ve HMAC tabanlı bir “API Key” doğrulaması uygulayarak doğrudan C2 dışında normal indirme araçlarının başarısız olmasını sağlıyor. İndirme ve decrypt süreçlerinde XOR/anahtar sonek boyutu yöntemi, .NET yükleyicinin ise kontrol akışını düzleştirme (control-flow flattening) ve dolaylı çağrılarla obfuscation uyguladığı rapor edildi. Yazılım kurbanın zaman dilimi, dil, bölge ve tarih formatını kontrol ederek çoğunlukla Brezilya’da çalışan modülleri aktif hale getiriyor.

Otomatik Yayılma Mekanizması
Maverick’in en zararlı özelliklerinden biri, ele geçirilen WhatsApp oturumlarını WPPConnect ve Selenium kullanarak otomatik mesaj gönderme ve ZIP/.LNK dosyalarını hızla yayma yeteneği; bu durum tek bir ele geçirilmiş hesap üzerinden büyük ölçekli yayılım riskini doğuruyor. Araştırmacılar ilk 10 gün içinde sadece Brezilya’da 62 binin üzerinde engellenmiş deneme tespit ettiklerini bildirdi.

Bankacılık Fonksiyonları ve Agent Yetkinlikleri
Ana banker modülü (Maverick Agent) tarayıcıları izleyerek 26 Brezilya bankası, 6 kripto borsası ve 1 ödeme platformunu hedef alıyor; ekran görüntüsü alma, keylogger, pencere/işlem kontrolü, phishing üstü pencereler oluşturma ve oturum bilgilerini sızdırma gibi işlevleri bulunuyor. İletişim SSL tünelli WatsonTCP ile sağlanıyor; araştırmacılar C2 host örnekleri ve API yolları tespit etti.

Tespit Sinyalleri (Yüksek Seviye IoC Örnekleri)
Araştırmacılar uyarı amaçlı şu tespit sinyallerini paylaştı: ZIP içinden çıkan veya çalıştırılan .lnk dosyaları, PowerShell tarafından başlatılan şifrelenmiş/encoded script yürütmeleri, kısa sürede çok sayıda kişiye/ gruba otomatik mesaj gönderen WhatsApp Web oturumları ve Kaspersky/Trend Micro/Sophos gibi ürünlerde görülen EDR/AV uyarıları. Ayrıca analizlerde geçen bazı C2/URL örnekleri: sorvetenopote.com (api/v1/...), casadecampoamazonas.com. (Bu liste ayrıntılı IoC’ler içermeyen örnek amaçlıdır; SOC ekipleri özgün raporlardaki IoC listelerini kullanmalıdır.)

Savunma ve Öneriler
Araştırmacılar bireylere bilinmeyen ZIP ve .LNK eklerini açmamalarını, WhatsApp bağlı cihazlarını düzenli kontrol etmelerini ve tanımadıkları bağlantıları kaldırmalarını tavsiye etti. Kurumlara ise PowerShell izleme, EDR davranış analizleri, şüpheli ağ trafiği ve anormal WhatsApp Web aktivitelerinin takibi, IoC’lerin güncel kaynaklardan çekilip bloklanması ve etkilenen makinelerin izole edilerek IR süreçlerinin başlatılması önerildi. Yasal yükümlülükler çerçevesinde finans kuruluşlarının ve etkilenen kullanıcıların ilgili bildirimleri yapması gerektiği hatırlatıldı.

Kaynak ve Analiz Notu
Kaspersky (SecureList), Trend Micro, Sophos, Broadcom, BlueVoyant ve bağımsız güvenlik araştırma gruplarının raporları üzerinde yapılan analizler, Maverick’in Coyote benzeri kod örtüşmeleri içerdiğini; ancak mimari ve dağıtım zincirinin yeni ve modüler olduğunu gösteriyor. Teknik raporlar, IoC listeleri ve örnek yakalama verileri ilgili laboratuvar bültenlerinde yer alıyor; haber metninde saldırı kodları veya eylemsel komutlar paylaşılmadı.

Kaynak: Beykozun Sesi

Zafiyetin Teknik Ayrıntıları
Google tarafından yayımlanan özet rapora göre, açığın kök nedeni hatalı input-parsing sürecinde oluşan bellek bozulması (heap/stack corruption) olarak değerlendiriliyor. Bu durum, kötü niyetli verilerin sistem servisleri veya arka plan işlemleri aracılığıyla işlenmesi sırasında tetiklenebiliyor.

Saldırı Vektörleri ve Etki Alanı
Saldırganların özel hazırlanmış paketler veya sideload edilmiş kötü amaçlı APK’lar kullanarak cihazlarda uzaktan kod çalıştırma yetkisi elde edebildiği bildirildi. Açığın, IPC/Binder çağrıları, medya ve ağ parser’ları gibi arka plan bileşenleri üzerinden tetiklenebilmesi dikkat çekiyor.

İlgili Diğer Zafiyet: CVE-2025-48581
Google ayrıca Android 16 sürümünde tespit edilen yüksek riskli bir ayrıcalık yükseltme (EoP) zafiyetini CVE-2025-48581 (A-428945391) koduyla duyurdu. Bu zafiyetin RCE açığıyla birlikte zincirleme olarak kullanılabileceği değerlendiriliyor.

Kullanıcılara Uyarı ve Güvenlik Önerileri
Uzmanlar, bu tür “0-click” saldırıların kullanıcıdan herhangi bir etkileşim gerektirmediği için özellikle tehlikeli olduğunu belirtiyor. Google, kullanıcıların resmî güvenlik güncellemelerini beklemeden yüklemelerini, ayrıca bilinmeyen kaynaklardan uygulama yüklememelerini önerdi.

Kaynak: Beykozun Sesi

Hedef Ülkeler Arasında Türkiye de Var
Unit 42’nin raporuna göre LANDFALL saldırıları Türkiye, Irak, İran ve Fas başta olmak üzere bölgesel olarak kümelenmiş durumda. Araştırmacılar, bu nedenle LANDFALL’ın genel bir zararlı yazılım değil, bölgesel casusluk operasyonu olduğunu vurguladı.

Görsel Dosya Görünümlü Bulaşma Yöntemi
Casus yazılım, WhatsApp üzerinden gönderilen kötü amaçlı DNG formatındaki görseller aracılığıyla cihazlara sızıyor. Bozuk (malformed) dosya, görüntü işleme kütüphanesindeki açığı tetikleyerek casus modülleri cihazın sistem dizinlerine bırakıyor. Unit 42, bu istismarın kullanıcı etkileşimi gerektirmeden “zero-click” şeklinde gerçekleşebileceğini aktardı.

Casusluk Yetenekleri Geniş
LANDFALL; cihaz kimlik bilgileri, çağrı kayıtları, mikrofon sesleri, mesaj içerikleri, konum verileri, rehber ve kamera erişimleri gibi birçok veriyi toplama kapasitesine sahip. Bu yönüyle yazılım, siber gözetim ve saha takibi için profesyonel düzeyde tasarlanmış bir araç olarak tanımlandı.

Samsung Açıkları Nisan ve Eylül 2025’te Kapattı
Samsung, Nisan 2025’te LANDFALL tarafından sömürülen açığı giderdi, Eylül 2025’te ise aynı kütüphanedeki benzer bir zafiyeti (CVE-2025-21043) kapattı. Güvenlik yamalarının özellikle Galaxy S serisi ve katlanabilir modeller için kritik olduğu bildirildi.

Türkiye USOM Erken Uyardı
Türkiye Ulusal Siber Olaylara Müdahale Merkezi (USOM), 2025 yazında LANDFALL saldırısında kullanılan komuta kontrol (C2) alan adlarını “zararlı bağlantılar” listesine dahil etti. Bu durum, Türkiye’nin kampanyayı erken evrede tespit ettiğini gösterdi.

Orta Doğu Merkezli Casusluk Yapısı Şüphesi
Unit 42, LANDFALL’ın kullandığı altyapıların, daha önce Stealth Falcon / Project Raven gibi BAE merkezli ticari casusluk operasyonlarıyla benzerlik taşıdığını açıkladı. Araştırmacılar, yazılımın devlet kurumlarına hizmet veren özel sektör menşeli saldırı operatörlerince geliştirildiğini değerlendiriyor.

Kaynak: Beykozun Sesi

1.200 SIM-Box ve 40.000 Aktif Kart Ele Geçirildi
Yetkililer, ağın farklı ülkelerdeki SIM-box cihazlarına yerleştirilen on binlerce SIM kartı kullanarak uluslararası aramaları yerel gibi gösterdiğini, bu yöntemle kimlik gizleme, sahte yatırım ve phishing dolandırıcılıklarında aktif rol oynadığını açıkladı. Operasyonda 1.200 SIM-box, 5 sunucu ve 40.000 aktif SIM kartın yanı sıra €431.000 tutarında banka varlığı, $333.000 değerinde kripto para ve 4 lüks otomobil ele geçirildi.

80’den Fazla Ülkede Sahte Hesap Ağı
Europol açıklamasına göre, ağ 80’den fazla ülkenin telefon numaralarıyla yaklaşık 49 ila 50 milyon sahte çevrim içi hesap oluşturmayı mümkün kıldı. Bu hesapların kimlik hırsızlığı, dolandırıcılık ve yasa dışı finansman faaliyetlerinde kullanıldığı değerlendiriliyor. Sadece Avusturya ve Letonya’da 3.200’den fazla vaka tespit edilirken, zararın toplamda 5 milyon euroya yaklaştığı bildirildi.

Sitelere El Konuldu
Yetkililer, suçta kullanılan gogetsms.com ve apisim.com alan adlarına el koydu. Bu platformların, ağ üyelerine sahte numara üretimi ve SMS kimlik doğrulama hizmetleri sunduğu tespit edildi.

Uluslararası İş Birliği ve Soruşturmanın Seyri
Europol operasyonel destek sağlarken, Eurojust adli koordinasyonu yürüttü. Letonya merkezli soruşturma kapsamında 5 kişi Letonya’da, 2 kişi ise başka ülkelerde yakalandı. Dijital delillerin analizi ve finansal izleme süreci halen devam ediyor.

Siber Suç Ekonomisine Darbe
Uzmanlar, operasyonun “cybercrime-as-a-service” yapılarının çökertilmesinde önemli bir adım olduğunu belirtiyor. SIM-box sistemlerinin, siber suçluların kimlik gizleme ve geniş ölçekli dolandırıcılık altyapılarını sürdürmede kritik rol oynadığı vurgulandı.

Kaynak: Beykozun Sesi

SMS’teki kısa bağlantıya tıklayan kullanıcı önce mobil tarayıcıda açılan sahte sayfaya yönlendiriliyor. Sayfa kullanıcıdan öncelikle cep telefonu numarasını girmesini istiyor. Telefon numarası girildikten sonra resimde görülen ödeme bölümü açılıyor; burada karttaki isim, kart numarası, son kullanma tarihi ve CVV kodu gibi bilgiler talep ediliyor. Sayfa, resmi kurum tasarımını andıran öğeler (örneğin KGM benzeri logo, “Elektronik geçiş ücretini çevrimiçi ödeyin” başlığı) kullanarak güven yaratmaya çalışıyor.

Siber güvenlik araştırmacısı ve haberci Ebubekir Bastama, yapılan incelemede sitenin yalnızca mobil cihazlarda açıldığını ve ilk aşamada telefon numarası istendiğini tespit ettiğini bildirdi. Bastama bulgularını Ulusal Siber Olaylara Müdahale Merkezi’ne (USOM) iletti.

Bu Sahte SMS Bastama tarafından eğitim verdiği bir vatandaş tarafından bildirilmesi ile tespit edilmiştir. Mesajda son ödeme tarihi 14 Ekim 2025 olarak gösteriliyor; gönderimler son günlere bırakılarak kullanıcıların acele etmesi amaçlanıyor. Benzer dolandırıcılık girişimleri yıl içinde farklı tarihlerle tekrar edilebiliyor.Site önce telefon numarası, sonra banka kartı bilgilerini talep ettiği için kullanıcı hakkında daha fazla sosyal mühendislik verisi toplanabiliyor. Kart bilgileri girildiğinde dolandırıcılar ödeme bilgilerini ele geçirip kötüye kullanabilir; ayrıca cihazlara zararlı yazılım yüklenme riski de bulunuyor.

SMS metni örneği şu şekilde bulunuyor:
"Değerli Araç Sahibi, Sistem kayıtlarına göre, HGS bakiyeniz yetersiz olduğundan aracınızın Otoyol geçiş ücreti ödenmemiştir. Cezalı duruma düşmemeniz için, lütfen 14 Ekim 2025 tarihine kadar ödemenizi tamamlayınız. Ödenmemiş Tutar: 795,00 TL Ödeme Bağlantısı: https:[//]kgminfo[.]cc/gv?qr=3urgOi"
Bağlantıya tıklayan mobil tarayıcıda ilk aşamada telefon numarası isteniyor; ardından kart bilgileri girilen sahte ödeme formu gösteriliyor. Site mobilde çalışacak şekilde tasarlandığı için masaüstünde kolayca gözden kaçabiliyor.

Resmi kurum isimleriyle gelen ancak doğrulanamayan mesajlara itibar edilmemeli. Uzmanlar şu adımları öneriyor:

• Gelen bağlantıya kesinlikle tıklanmaması ve mesajın silinmesi.

• Gönderen numaranın engellenmesi ve mobil operatöre bildirilmesi.

• Telefon numarası ve kart bilgisi girildiyse bankaya derhal başvurarak kartın bloke ettirilmesi.

Resmi kurumlar genellikle ödeme taleplerini SMS içindeki kısa bağlantılar aracılığıyla doğrudan talep etmez. Vatandaşların e-Devlet, banka mobil uygulamaları veya kurumların resmi internet siteleri üzerinden doğrulama yapması gerekiyor. Kısa URL’ler ve bilinmeyen alan adları içeren mesajlara dikkat edilmeli; SMS’teki link yerine kurumların resmi iletişim kanalları kullanılmalı. Mobil uygulama izinleri ve tarayıcı yönlendirmeleri konusunda temkinli olunmalı.

Kaynak: Beykozun Sesi

Güney Kore’nin Daejeon kentinde bulunan Ulusal Bilgi Kaynakları Servisi’ne (NIRS) ait devlet veri merkezinde 26 Eylül 2025 akşamı meydana gelen yangın, ülkenin dijital altyapısında ciddi kesintilere yol açtı. Yaklaşık 22 saat süren yangında “G-Drive” adlı ulusal bulut sistemi tamamen yok olurken, 858 terabaytlık devlet verisi kalıcı biçimde kaybedildi.

Yangının ilk bulguları

İlk tespitlere göre olay, enerji depolama alanındaki lityum-iyon bataryalarda yaşanan arıza sonucu başladı. Yetkililer 384 batarya paketinin yanarak imha olduğunu, “termal kaçak” nedeniyle yangının hızla yayıldığını bildirdi.

709 kamu hizmeti etkilendi

Yangın sonrası 709 çevrimiçi kamu hizmeti geçici olarak durdu. Bunlar arasında kimlik doğrulama, dilekçe başvuruları, posta sistemleri ve idari modüller yer aldı. İlk günlerde yalnızca %10’u yeniden çalıştırılabildi. 10 Ekim 2025 itibarıyla 217 sistem (%30,6) yeniden devreye alındı.

Yedekleme eksikliği krizin boyutunu artırdı

Kayıpların büyük kısmı, G-Drive sisteminin harici yedekleme altyapısına sahip olmamasından kaynaklandı. Korea Joongang Daily’ye göre, sistem düşük öncelikli sınıflandırıldığı için harici yedekleme yatırımı yapılmamıştı. Bu nedenle verilerin kurtarılması mümkün olmadı.

Soruşturma pil kaynaklı senaryoya odaklandı

Polis ve teknik ekipler, yangının lityum-iyon bataryalardan kaynaklandığını doğrulamak için incelemelerini sürdürüyor. Batarya odalarındaki ısı sensörleri, enerji kesme sistemleri ve taşıma süreci üzerinde duruluyor.

Resmî tepkiler ve alınan önlemler

Cumhurbaşkanı Lee Jae-myung olayın ardından veri merkezini ziyaret ederek yedeklilik standartlarının güçlendirilmesi talimatını verdi. Kriz yönetim merkezi, hizmetlerin aşamalı olarak yeniden devreye alınacağını ve ikili (dual) sistem planlamasının başlatıldığını açıkladı.

Uzman görüşleri

Uzmanlar, “bulut sistemlerin fiziksel risklerden muaf olmadığı” vurgusunu yaptı. Çok bölgeli mimarilerin ve düzenli yedekleme testlerinin zorunlu hale getirilmesi gerektiği ifade edildi. Ayrıca, enerji depolama odalarında lityum-iyon bataryaların güvenlik protokollerinin gözden geçirilmesi istendi.

Zaman çizelgesi

• 26 Eylül 2025: Yangın 20.15 civarında başladı, hızla yayıldı.

• 27 Eylül 2025: Yangın kontrol altına alındı.

• 1 Ekim 2025: G-Drive verilerinin kurtarılamadığı kesinleşti.

• 10 Ekim 2025: Kurtarma oranı %30,6’ya ulaştı.

Kaynak: Beykozun Sesi

Uzmanlara göre, zafiyet “service_finder_switch_back()” adlı fonksiyonun hatalı çalışmasından kaynaklanıyor. Bu fonksiyon, kullanıcı geçişlerinde “original_user_id” adlı çerezi kullanıyor ancak bu çerezde kimlik doğrulama kontrolü bulunmuyor. Saldırganlar bu çerezi manipüle ederek yönetici yetkilerine sahip hesaplara erişim sağlayabiliyor.

Siber güvenlik araştırmacıları, söz konusu açığın kötü niyetli kişilere içerik değiştirme, şifre güncelleme, zararlı kod ekleme veya siteyi oltalama ve kötü amaçlı yazılım kampanyalarında kullanma imkânı tanıdığını belirtiyor.

Etki Alanı ve Riskler
Açık, “Service Finder” temasının 6.0 sürümüne kadar olan tüm versiyonlarını etkiliyor. Tema güncel değilse, sistem üzerinde hiçbir eklenti olmasa bile site savunmasız durumda olabiliyor. Etkilenen sistemlerde izinsiz girişler, yeni kullanıcı hesaplarının oluşturulması ve yönetici panosunda olağandışı aktiviteler gözlemlenebiliyor.

Güvenlik raporlarına göre, saldırı girişimlerinde 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71 ve 178.125.204.198 IP adreslerinden gelen istekler tespit edildi. Ancak bu adreslerin kayıtlarında bulunmaması sistemin güvenli olduğu anlamına gelmiyor.

Alınması Gereken Önlemler
Uzmanlar, temanın 6.0 sonrası sürümüne geçilmesini, tüm kullanıcı hesaplarının ve yetkilerinin gözden geçirilmesini, güvenlik duvarı (WAF) veya Wordfence gibi eklentilerin aktif hale getirilmesini öneriyor. Ayrıca site trafiği ve çerez davranışlarının özellikle yönetici oturumlarında izlenmesi gerektiği vurgulanıyor.

Sistemin yedekten geri yüklenmesi planlanıyorsa, kullanılan yedeklerin temiz ve güvenilir bir kaynaktan alındığından emin olunması gerekiyor.

Kaynak: Beykozun Sesi

ABD Gizli Servisi, New York’ta Birleşmiş Milletler (BM) Genel Kurulu’nun güvenliği için kritik bir operasyon gerçekleştirdi. Açıklamaya göre 100.000’den fazla SIM kart ve 300’den fazla SIM sunucusu ele geçirildi. New York genelinde 35 millik bir alanı kapsayan gizli telekomünikasyon ağı tamamen çökertildi.

Tehdit Kapasitesi
Yetkililer, ele geçirilen sistemin dakikada 30 milyon SMS gönderebilecek büyüklükte olduğunu açıkladı. Ağın baz istasyonlarını devre dışı bırakma, 911 acil yardım hattına DDoS saldırısı düzenleme ve şifreli iletişim sağlama gibi işlevlere sahip olduğu belirtildi. Bu kapasitenin kamu güvenliğini ve diplomatik faaliyetleri doğrudan tehlikeye atabileceği vurgulandı.

BM Genel Kurulu Çevresinde Yoğunlaşma
Operasyonda tespit edilen cihazların büyük kısmı BM Genel Kurulu’nun yapıldığı bölge çevresinde bulundu. Bu durum, ağın uluslararası diplomatik etkinliği hedef aldığı ihtimalini güçlendirdi.

Ulus-Devlet ve Suç Örgütleri Bağlantısı
ABD’li yetkililer, adli incelemenin sürdüğünü ve ilk bulguların ulus-devlet destekli tehdit aktörleri ile organize suç grupları arasında bağlantıya işaret ettiğini duyurdu. Uzmanlara göre bu tür bir ağ casusluk, kritik altyapılara saldırı planlama ve gizli iletişim için kullanılabiliyor.

Fail Belirsizliğini Koruyor
Operasyon sonrası bazı çevrelerde Rusya, Çin ve İsrail’in adı geçse de, ABD yetkilileri herhangi bir ülkeyi resmi olarak işaret etmedi. Gizli Servis sözcüsü, “Henüz belirli bir devlet ya da örgütü suçlayacak delil yok” ifadesini kullandı.

ABD’nin Çok Katmanlı Önlemleri
Operasyona Gizli Servis’in yanı sıra FBI, İç Güvenlik Bakanlığı (DHS) ve New York polisinin de katıldığı bildirildi. BM Genel Kurulu boyunca şehirde üst düzey güvenlik protokolleri uygulandı.

Adli İnceleme Devam Ediyor
Ele geçirilen cihazlar üzerinde yapılan incelemeler, sistemin hangi ülke ya da örgütlerle bağlantılı olduğunu ve planlanan olası saldırıların boyutunu ortaya koyacak. Yetkililer, “Tehdit tam olarak ortadan kalkmış değil, soruşturma sürüyor” uyarısında bulundu.

Kaynak: Beykozun Sesi

AppCloud, ironSource’un (2022’de Unity ile birleşen İsrail merkezli şirket) “Aura” ekosistemi kapsamında MENA pazarında Samsung ile yaptığı iş birliğiyle dikkat çekiyor. Şirketin açıklamalarına göre ironSource, 50’den fazla ülkede yeni Galaxy A ve M serilerinde tek partner olarak konumlandırıldı.

Samsung’un yanıtı belirsiz
Samsung’un genel gizlilik politikaları kamuya açık olsa da, SMEX’in iddialarına yönelik doğrudan ve teknik bir açıklama bulunmuyor. Kullanıcı forumlarında, AppCloud’un devre dışı bırakılmasına yönelik farklı deneyimler paylaşılıyor. Ancak bu durum cihaz modeli, bölge ve ROM sürümüne göre değişiklik gösterebiliyor.

Galaxy cihazlarda kritik açık kapatıldı
Tartışmalar devam ederken Samsung, Eylül 2025 güvenlik güncellemesiyle CVE-2025-21043 kodlu sıfır-gün açığını kapattığını duyurdu. Görüntü işleme kütüphanesindeki bu hata, kullanıcı etkileşimi olmadan uzaktan kod çalıştırmaya izin verebiliyordu. Güvenlik topluluğu, açığın saldırılarda kullanıldığını doğruladı ve güncellemenin acilen yüklenmesi gerektiğini belirtti.

NSO Group kararı kamuoyundaki hassasiyeti artırıyor
Mayıs 2025’te ABD’de sonuçlanan davada, NSO Group WhatsApp kullanıcılarını hedef alan faaliyetler nedeniyle 168 milyon dolar tazminata mahkûm edildi. Bu dava, İsrail menşeli yazılımlara yönelik küresel hassasiyeti artırırken, AppCloud iddialarının da kamuoyunda daha dikkat çekici hale gelmesine yol açtı.

Kullanıcılar için öneriler
Uzmanlar, Samsung kullanıcılarının cihazlarını en güncel yazılıma yükseltmesini ve AppCloud gibi ön-yüklü uygulamaları kontrol etmesini öneriyor. İzin yöneticisi aracılığıyla kamera, mikrofon ve konum erişimlerinin sınırlandırılması, anormal veri ve pil kullanımının takip edilmesi tavsiye ediliyor. Gelişmiş kullanıcılar için ADB komutlarıyla sistem uygulamalarını devre dışı bırakma seçeneği de bulunuyor.

Kaynak: Beykozun Sesi

Veri ihlali bildirimine göre saldırganlar, e-posta adresleri, kullanıcı adları, kimlik doğrulama bilgileri ve hashlenmiş parolalara erişti. Plex, parolaların en iyi güvenlik uygulamalarına uygun şekilde hashlenmiş olduğunu ve üçüncü taraflarca doğrudan okunamayacağını belirtti. Ancak kullanılan algoritma paylaşılmadığı için saldırganların bu hashleri kırmayı deneyebileceği ihtimali gündeme geldi.

Kullanıcılara, plex.tv/reset adresinden parolalarını sıfırlamaları ve “Parola değişikliğinden sonra bağlı cihazlardan çıkış yap” seçeneğini işaretlemeleri önerildi. Bu adım, mevcut oturumları kapatarak hesapların kötüye kullanılmasını önleyecek. SSO kullananların ise plex.tv/security üzerinden tüm cihazlardan çıkış yapmaları gerektiği bildirildi.

Plex ayrıca kullanıcılara ek güvenlik için iki faktörlü kimlik doğrulama (2FA) etkinleştirmelerini hatırlattı ve hiçbir zaman e-posta yoluyla parola veya kredi kartı bilgisi talep etmediğini vurguladı.

Şirket, saldırının nasıl gerçekleştiğine dair teknik ayrıntı paylaşmazken, ihlale yol açan yöntemin giderildiğini açıkladı. Olayın ödeme bilgilerini etkilemediği, çünkü bu verilerin Plex sunucularında tutulmadığı belirtildi.

Bu olay, Plex kullanıcılarının ilk kez parolalarını sıfırlamak zorunda kalışı değil. Ağustos 2022’de benzer bir ihlalde yine kimlik doğrulama verileri ve hashlenmiş parolalar açığa çıkmıştı.

Kaynak: Beykozun Sesi

Bu zafiyet, insecure deserialization (güvensiz serileştirme) sorunundan kaynaklanıyor. Kimliği doğrulanmamış bir saldırgan, RMI-P4 protokolü üzerinden kötü amaçlı Java nesneleri göndererek hedef sistemde keyfi komut çalıştırabiliyor. RMI-P4, NetWeaver AS Java bileşenlerinde SAP içi iletişim ve yönetim için kullanılıyor. Yanlış yapılandırmalar nedeniyle bu portun internetten erişilebilir durumda olması, riski artırıyor.

Diğer kritik açıklar:

• CVE-2025-42922 (CVSS 9.9): NetWeaver AS Java (Deploy Web Service) bileşeninde hatalı dosya işlemleri. Kimliği doğrulanmış düşük yetkili saldırgan, zararlı dosyalar yükleyerek tam sistem ele geçirme riski oluşturabiliyor.

• CVE-2025-42958 (CVSS 9.1): Kimlik doğrulama eksikliğinden kaynaklanan açık, yetkisiz yüksek ayrıcalıklı kullanıcıların hassas verileri okumasına, değiştirmesine veya silmesine imkân tanıyor.

SAP ayrıca yüksek önemde değerlendirilen şu açıkları da giderdi:

• CVE-2025-42933 (SAP Business One SLD): Hassas verilerin güvensiz depolanması.

• CVE-2025-42929 (SLT Replication Server): Eksik girdi doğrulama nedeniyle replike edilen verilerin manipüle edilmesi.

• CVE-2025-42916 (S/4HANA): Temel bileşenlerde eksik girdi doğrulama ile yetkisiz veri manipülasyonu riski.

SAP ürünleri, kritik iş süreçlerinde kullanıldıkları ve yüksek değerli veriler barındırdıkları için siber tehdit aktörlerinin sıkça hedefinde bulunuyor. Nitekim bu ayın başında, S/4HANA, Business One ve NetWeaver ürünlerini etkileyen CVE-2025-42957 kod enjeksiyonu açığının aktif şekilde istismar edildiği ortaya çıkmıştı.

Sistem yöneticilerine, CVE-2025-42944, CVE-2025-42922 ve CVE-2025-42958 için yayımlanan yamaları en kısa sürede uygulamaları tavsiye ediliyor.

Kaynak: Beykozun Sesi

Hata nedeniyle 5 Eylül’den itibaren kullanıcılar, güvenli olduğu doğrulanan bağlantılara erişemezken, bazı e-postalar da karantina altına alındı. Yönetici panellerinde, “Potansiyel olarak zararlı bir URL tıklandı” başlıklı uyarılar görülmeye başlandı.

Microsoft’un açıklamasına göre bugüne kadar 6 binden fazla URL etkilendi. Şirket, etkilenen bağlantıları yeniden erişilebilir hale getirmek için engellemeleri kaldırıyor ve hatalı olarak karantinaya alınan mesajların geri yüklenmesi için çalışıyor.

Kısmi çözüm uygulandı
Microsoft mühendisleri, senkronizasyonların artık karantinaya girmemesini sağlayan bir düzeltme yayımladı. Ancak, hatalı anti-spam modelleri nedeniyle bazı bağlantıların hâlâ erişime kapalı olduğu belirtildi. 8 Eylül’de yapılan güncellemede, yeni bir URL grubunun daha etkilendiği ve çözüm çalışmalarının sürdüğü açıklandı.

Şirket, sorunun büyük ölçüde giderildiğini ancak kök neden analizi tamamlanana kadar kalan etkilerin giderilmesi için çalışmaların sürdüğünü bildirdi. Microsoft, etkilenen müşteri sayısı veya bölgeler hakkında ayrıntı paylaşmadı.

Benzer sorunlar daha önce de yaşandı
Microsoft, 2025 yılı içerisinde Exchange Online hizmetinde benzer hatalarla birkaç kez karşılaştı. Mart ayında bazı e-postaların yanlışlıkla karantinaya alınmasına, Nisan’da Adobe e-postalarının spam olarak işaretlenmesine, Mayıs’ta ise Gmail’den gelen iletilerin yanlış sınıflandırılmasına yol açan hatalar düzeltilmişti.

Kaynak: Beykozun Sesi

Siber güvenlik firması Sansec’e göre Adobe, 4 Eylül’de seçili müşterilerini güvenlik açığı hakkında bilgilendirmiş ve 9 Eylül’de yama yayımlayacağını duyurmuştu. Adobe Commerce Cloud kullanıcıları için geçici olarak web uygulama güvenlik duvarı (WAF) kuralı devreye alınmıştı.

Adobe, güvenlik bülteninde şu ana kadar açık istismarına dair bir bulgu olmadığını açıkladı. Ancak Sansec, CVE-2025-54236 için hazırlanan ilk hotfix’in geçtiğimiz hafta sızdırıldığını ve bunun tehdit aktörlerine avantaj sağlayabileceğini belirtti.

Araştırmacılar, açığın özellikle oturum verilerinin dosya sisteminde depolandığı mağaza kurulumlarında etkili olduğunu vurguladı. Bu durum, çoğu varsayılan yapılandırmanın savunmasız olduğunu ortaya koyuyor.

Hemen güncelleme tavsiyesi
Adobe, yamayı doğrudan indirilebilir paket olarak yayımladı ve yöneticilerin test edip vakit kaybetmeden dağıtmalarını tavsiye etti. Şirket, düzeltmenin Magento’nun bazı dahili işlevlerini devre dışı bırakabileceğini, bu nedenle özel veya harici kodlarda uyumsuzluk yaşanabileceğini açıkladı.

Sansec, SessionReaper açığının yakın geçmişteki CosmicSting, TrojanOrder, Ambionics SQLi ve Shoplift vakalarıyla aynı ciddiyet seviyesinde olduğunu ve otomasyon yoluyla kitlesel istismara uygun olduğunu belirtiyor.

Araştırmacılar, açığın teknik ayrıntılarını paylaşmadı ancak saldırının geçen yılki CosmicSting ile benzer bir model izlediğini kaydetti.

Kaynak: Beykozun Sesi

Savcılık belgelerine göre Tymoshchuk, Temmuz 2019 ile Haziran 2020 arasında 250’den fazla ABD şirketi ile dünya genelinde birçok kurbanın ağına sızarak LockerGoga ve MegaCortex saldırılarında rol aldı. Bu saldırılarda bazen kolluk kuvvetlerinin erken uyarıları sayesinde fidye yazılımı devreye sokulamadı.

Temmuz 2020’den Ekim 2021’e kadar Nefilim fidye yazılımı operasyonunu yönettiği belirtilen Tymoshchuk’un, ortaklarına erişim sağladığı ve fidye gelirinin %20’sini aldığı iddia ediliyor. Suç ortaklarından Artem Aleksandrovych Stryzhak, Nisan 2025’te İspanya’dan ABD’ye iade edilmişti.

Siber güvenlik şirketi Group-IB, Kasım 2023’te yayımladığı raporda Tymoshchuk’u JSWORM, Karma, Nokoyawa ve Nemty gibi diğer fidye yazılım gruplarıyla da ilişkilendirmiş ve Rusça forumlarda eleman temininde rol oynadığını ortaya koymuştu.

ABD Savcısı Joseph Nocella Jr., “Tymoshchuk, büyük Amerikan şirketlerini, sağlık kurumlarını ve uluslararası sanayi kuruluşlarını hedef alan seri bir fidye yazılım suçlusudur” açıklamasında bulundu. Adalet Bakanlığı yetkilileri, bazı saldırıların şirket faaliyetlerini tamamen durma noktasına getirdiğini aktardı.

Eylül 2022’de uluslararası iş birliğiyle LockerGoga ve MegaCortex için ücretsiz şifre çözücüler yayımlanmış, mağdurların verilerini fidye ödemeden kurtarmasına olanak sağlanmıştı.

Tymoshchuk; bilgisayar dolandırıcılığı için iki komplo, korunan bilgisayarlara zarar vermek için üç suçlama, yetkisiz erişim ve gizli bilgileri ifşa etme tehdidiyle yargılanacak. ABD Dışişleri Bakanlığı, Tymoshchuk veya suç ortaklarının yakalanmasına yönelik bilgi sağlayanlara 11 milyon dolara kadar ödül teklif ediyor.

Kaynak: Beykozun Sesi

Adalet Bakanlığı’na göre BlackDB, çalıntı kullanıcı hesapları, sunucu erişim bilgileri, kredi kartı verileri ve kişisel kimlik bilgileri (PII) satışı yapıyordu. Bu veriler özellikle ABD vatandaşlarını hedef aldı ve satın alan siber suçlular tarafından kredi kartı dolandırıcılığı, vergi dolandırıcılığı ve kimlik hırsızlığı gibi yasa dışı faaliyetlerde kullanıldı.

Masurica, yetkisiz erişim cihazlarının dolandırıcılık amaçlı kullanımına ilişkin beş ayrı suçtan ve erişim cihazı dolandırıcılığı için komplo kurmaktan suçlandı. Tüm suçlamalardan mahkûm edilirse 55 yıla kadar federal hapis cezası alabilir.

Soruşturma, FBI’ın koordinasyonunda Kosova Polisi Siber Suçlar Şubesi tarafından yürütüldü. Ayrıca Adalet Bakanlığı Uluslararası İşler Ofisi ve FBI’ın Sofya’daki hukuk müşavirliği ofisi de iade sürecine destek verdi.

BlackDB operasyonu, Avrupa’da son dönemde artan siber suç pazarlarına yönelik baskıların bir parçası oldu. Aralık 2024’te Rydox pazarı kapatılmış, Kosovalı yöneticiler Ardit Kutleshi, Jetmir Kutleshi ve Shpend Sokoli tutuklanmıştı. Aynı günlerde Almanya polisi, Crimenetwork ve Manson Market isimli ülkenin en büyük siber suç pazarlarını kapatıp kilit şüphelileri yakaladı.

2025 başında ise Ukrayna makamları, Paris savcılığının talebiyle Rusça konuşulan XSS forumunun yöneticisini gözaltına aldı. Fransa’da ise BreachForums’un beş yöneticisi tutuklandı.

Kaynak: Beykozun Sesi

İki kamuya açıklanmış sıfır gün düzeltildi.

• CVE-2025-55234 – Windows SMB EoP. Konfigürasyona bağlı olarak SMB Sunucusu’nda röle saldırılarıyla ayrıcalık yükseltme mümkün olabiliyor. Microsoft, SMB Server Signing ve Extended Protection for Authentication (EPA) etkinleştirilmesini öneriyor; ancak eski cihazlarla uyumluluk sorunlarına karşı SMB istemci uyumluluğu için denetim desteği bu ayki güncellemelerle etkinleştirildi.

• CVE-2024-21907 – Newtonsoft.Json (SQL Server bileşeni). 13.0.1 öncesi sürümlerde istisna koşullarının hatalı ele alınması, JsonConvert.DeserializeObject üzerinden StackOverflow ile hizmet reddine yol açabiliyor. SQL Server için yayımlanan güncellemeler, etkilenen kütüphaneyi güncelliyor.

Öne çıkan diğer alanlar.
Paket; Microsoft Office ve Excel’de birden fazla RCE, Windows Graphics/Win32K bileşenlerinde kritik RCE, Hyper-V’de EoP/RCE, BitLocker ve LSASS’ta EoP, RRAS’ta bilgi ifşası ve RCE, NTFS’te RCE, SMBv3 istemcide RCE gibi geniş bir yelpazeyi kapsıyor. Microsoft, bu kapsamda kritik bileşenlerin hızlı uygulanmasını ve özellikle SMB sıkılaştırma öncesi denetim günlüklerinin etkinleştirilmesini öneriyor.

Kapsam hatırlatması.
Rakamlar yalnızca Patch Tuesday gününde yayımlanan yamaları kapsıyor; ayın başında düzeltmesi yayımlanan Azure, Edge, Mariner ve Xbox zafiyetleri bu sayılara dahil edilmedi.

Diğer üreticilerden güncellemeler.
Aynı dönemde Adobe (Magento “SessionReaper”), Argo (Argo CD), Cisco (WebEx/ASA), Google (Android, iki aktif sömürü), SAP (NetWeaver), Sitecore (CVE-2025-53690), TP-Link (bazı yönlendiricilerde yeni sıfır gün) için de güvenlik bültenleri yayımlandı.

Yöneticiler için notlar.

• SMB Server Signing/EPA etkinleştirilmeden önce yeni denetim desteği ile uyumluluk taraması yapılmalı.

• SQL Server düğümlerinde Newtonsoft.Json güncellemelerinin alındığı doğrulanmalı.

• Hyper-V, Win32K/Graphics, Office/Excel ve RRAS yamaları önceliklendirilmeli.

Kaynak: Beykozun Sesi

Bu güncelleme, Eylül 2025 “Patch Tuesday” kapsamında zorunlu olarak sunuluyor. Kullanıcılar güncellemeyi Ayarlar > Windows Update üzerinden manuel olarak denetleyebiliyor veya otomatik yükleme sürecinde bilgisayarlarını yeniden başlatma zamanını planlayabiliyor.

Öne çıkan değişiklikler ve düzeltmeler:

• NDI yazılımlarında takılma ve gecikme sorunu giderildi.

• Beklenmedik UAC istemleri nedeniyle MSI tabanlı bazı uygulamaların (ör. Office 2010, AutoCAD) çalışmamasına yol açan hata düzeltildi.

• SMB istemci uyumluluğu denetimleri için denetim desteği eklendi (CVE-2025-55234 kapsamında).

• Çince basitleştirilmiş IME sorunları ve karakter görüntüleme hataları giderildi.

• Windows Hello ekran okuyucunun yanlış isim okuma sorunu düzeltildi.

• Windows Arama paneli önizleme hatası giderildi.

• Aile Güvenliği kapsamında engelli uygulamalarda onay süreci sorunu düzeltildi.

• Windows Backup for Organizations genel kullanıma açıldı; kurumsal cihaz geçişlerinde yedekleme ve geri yükleme desteği sunuyor.

Ayrıca COSA profilleri güncellendi, RDS ortamlarında web kamera algılama sorunu çözüldü, çıkarılabilir depolama erişim politikası hatası düzeltildi ve Windows 365 abonelikleri için ESU uygunluk denetimi özelliği eklendi.

Microsoft, güncellemeyle ilgili bilinen bir sorun bulunmadığını belirtti.

Kaynak: Beykozun Sesi

İlk olarak Trend Micro tarafından Haziran ayında raporlanan saldırılar, başlangıçta kripto madenciliği odaklı zararlı kodlarla dikkat çekmişti. Ancak yeni bulgular, saldırıların artık daha karmaşık bir yükleme zinciri içerdiğini gösteriyor.

Enfeksiyon zinciri
Saldırganlar, 2375 numaralı port üzerinden açık Docker API’lerini arıyor ve Alpine Linux tabanlı özel bir imaj kullanarak kapsül (container) oluşturuyor. Bu kapsül, base64 ile kodlanmış komutları çözüp çalıştırarak curl ve Tor’u yüklüyor, ardından Tor üzerinden ikinci aşama zararlı kodları indiriyor.

İkinci aşama betik (docker-init.sh), saldırganların SSH üzerinden kalıcı erişim kazanmasını sağlıyor ve her dakika çalışan bir cron görevi ekleyerek 2375 numaralı porta dışarıdan erişimi engelliyor. Ayrıca tarama ve yayılmayı kolaylaştırmak için masscan, zstd, libpcap ve torsocks gibi araçlar yüklüyor.

Devamında, sıkıştırılmış bir Go tabanlı ikili dosya sisteme yerleştiriliyor ve çalıştırılıyor. Bu yazılım, sisteme bağlı kullanıcıları tespit ediyor ve diğer açık Docker API’lerine yayılmaya çalışıyor. Rakip zararlı kapsülleri silerek kontrolü tekeline alıyor.

Botnet yapısına doğru evrim
Akamai, kötü amaçlı yazılımda henüz aktif olmayan ancak gelecekte kullanılabilecek Telnet istismarı, Chrome uzaktan hata ayıklama arayüzüne erişim ve kimlik bilgisi hırsızlığı gibi işlevler bulunduğunu bildirdi. Bu da saldırının, kimlik avı, tarayıcı oturumu ele geçirme, dosya indirme ve DDoS saldırıları gibi farklı yönlere evrilebileceğini gösteriyor.

Araştırmacılar, mevcut örneğin henüz tam bir botnet sürümü olmadığını ancak çok vektörlü bir tehdit haline doğru geliştiğini vurguluyor.

Kaynak: Beykozun Sesi

Bu merkezlerde yürütülen dolandırıcılıklar arasında “romantik ilişki tuzakları” ve sahte kripto para yatırımları öne çıkıyor. Hazine Bakanlığı verilerine göre yalnızca 2024 yılında Amerikalıların uğradığı mali kayıp bir önceki yıla kıyasla %66 artış gösterdi.

Yaptırımlar kapsamında Burma’da Karen Ulusal Ordusu (KNA) bağlantılı dokuz hedef ve Kamboçya’da organize suç ağlarıyla ilişkili on hedef listelendi. Bunlar arasında enerji şirketleri, gayrimenkul firmaları, kumarhane sahipleri ve finans kuruluşları bulunuyor. Listede öne çıkan isimlerden biri, Tayland’da insan hakları ihlalleri nedeniyle gözaltına alınan ve “Yatai New City” projesiyle bilinen She Zhijiang oldu.

ABD Hazine Bakanlığı, yaptırımların 13851 sayılı uluslararası suçlarla ilgili, 13694 sayılı siber tehditlerle ilgili, 13818 sayılı insan hakları ihlallerine ilişkin ve 14014 sayılı Burma’daki istikrarsızlaştırıcı faaliyetlere karşı yürürlükteki başkanlık kararnamelerine dayandırıldığını açıkladı.

Yaptırımlar sonucunda ilgili kişi ve şirketlerin ABD finans sistemine erişimi engellendi, Amerikalılarla iş yapmaları yasaklandı ve ABD’deki varlıkları donduruldu. Ayrıca bu yaptırımlar uluslararası bankalar ve iş ortaklarıyla finansal ilişki kurmalarını da büyük ölçüde kısıtlıyor.

Herhangi bir gözaltı yapılmamış olsa da yaptırımların, söz konusu suç ağlarının finansal faaliyetlerini ve uluslararası bağlantılarını önemli ölçüde zorlaştıracağı değerlendiriliyor.

Kaynak: Beykozun Sesi

JLR, 2 Eylül’de yaptığı ilk açıklamada üretim faaliyetlerinin ciddi şekilde aksadığını belirtmişti. Şirket, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ile birlikte yürüttüğü çalışmalar kapsamında sistemlerini kontrollü şekilde yeniden devreye almaya çalışıyor.

Bugün yapılan açıklamada, veri sızıntısının tespit edilmesi üzerine ilgili düzenleyici kurumların bilgilendirildiği ifade edildi. Açıklamada, “Siber olayı fark ettiğimiz andan itibaren üçüncü taraf siber güvenlik uzmanlarıyla birlikte sistemlerimizi güvenli şekilde yeniden devreye almak için kesintisiz çalışıyoruz. Araştırmalarımız, bazı verilerin etkilendiğini gösteriyor ve ilgili otoriteleri bilgilendirdik. Etkilenen kişilere gerektiğinde doğrudan ulaşacağız.” denildi.

Şirket, saldırının kim tarafından gerçekleştirildiğine dair resmi bir açıklama yapmazken, bilinen fidye yazılım grupları da henüz sorumluluk üstlenmedi. Ancak “Scattered Lapsus$ Hunters” adını kullanan bir grup, Telegram üzerinden JLR sistemlerinden ekran görüntüleri paylaşarak saldırıyı üstlendiğini iddia etti. Grup ayrıca şirketin sistemlerine fidye yazılımı yüklediğini öne sürdü.

Bu grubun, Lapsus$, Scattered Spider ve ShinyHunters gibi bilinen fidye yazılım ve veri hırsızlığı gruplarıyla bağlantılı olduğu biliniyor. Aynı grup kısa süre önce Salesforce tabanlı sosyal mühendislik saldırılarıyla çok sayıda uluslararası şirkete ait verileri de ele geçirmişti. Bu şirketler arasında Google, Cloudflare, Elastic, Palo Alto Networks, Zscaler, Tenable, Proofpoint, CyberArk, BeyondTrust, JFrog, Fastly, Qualys, Workday, Cato Networks, HackerOne, BugCrowd ve Rubrik bulunuyor.

Kaynak: Beykozun Sesi

Cursor, GPT-4 ve Claude gibi yapay zekâ araçlarıyla entegre çalışan bir geliştirme ortamı olarak öne çıkıyor. Ancak varsayılan konfigürasyonda bir proje klasörü açıldığında içindeki görevler otomatik çalıştırılıyor. Bu yöntem, saldırganlara kimlik bilgilerini, API anahtarlarını veya yapılandırma dosyalarını çalmak, sistem üzerinde kalıcı erişim sağlamak veya tedarik zinciri saldırıları başlatmak için fırsat sunuyor.

Oasis Security, açığın istismar edilmesi halinde saldırganların kullanıcı bağlamında kod çalıştırabileceğini ve bu yolla komuta-kontrol altyapısına bağlantı kurabileceğini belirtti. Araştırmacılar, zararsız bir “kanıt amaçlı” tasks.json dosyası yayımlayarak kullanıcı adı bilgisinin otomatik olarak sızdırılabildiğini gösterdi.

Cursor düzeltmeyecek
Oasis Security’nin uyarısı üzerine Cursor ekibi, Workspace Trust özelliğini varsayılan olarak kapalı bırakmaya devam edeceklerini açıkladı. Şirket, bu özelliğin etkinleştirilmesinin yapay zekâ entegrasyonlarını sınırladığını belirterek mevcut davranışı değiştirmeyeceklerini duyurdu.

Cursor, kullanıcıların güvenlik hassasiyetinin yüksek olduğu durumlarda basit metin editörleri kullanmalarını ya da VS Code’daki güvenlik ayarlarını etkinleştirmelerini öneriyor. Ayrıca yakında güvenlik kılavuzlarını güncelleyerek Workspace Trust’ın nasıl açılabileceğine dair talimat paylaşacaklarını ifade etti.

Oasis Security ise kullanıcıların bilinmeyen projeleri farklı bir editörde açmasını, depoları doğrulamadan çalıştırmamasını ve hassas kimlik bilgilerini küresel kabuk profillerinde dışa aktarmaktan kaçınmasını tavsiye ediyor.

Kaynak: Beykozun Sesi

Şirket, son yıllarda sentetik medya üretiminin artmasıyla geleneksel etiketleme yöntemlerinin yetersiz kaldığını ve yanlış yönlendirmelere açık hale geldiğini belirtiyor. Yeni sistemle birlikte Pixel 10 cihazlarında çekilen tüm fotoğraflara, oluşturulma ve düzenleme sürecini şeffaf biçimde gösteren içerik kimlik bilgileri ekleniyor.

Google’un açıklamasına göre Content Credentials, çevrimdışı çalışabiliyor, dış müdahalelere karşı korumalı ve kullanıcı anonimliği açısından risk oluşturmuyor. Sistem; kriptografik imzalama, Titan M2 güvenlik çipi içindeki StrongBox anahtar depolaması, Android Key Attestation doğrulaması ve tek kullanımlık anahtarlarla güvenlik sağlıyor. Ayrıca Tensor çipine bağlı güvenli saat sistemi sayesinde her görsele doğrulanabilir zaman damgası ekleniyor.

Kullanıcı bir fotoğrafı düzenlediğinde, ister yapay zekâ tabanlı ister manuel araçlarla olsun, Google Photos otomatik olarak yeni Content Credentials ekliyor. Böylece görselin düzenleme geçmişi eksiksiz biçimde takip edilebiliyor.

Şimdilik sadece Pixel 10 cihazlarında kullanılabilen bu özellik, ilerleyen dönemde diğer Android telefonlara da getirilecek. Ancak Google, bu konuda kesin bir takvim paylaşmadı. Şirket, yanlış bilgilendirme ve deepfake içeriklerle mücadele için bu tür doğrulama sistemlerinin tüm ekosisteme yayılması gerektiğini vurguluyor.

Kaynak: Beykozun Sesi

Saldırı sonucunda yayımlanan güncellemeler, kripto para işlemlerini ele geçirmek amacıyla cüzdan adreslerini saldırganların kontrolündeki adreslerle değiştiren bir modül içeriyordu. Ancak açık kaynak topluluğunun hızlı müdahalesi sayesinde kötü amaçlı paketler yalnızca iki saat içinde kaldırıldı.

Bulut güvenlik şirketi Wiz’in verilerine göre, söz konusu paketler neredeyse tüm bulut ortamlarında kullanılıyor. Kısa süreliğine erişilebilir olmalarına rağmen, saldırıya uğrayan sürümler yaklaşık %10 oranında bulut sistemine ulaştı. Wiz, bu durumun tedarik zinciri saldırılarında zararlı kodun ne kadar hızlı yayılabileceğini gösterdiğini açıkladı.

Saldırının kazancı düşük kaldı
Güvenlik araştırmalarına göre saldırının etkileri sınırlı oldu. Zararlı kod, Ethereum ve Solana işlemlerini hedefleyen basit bir kripto-hırsızlığına odaklanıyordu. Saldırganların, ağ üzerinde hareket edebilecek zararlı yazılımlar veya ters bağlantı kabukları yerleştirmemesi olası büyük çaplı güvenlik ihlallerini engelledi.

Security Alliance’ın analizine göre saldırganların kazancı beş sentlik ETH, 20 dolarlık düşük değerli bir kripto para ve küçük miktarlarda diğer coinlerle sınırlı kaldı. Socket ekibinin açıklamasına göre, saldırının DuckDB paketlerini de etkilediği tespit edildi. Saldırganların cüzdanlarına geçen toplam miktar yaklaşık 600 dolar seviyesinde kaldı. Ayrıca bu cüzdan adresleri işaretlendiği için paraların kullanılması veya dönüştürülmesi büyük ölçüde engellendi.

Kaynak: Beykozun Sesi

Saldırının, dünya genelinde 11 binden fazla farklı ağdan ele geçirilmiş IoT cihazları ve MikroTik yönlendiricileri üzerinden yapıldığı belirlendi. Yoğun UDP trafiği ile gerçekleştirilen saldırı, hedefin DDoS temizleme altyapısı üzerinden anlık olarak tespit edilip kontrol altına alındı. Müdahale kapsamında özellikle kötüye kullanım potansiyeli olan yönlendiricilere erişim kontrol listeleri (ACL) uygulandı.

Hedef alınan müşterinin ismi açıklanmazken, söz konusu kurumun DDoS trafiğini filtrelemek üzere paket denetimi, hız sınırlama, CAPTCHA ve anomali tespiti gibi yöntemler kullanan bir “DDoS scrubbing” sağlayıcısı olduğu belirtildi.

Olay, Cloudflare’in yalnızca birkaç gün önce 11,5 Tbps bant genişliği ve 5,1 milyar paket/saniye hızında gerçekleşen dünyanın en büyük DDoS saldırısını durdurduğunu duyurmasının ardından yaşandı. Her iki saldırının da hedeflenen sistemlerin işlem kapasitesini tüketerek hizmet kesintisi yaratmayı amaçladığı bildirildi.

FastNetMon kurucusu Pavel Odintsov, saldırının dikkat çekici yönünün günlük kullanılan ağ cihazlarının büyük ölçekli saldırılarda kötüye kullanılması olduğunu vurguladı. Odintsov, “ISP seviyesinde proaktif filtreleme uygulanmadıkça, ele geçirilmiş tüketici donanımları kitlesel ölçekte silahlandırılabilir” ifadelerini kullandı. Ayrıca sektörün, saldırılar büyümeden önce internet servis sağlayıcıları düzeyinde tespit mekanizmaları geliştirmesi gerektiğini belirtti.

Kaynak: Beykozun Sesi

Araştırmaya göre saldırı, modern AMD ve Intel işlemcilerde varsayılan güvenlik önlemleri etkin olsa bile çalışabiliyor. Etkilenme alanına AMD’nin Zen 1’den Zen 5’e kadar tüm işlemcileri ile Intel’in Coffee Lake serisi girerken, Raptor Cove ve Gracemont mimarileri etkilenmiyor.

QEMU hedef alınıyor
VMScape saldırısı, QEMU hipervizörünün kullanıcı modunda çalışan bileşenini hedef alıyor. QEMU, misafir bellek alanlarını kendi adres uzayına eşlediğinden saldırganlar “FLUSH+RELOAD” yan kanal tekniği ile veri sızıntısı gerçekleştirebiliyor.

Araştırmacılar, saldırının QEMU üzerinden keyfi belleği saniyede 32 bayt hızla %98,7 doğrulukla sızdırabildiğini belirledi. 4 KB büyüklüğünde bir şifreleme anahtarının bu yöntemle yaklaşık 128 saniyede elde edilebildiği, ASLR atlatma süreci de dahil edildiğinde toplam saldırı süresinin 13 dakikadan az olduğu ifade edildi.

Etkisi ve alınan önlemler
VMScape’in çoklu kiracılı bulut ortamları için ciddi riskler oluşturabileceği vurgulansa da saldırının uygulanabilmesi ileri düzey teknik bilgi ve uzun süreli işlem gerektiriyor. Bu nedenle geniş kullanıcı kitlesi açısından doğrudan bir tehdit oluşturmadığı değerlendiriliyor.

Araştırma ekibi bulgularını 7 Haziran’da AMD ve Intel’e iletti. Zafiyet CVE-2025-40300 olarak kayda geçti. AMD, konuyla ilgili güvenlik bülteni yayımlarken Linux çekirdeği geliştiricileri de “VMEXIT” sırasında BPU’yu temizleyen IBPB (Indirect Branch Prediction Barrier) yamasını duyurdu. Araştırmacılara göre bu çözüm, yaygın iş yüklerinde performansa ciddi bir etkide bulunmuyor.

Kaynak: Beykozun Sesi

SonicWall, söz konusu güvenlik açığı için Ağustos 2024’te bir güncelleme yayımlamış ve zafiyetin aktif olarak istismar edildiğini duyurmuştu. Firma, sadece güncelleme yapılmasının yeterli olmadığını, ayrıca yerel SSLVPN hesaplarının parolalarının değiştirilmesi gerektiğini belirtmişti. Parola değişikliği yapılmadığında saldırganların çok faktörlü kimlik doğrulama (MFA) veya zaman bazlı tek kullanımlık şifre (TOTP) sistemini kötüye kullanarak erişim sağlayabileceği uyarısı yapılmıştı.

Avustralya Siber Güvenlik Merkezi (ACSC), 10 Eylül’de yayımladığı uyarıda, ülkedeki kurumların Akira tarafından hedef alındığını açıkladı. Benzer şekilde siber güvenlik firması Rapid7 de saldırıların son dönemde yeniden arttığını, bunun eksik önlemlerden kaynaklanabileceğini bildirdi.

Saldırılarda, SonicWall cihazlarında “Default Users Group” üzerinden VPN’e bağlanma yetkisi ve “Virtual Office Portal” için varsayılan genel erişim izinlerinin kullanıldığı tespit edildi. Bu durum, bazı kurumlarda saldırganların erişimini kolaylaştırdı.

Siber güvenlik topluluğunda son dönemde, saldırıların yeni bir “sıfır gün” açığından kaynaklandığına dair iddialar gündeme gelmişti. Ancak SonicWall, yayımladığı güvenlik bildirisiyle bu iddiaları reddederek, mevcut saldırıların CVE-2024-40766 ile bağlantılı olduğuna dair “yüksek güven” taşıdığını açıkladı.

Şirket, geçen ay bu güvenlik açığıyla bağlantılı yaklaşık 40 olayı incelediğini bildirdi. Zafiyetin etkilendiği sürümler arasında şunlar yer alıyor:

• Gen 5: SOHO cihazları (5.9.2.14-12o ve öncesi)

• Gen 6: TZ, NSA ve SM modelleri (6.5.4.14-109n ve öncesi)

• Gen 7: TZ ve NSA modelleri (7.0.1-5035 ve öncesi)

Sistem yöneticilerine, SonicWall’un güvenlik bülteninde önerilen adımları takip etmeleri tavsiye ediliyor. Öneriler arasında cihaz yazılımının 7.3.0 veya üstüne güncellenmesi, hesap parolalarının değiştirilmesi, MFA zorunluluğu getirilmesi, SSLVPN varsayılan grup risklerinin azaltılması ve Virtual Office Portal erişiminin yalnızca güvenilir ağlarla sınırlandırılması yer alıyor.

Kaynak: Beykozun Sesi

Kaynak: Beykozun Sesi

İngiltere merkezli telekomünikasyon ve ağ hizmetleri sağlayıcısı Colt Technology Services, geçtiğimiz günlerde yaşanan siber saldırının ardından ilk kez müşteri belgelerinin çalındığını doğruladı. Şirket, 12 Ağustos’ta gerçekleşen saldırıyla ilgili daha önce yalnızca sistem ihlali açıklaması yapmıştı.

Colt’un güncellenen güvenlik duyurusunda, “Bir suç grubu, sistemlerimizden bazı dosyalara erişti. Bu dosyalarda müşterilerimize ait bilgiler bulunuyor olabilir. Belge başlıkları karanlık ağda yayımlandı.” ifadelerine yer verildi. Şirket ayrıca, müşterilerin özel bir çağrı merkezi üzerinden sızdırılan dosya adlarının listesini talep edebileceğini bildirdi.

Warlock’un iddiası

Çin bağlantılı olduğu değerlendirilen Warlock fidye yazılım grubu (Storm-2603), çaldığını iddia ettiği 1 milyon belgeyi siber suç forumu Ramp üzerinde 200 bin dolar karşılığında satışa çıkardı. Belgelerin finansal bilgiler, ağ altyapısı verileri ve müşteri bilgileri içerdiği öne sürülüyor.

BleepingComputer’un doğrulamasına göre forum ilanında yer alan Tox ID, Warlock’un önceki fidye notlarında kullanılan kimliklerle eşleşiyor.

Warlock grubu hakkında

• Mart 2025’te ortaya çıktı ve başlangıçta LockBit sızıntı notlarını kullanarak fidye taleplerinde bulundu.
• Haziran’da “Warlock Group” adıyla kendi markasını duyurdu ve özel karanlık ağ siteleri kurdu.
• Daha önce Babuk VMware ESXi şifreleyicileri ve LockBit sızıntılarını kullanarak saldırılar gerçekleştirdi.
• Temmuz ayında Microsoft, grubun kurumsal ağlara sızmak için SharePoint güvenlik açığını kullandığını açıkladı.
• Warlock’un fidye talepleri 450 bin dolardan birkaç milyon dolara kadar değişiyor.

Müşteriler için risk

Çalındığı iddia edilen belgelerin detayları açıklanmasa da, Colt müşterilerinin finansal ve kurumsal bilgilerinin üçüncü tarafların eline geçme riski bulunuyor. Şirket, olayın etkilerini sınırlamak için çalışmalarını sürdürdüğünü açıkladı.

Kaynak: Beykozun Sesi

ABD Adalet Bakanlığı, eski işvereninin sistemlerine zarar vermekle suçlanan yazılımcı Davis Lu’nun dört yıl hapis cezasına çarptırıldığını açıkladı.

Olayın arka planı

55 yaşındaki Çin vatandaşı Lu, 2007’den 2019’a kadar Ohio merkezli bir şirkette (basında Eaton Corporation olarak anıldı) görev yaptı. 2018’de yeniden yapılanma sürecinde aldığı terfi kaybı ve görev değişikliği sonrası, şirketin Windows üretim ortamına zararlı kodlar eklediği belirlendi.

Zararlı kodlar ve “kill switch”

• Java tabanlı sonsuz döngüler ekleyerek sunucuların çökmesine neden olacak mekanizmalar kurdu.
• “IsDLEnabledinAD” adını verdiği bir kill switch tasarladı. Bu sistem, Active Directory’de kendi hesabı kapatıldığında otomatik olarak tüm kullanıcıların erişimini kilitleyecek şekilde yapılandırılmıştı.
• 9 Eylül 2019’da işten çıkarılıp hesabı devre dışı bırakıldığında, kill switch devreye girdi ve binlerce çalışan sistemlere erişemez hale geldi.

Soruşturma bulguları

Lu’nun iade etmesi gereken dizüstü bilgisayarında, şifreli dosyaları sildiği ve daha önce yetki yükseltme, süreç gizleme ve dosya silme yöntemleri üzerine aramalar yaptığı tespit edildi.

Adalet Bakanlığı yetkilisi Matthew R. Galeotti, “Sanık, sahip olduğu erişimi kötüye kullanarak şirketin ağlarını sabote etti, büyük maddi kayıplara yol açtı ve işvereninin güvenini ihlal etti.” dedi.

Cezanın ayrıntıları

• Lu, korunan bilgisayarlara kasten zarar vermekten suçlu bulundu.
• 4 yıl hapis cezası aldı.
• Tahliyesinin ardından 3 yıl denetimli serbestlik altında kalacak.
• Şirketin yaşadığı zararın yüz binlerce dolar olduğu açıklandı.

Kaynak: Beykozun Sesi

ABD merkezli böbrek diyalizi şirketi DaVita, fidye yazılımı saldırısıyla yaklaşık 2,7 milyon kişiye ait hassas verilerin çalındığını doğruladı. Şirket, 3.113 diyaliz merkeziyle dünya çapında 265 binden fazla hastaya hizmet veriyor.

Saldırının ayrıntıları

• Saldırganlar 24 Mart 2025’te DaVita’nın ağına sızdı.
• Şirket olayı 12 Nisan’da fark ederek saldırganları sistemlerinden çıkardı.
• Bu süre içinde saldırganlar, şirketin diyaliz laboratuvarı veritabanına erişti.

Çalınan veriler arasında:

• İsim, adres, doğum tarihi, sosyal güvenlik numarası
• Sağlık sigortası verileri
• Hastalık, tedavi bilgileri, laboratuvar test sonuçları
• Bazı kişiler için vergi kimlik numaraları ve kişisel çek görselleri

ABD Sağlık Bakanlığı’nın Sivil Haklar Ofisi (OCR), olaydan 2.689.826 kişinin etkilendiğini duyurdu. Ancak DaVita’nın kendi hesaplamalarına göre bu sayı 2,4 milyon civarında olabilir.

Interlock grubunun iddiası

DaVita saldırının sorumlusunu açıklamasa da, Interlock fidye yazılımı grubu Nisan sonunda saldırıyı üstlendi. Grup, şirketten 1,5 terabaytlık veri çaldığını, yaklaşık 700.000 dosyanın hasta kayıtları, sigorta detayları ve finansal bilgileri içerdiğini iddia etti.

Haziran ayında DaVita, sızdırılan dosyalardan bazılarının kendilerine ait olduğunu doğruladı. Ancak şirket, Interlock’tan fidye talebi alıp almadığını açıklamadı.

DaVita sözcüsü, “Maalesef saldırganın bazı hastaların kişisel verilerine yetkisiz erişim sağladığını tespit ettik. Bu nedenle mevcut ve eski hastaları bilgilendiriyor ve kimlik hırsızlığına karşı ücretsiz kredi izleme hizmeti sunuyoruz.” dedi.

Interlock hakkında

2024’te ortaya çıkan Interlock fidye yazılım grubu, özellikle sağlık kuruluşlarını hedef alıyor. Grup, daha önce Birleşik Krallık’taki üniversitelere yönelik saldırılarda NodeSnake adlı zararlı yazılımı kullanmış ve son olarak Kettering Health’i hacklediğini iddia etmişti.

Kaynak: Beykozun Sesi

Afrika’da siber suç örgütlerine karşı düzenlenen Operation Serengeti 2.0 isimli geniş çaplı operasyonda 1.200’den fazla kişi tutuklandı. Interpol liderliğinde yürütülen operasyon, Haziran ile Ağustos 2025 arasında gerçekleştirildi.

Interpol’ün açıklamasına göre, operasyon sırasında:

• 1.209 şüpheli gözaltına alındı
• 97,4 milyon dolar yasa dışı gelir ele geçirildi
• 11.432 kötü amaçlı altyapı imha edildi
• Dünya genelinde 87.858 kurbanı hedef alan saldırılar engellendi

Operasyonun kapsamı

Siber suçlarla mücadele, 18 Afrika ülkesi ve Birleşik Krallık kolluk kuvvetlerinin katılımıyla yürütüldü. Operasyon, fidye yazılımlarından iş e-postası dolandırıcılığı (BEC) ve çevrimiçi sahtekârlıklara kadar geniş bir yelpazede siber suçları hedef aldı.

Eylem, Birleşik Krallık Dışişleri, Milletler Topluluğu ve Kalkınma Ofisi tarafından finanse edilen Afrika Ortak Siber Suçla Mücadele Operasyonu kapsamında gerçekleştirildi. Ayrıca Fortinet, Group-IB, Kaspersky, Trend Micro, TRM Labs gibi özel sektör kuruluşları da veri desteği sağladı.

Önceki operasyonlarla bağlantı

• Operation Red Card (2024–2025): 306 şüpheli yakalandı, 5.000’den fazla mağdurun etkilendiği saldırılar açığa çıkarıldı.
• Operation Serengeti (2024): 1.006 şüpheli tutuklandı, fidye yazılımı ve çevrimiçi dolandırıcılık çeteleri çökertildi.
• Operation Africa Cyber Surge II (2023): 25 ülkede 14 şüpheli yakalandı, 40 milyon doların üzerinde zarara yol açan saldırılar engellendi.

Interpol Genel Sekreteri Valdecy Urquiza, operasyonun ardından yaptığı açıklamada şunları söyledi: “Her operasyon bir öncekine dayanarak işbirliğini artırıyor, bilgi paylaşımını güçlendiriyor ve soruşturma kapasitesini geliştiriyor. Küresel ağımız her zamankinden daha güçlü ve mağdurları korumada somut sonuçlar üretiyor.”

Kaynak: Beykozun Sesi

Mac kullanıcılarını hedef alan yeni bir bilgi hırsızı zararlı yazılım ortaya çıktı. Shamos adı verilen zararlı, sahte hata düzeltme kılavuzları ve yazılım yüklemeleri üzerinden dağıtılıyor.

ClickFix saldırılarıyla yayılım

Saldırganlar, sahte GitHub depoları ve zararlı reklamlar aracılığıyla kullanıcıları Terminal’de belirli komutları çalıştırmaya yönlendiriyor. “mac-safer[.]com” ve “rescue-mac[.]com” gibi sahte sitelerde, yazıcı sorunları ya da sistem hatalarını gidermek için verilen komutlar aslında Shamos zararlısını indirip çalıştırıyor.

Komutlar, Base64 kodlu bir bağlantıyı çözüp uzak bir sunucudan Bash betiği indiriyor. Bu betik, kullanıcının parolasını ele geçiriyor, zararlı Mach-O dosyasını indirip Gatekeeper’ı aşarak çalıştırıyor.

Shamos’un yetenekleri

• Anti-VM kontrolleriyle sanal ortamda çalışıp çalışmadığını tespit etme
• AppleScript kullanarak cihaz hakkında bilgi toplama
• Tarayıcı verileri, Keychain öğeleri, Apple Notes içerikleri ve kripto cüzdan dosyalarını arayıp çalma
• Verileri “out.zip” dosyası halinde toplayarak curl üzerinden saldırgana gönderme
• Yönetici (sudo) yetkileriyle çalıştırılırsa LaunchDaemons altında plist dosyası oluşturup kalıcı hale gelme
• Ledger Live kripto cüzdan uygulamasının sahte versiyonlarını ve botnet modülleri gibi ek yükler indirme

Kullanıcılara uyarılar

Uzmanlar, çevrimiçi kaynaklardan anlaşılmayan komutların Terminal’de çalıştırılmamasını, özellikle sponsorlu arama sonuçlarından kaçınılmasını öneriyor. Apple’ın kendi destek forumları veya macOS’un yerleşik yardım özelliklerinin kullanılmasının daha güvenli olduğu belirtiliyor.

ClickFix taktikleri yaygınlaşıyor

ClickFix saldırıları yalnızca Mac kullanıcılarını değil, genel olarak birçok platformu tehdit ediyor. Bu yöntem son dönemde TikTok videolarında, sahte CAPTCHA sayfalarında ve Google Meet hata düzeltmeleri kılığına girmiş kampanyalarda da kullanıldı. Yöntem, fidye yazılımlarının ve devlet destekli grupların dağıtım yöntemleri arasında da görülüyor.

Kaynak: Beykozun Sesi

Siber güvenlik firmaları CYFIRMA ve CloudSEK, APT36 grubunun yeni bir saldırı kampanyasını belgeledi. Grup, 1 Ağustos 2025’ten bu yana tespit edilen saldırılarda Linux sistemlerinde kullanılan .desktop dosyalarını kötüye kullanıyor.

Saldırı zinciri

• Hedef kurumlara gönderilen ZIP dosyaları, PDF gibi görünen fakat gerçekte zararlı komutlar içeren bir .desktop dosyası barındırıyor.
• Kullanıcı dosyayı açtığında, Exec= alanına gizlenmiş bash komutları tetikleniyor.
• Komut, saldırganın sunucusundan veya Google Drive’dan hex kodlu zararlı yük indiriyor, /tmp/ dizinine yazıyor ve çalıştırılabilir hale getiriyor.
• Ardından zararlı arka planda çalışırken, şüphe çekmemek için Firefox’ta masum görünen bir PDF açılıyor.
• APT36, dosyanın tespit edilmemesi için Terminal=false ile terminal penceresini gizliyor, X-GNOME-Autostart-enabled=true ile de dosyanın her oturum açılışında çalışmasını sağlıyor.

Yüklenen zararlı yazılım

Zararlı dosya, Go tabanlı ELF yürütülebilir dosyası şeklinde çalışıyor ve şu işlevlere sahip:

• Veri sızdırma ve uzaktan komut yürütme
• cron job veya systemd hizmetleriyle kalıcılık sağlama
• WebSocket kanalı üzerinden çift yönlü C2 iletişimi kurma

Araştırmacılar, zararlı yazılımın paketlenmesi ve gizlenmesi nedeniyle analizin zorlaştığını ancak casusluk amaçlı işlevler barındırdığını belirtiyor.

APT36’nın taktiksel evrimi

Daha önce Güney Asya’da benzer saldırılar yürüten APT36, Windows sistemlerinde .LNK dosyalarının kötüye kullanılması gibi, şimdi Linux’ta .desktop dosyalarını bir tür zararlı yükleyici ve kalıcılık aracı haline getirmiş durumda.

Uzmanlar, bu yeni kampanyanın grubun giderek daha sofistike ve tespit edilmesi zor yöntemlere yöneldiğini gösterdiğini belirtiyor.

Kaynak: Beykozun Sesi

Çin devlet destekli tehdit grubu Murky Panda (Microsoft tarafından Silk Typhoon, daha önce Hafnium) yeni saldırı yöntemleriyle dikkat çekiyor. Grup, güvenilir bulut hizmet sağlayıcılarının müşteri sistemlerindeki doğrudan erişim ayrıcalıklarını kötüye kullanarak kurumsal ağlara sızıyor.

Saldırı yöntemleri

• Bilinen açıklar: Citrix NetScaler’daki CVE-2023-3519, Microsoft Exchange’deki ProxyLogon, Ivanti Pulse Connect VPN’deki CVE-2025-0282.
• Son saldırılarda grup, bulut sağlayıcılarını ele geçirerek güven zincirini istismar etmeye başladı.
• Bir olayda, SaaS sağlayıcısının bulut ortamına sıfırıncı gün açıklarıyla sızıldı ve Entra ID’deki uygulama kayıt anahtarı ele geçirilerek müşteri verilerine erişildi.
• Başka bir vakada, Microsoft çözüm sağlayıcısının delegeli yönetici ayrıcalıkları istismar edildi. “Admin Agent” grubundaki bir hesapla tüm müşteri ortamlarında Global Administrator yetkisi kazanıldı ve kalıcılık için arka kapı hesaplar açıldı.

Kullanılan araçlar

• Neo-reGeorg ve China Chopper web shell’leri
• CloudedHope adlı özel Linux tabanlı RAT
• Log kayıtlarını silme, zaman damgalarını değiştirme, küçük ofis/ev cihazlarını proxy olarak kullanma

CrowdStrike’ın uyarısı

CrowdStrike, bu tür güven ilişkisi istismarlarının nadir ama tehlikeli olduğunu vurguluyor. Geleneksel kimlik bilgisi hırsızlığına göre daha az izlenen bu yöntem, saldırganların meşru trafik içinde saklanmasına olanak sağlıyor.

Rapora göre Murky Panda, Kuzey Amerika’daki hükümet, teknoloji, hukuk ve profesyonel hizmet sektörlerini hedef alıyor, ayrıca tedarik zinciri üzerinden hassas verilere erişiyor.

Önerilen önlemler

• Entra ID üzerinde olağandışı hizmet hesabı girişlerini izlemek
• Bulut sağlayıcı hesaplarında çok faktörlü kimlik doğrulama uygulamak
• Entra ID loglarını düzenli incelemek
• İnternete açık altyapıları hızlıca yamalamak

CrowdStrike, “Bulut ortamlarına bağımlı kuruluşlar, güven ilişkilerinin kötüye kullanılması riskine karşı özellikle savunmasızdır.” değerlendirmesinde bulundu.

Kaynak: Beykozun Sesi

Rusya merkezli mobil güvenlik şirketi Dr. Web, Android cihazları hedef alan ve sahte antivirüs uygulamaları şeklinde yayılan yeni bir casus yazılım kampanyası ortaya çıkardı. Android.Backdoor.916.origin adıyla takip edilen zararlı yazılımın bilinen ailelerle bağlantısı olmadığı, sıfırdan geliştirildiği belirtildi.

Dağıtım yöntemleri ve hedefler

Kötü amaçlı yazılım, Rusya Merkez Bankası ve FSB gibi kurumların adlarını kullanarak güvenilir bir antivirüs programı gibi sunuluyor. Kullanıcı arayüzünde yalnızca Rusça dil seçeneğinin bulunması, saldırıların özellikle Rus iş dünyasındaki yöneticileri hedef aldığını gösteriyor.

Sahte antivirüs işlevi

Uygulama, yüklenmesinin ardından bir tarama simülasyonu çalıştırıyor ve %30 oranında sahte virüs bulgusu gösteriyor. Bu şekilde kullanıcının uygulamayı kaldırması engellenmeye çalışılıyor.

Yetkiler ve işlevler

Kurulum sırasında zararlı yazılım, şu yüksek riskli izinleri talep ediyor:

• Konum verilerine erişim
• SMS ve medya dosyaları
• Kamera ve mikrofon kullanımı
• Erişilebilirlik servisleri
• Arka planda sürekli çalışma yetkisi

Uygulama bu izinlerle birlikte komuta-kontrol sunucusuna bağlanarak aşağıdaki işlemleri gerçekleştirebiliyor:

• SMS, rehber, çağrı geçmişi, konum ve fotoğraf hırsızlığı
• Mikrofonu ve kamerayı uzaktan açma, ekran yayını yapma
• Telegram, WhatsApp, Gmail, Chrome ve Yandex gibi uygulamalardan veri sızdırma
• Komut dosyaları çalıştırma ve cihazda kalıcılık sağlama

Dayanıklılık özellikleri

Araştırmacılar, zararlı yazılımın 15 farklı barındırma sağlayıcısı arasında geçiş yapabilecek şekilde tasarlandığını tespit etti. Bu özellik şu an aktif olmasa da, operasyonların uzun vadeli kesintisiz sürdürülmesi için hazırlandığı değerlendiriliyor.

Dr. Web, Android.Backdoor.916.origin zararlısına ilişkin tüm IoC (tehdit göstergeleri) verilerini GitHub üzerinde paylaştı.

Kaynak: Beykozun Sesi

ABD Federal Ticaret Komisyonu (FTC), teknoloji devlerini yabancı hükümetlerin baskılarına karşı uyardı. FTC Başkanı Andrew N. Ferguson imzalı mektup; Alphabet (Google), Apple, Amazon, Microsoft, Meta, Cloudflare, Akamai, Signal, Discord, Snap, Slack, GoDaddy ve X (Twitter) gibi büyük firmalara gönderildi.

Uyarının içeriği

Ferguson, özellikle Avrupa Birliği’nin Dijital Hizmetler Yasası (DSA) ile Birleşik Krallık’ın Online Safety Act ve Investigatory Powers Act düzenlemelerine dikkat çekti. Bu yasaların sansür ve şifreleme zafiyetine yol açabileceği belirtildi.

FTC, yabancı hükümet taleplerine uyularak güvenliğin zayıflatılması veya kullanıcıların bilgilendirilmemesinin, FTC Yasası’nın 5. maddesi (15 U.S.C. § 45) kapsamında “aldatıcı veya haksız ticari uygulama” sayılacağını hatırlattı.

Apple örneği

Bu yılın başında Apple, Birleşik Krallık hükümetinin iCloud şifrelemesine arka kapı talebi üzerine ülkede uçtan uca şifreleme desteğini kaldırmak zorunda kalmıştı. Ancak ABD’nin diplomatik baskıları sonrası bu talep geri çekildi.

FTC Başkanı’nın açıklaması

Ferguson mektupta şu ifadelere yer verdi: “Yabancı güçlerin sansür uygulamaları ve uçtan uca şifrelemeyi zayıflatma çabaları Amerikalıların özgürlüklerini erozyona uğratıyor, onları gözetim, kimlik hırsızlığı ve dolandırıcılık riskine açık hale getiriyor. Şirketlerin, uyum kolaylığı adına Amerikalılara da sansür uygulaması ya da yabancı gözetim taleplerini genişletmesi endişe verici.”

Geçmişteki örnekler

FTC, daha önce Zoom’a (2021) uçtan uca şifreleme konusundaki yanıltıcı beyanları ve Ring’e (2023) müşteri görüntülerini şifrelemeden sakladığı için yaptırım uygulamıştı.

Sonraki adımlar

FTC, teknoloji devlerini 28 Ağustos 2025’te yapılacak toplantıya davet ederek, yabancı regülasyon baskılarına karşı veri güvenliğini tehlikeye atmadan nasıl hareket edebileceklerini görüşmeyi planlıyor.

Kaynak: Beykozun Sesi

Docker Desktop’un Windows ve macOS sürümlerinde kritik bir güvenlik açığı tespit edildi. CVE-2025-9074 koduyla takip edilen açık, Sunucu Taraflı İstek Sahteciliği (SSRF) zafiyetinden kaynaklanıyor ve 9,3 kritik şiddet puanına sahip.

Docker’ın güvenlik bültenine göre, saldırganlar kötü amaçlı bir kapsül üzerinden Docker Engine’e erişerek yeni kapsüller başlatabiliyor. Bu durum, Docker soketinin bağlanmasına gerek kalmadan ana makinedeki kullanıcı dosyalarına izinsiz erişim imkânı tanıyor.

Araştırmacıların bulguları

Güvenlik araştırmacısı Felix Boulet, Docker Engine API’sine herhangi bir kapsülden kimlik doğrulama olmaksızın http://192.168.65.7:2375/ adresinden ulaşılabildiğini ortaya koydu. Hazırladığı kanıt (PoC) çalışmada, yalnızca iki HTTP POST isteğiyle Windows ana dizini (C:) kapsül dosya sistemiyle eşleştirilebildi.

Siber güvenlik uzmanı Philippe Dugre de açığı doğrulayarak, Windows’ta saldırganın sistem yöneticisi haklarıyla tüm dosya sistemini bağlayabileceğini, hassas dosyalara erişebileceğini ve hatta DLL dosyalarını değiştirerek kalıcı yetki kazanabileceğini belirtti.

macOS tarafında ise ek güvenlik katmanları nedeniyle saldırı daha sınırlı kalıyor. Kullanıcı izni olmadan dizin bağlama mümkün olmasa da, uygulamanın kapsüller üzerinde tam kontrol sağlaması yine de risk oluşturuyor.

Tehlike boyutu

Dugre, açığın kullanılmasının son derece kolay olduğunu, yalnızca 3 satır Python kodu ile istismar edilebildiğini söyledi.

Docker’ın yanıtı

Açık, Docker’a sorumlu şekilde bildirildi ve şirket geçen hafta yayınlanan Docker Desktop 4.44.3 sürümünde sorunu giderdi.

Kaynak: Beykozun Sesi

Google Play Store’da toplam 19 milyon indirme sayısına ulaşan 77 zararlı Android uygulaması keşfedildi. Zscaler ThreatLabs tarafından ortaya çıkarılan uygulamalar arasında Joker, Harly, maskware türleri ve Anatsa bankacılık truva atı yer aldı.

Joker ve türevleri

En çok rastlanan zararlı yazılım, SMS okuma, ekran görüntüsü alma, arama yapma, kişi listesi çalma ve kullanıcıları ücretli servislere abone etme özelliklerine sahip Joker oldu. Joker’in türevi olan Harly ise zararlı kodlarını derinlere gizleyerek Google’ın denetiminden kaçmayı başardı.

Maskware

Maskware adı verilen uygulamalar ise meşru işlevleri yerine getiriyor gibi görünse de arka planda kimlik bilgileri, banka verileri ve SMS içerikleri çalabiliyor.

Anatsa truva atı

Araştırmada öne çıkan bir diğer zararlı ise Anatsa oldu. “Document Reader – File Manager” gibi görünen uygulama, yükleme sonrası zararlı yükleri indiriyor. Yeni sürümde hedeflenen banka ve kripto para uygulamalarının sayısı 831’e yükseldi. Ayrıca tuş kaydedici (keylogger) modül eklendi. Anatsa, erişilebilirlik izinlerini kötüye kullanarak kendisine geniş yetkiler tanıyor.

Daha önceki Anatsa kampanyaları PDF okuyucu veya telefon temizleme uygulamaları kılığına girerek on binlerce indirme elde etmişti.

Riskli kategoriler

Araştırmacılara göre zararlı uygulamalar en çok araçlar (tools) ve kişiselleştirme (personalization) kategorilerinde görüldü. Eğlence, fotoğraf ve tasarım uygulamaları da riskli kategoriler arasında.

Google’ın tepkisi

Zscaler’in raporu sonrası Google, söz konusu tüm uygulamaları Play Store’dan kaldırdı. Ancak, indirilen cihazlarda zararlı yazılımlar hâlâ aktif olabilir.

Kullanıcılara öneriler

• Play Protect özelliğini aktif tutmak
• Yalnızca güvenilir yayıncılardan uygulama indirmek
• Yorumları okumak ve olağandışı izin taleplerinden kaçınmak
• Bankacılık truva atı enfeksiyonlarında bankayla iletişime geçmek

Kaynak: Beykozun Sesi

Fransa merkezli perakende zinciri Auchan, müşterilerinin kişisel verilerinin çalındığı bir veri ihlalini doğruladı. Şirketin açıklamasına göre olay, sadakat kartı hesaplarını hedef alan bir siber saldırının ardından meydana geldi.

Hangi veriler etkilendi

Şirketin müşterilere gönderdiği ihlal bildiriminde, açığa çıkan veriler arasında şu bilgiler yer alıyor:

• Ad ve soyad
• Hitap (unvan) ve müşteri statüsü
• Posta adresi
• E-posta adresi
• Telefon numarası
• Sadakat kartı numarası

Auchan, banka bilgileri, şifreler ve PIN kodlarının bu olaydan etkilenmediğini vurguladı.

Şirketin açıklaması ve önlemler

Şirket, olaydan yüzbinlerce müşterinin etkilendiğini belirtti ve Fransa Veri Koruma Kurumu (CNIL) ile resmi olarak temasa geçtiğini açıkladı.

Auchan, müşterilerini oltalama saldırılarına karşı uyararak, “Auchan hiçbir zaman e-posta, SMS veya telefon yoluyla giriş bilgilerinizi, şifrenizi veya kart PIN kodunuzu istemeyecektir. Bu tür mesajlar alırsanız bağlantılara tıklamayın, belirtilen numarayı aramayın ve mesajı dikkate almayın.” ifadelerini kullandı.

Arka plan

Auchan, Avrupa ve Afrika’da 13 ülkede 2.100’den fazla mağazaya sahip, 154 bin çalışanı bulunan ve yıllık 35 milyar dolardan fazla ciro yapan çok uluslu bir perakende grubudur.

Fransa’da son aylarda Air France, KLM, Orange ve Bouygues Telecom gibi şirketler de benzer veri ihlalleri yaşamıştı. Bazı saldırıların ShinyHunters grubunun Salesforce hedefli kampanyalarıyla bağlantılı olduğu bilinse de, Auchan saldırısı ile bu olaylar arasında şu an için doğrudan bir bağ bulunmadığı ifade edildi.

Kaynak: Beykozun Sesi

ABD merkezli Farmers Insurance, Salesforce sistemlerini hedef alan saldırılar kapsamında 1.111.386 müşterisinin bilgilerinin sızdırıldığını duyurdu. Şirket, ihlalin 29 Mayıs 2025’te üçüncü taraf bir tedarikçinin veritabanına yetkisiz erişim sağlanmasıyla gerçekleştiğini açıkladı.

Farmers’ın açıklamasına göre, 30 Mayıs’ta tedarikçi anormal faaliyetleri tespit ederek erişimi engelledi ve şirketi bilgilendirdi. Ardından Farmers, kapsamlı bir soruşturma başlattı ve yetkilileri haberdar etti.

Hangi veriler etkilendi

Saldırganlar, müşteri isimleri, adresleri, doğum tarihleri, ehliyet numaraları ve Sosyal Güvenlik numaralarının son dört hanesini ele geçirdi.

Farmers, 22 Ağustos itibarıyla etkilenen kişilere ihlal bildirimleri göndermeye başladı. Maine Başsavcılığı ile paylaşılan belgelerde toplam 1,1 milyondan fazla kişinin etkilendiği doğrulandı.

Salesforce saldırılarının arka planı

2025 başından bu yana “UNC6040” ve “UNC6240” olarak takip edilen tehdit grupları, Salesforce müşterilerini hedef alan sosyal mühendislik saldırıları yürütüyor. Çalışanlar, sahte telefon görüşmeleriyle (vishing) kandırılarak zararlı bir OAuth uygulamasını Salesforce hesaplarına bağlamaya ikna ediliyor. Bu bağlantı sayesinde saldırganlar, şirket veritabanlarını indirip çalıyor ve ardından fidye talebinde bulunuyor.

Bu saldırılarda ShinyHunters grubunun başrolde olduğu, Scattered Spider gibi başka gruplarla iş birliği yaparak erişim sağladıkları ve verileri dışarı çıkardıkları bildiriliyor. Grup daha önce Snowflake saldırılarında da benzer yöntemler kullanmıştı.

Etkilenen diğer şirketler

Google, Cisco, Workday, Adidas, Qantas, Allianz Life ve LVMH’ye bağlı Louis Vuitton, Dior ve Tiffany & Co. gibi çok sayıda şirketin de bu saldırılardan etkilendiği biliniyor.

Kaynak: Beykozun Sesi

Siber güvenlik firması Trail of Bits, yapay zekâ sistemlerini hedef alan yeni bir saldırı yöntemini duyurdu. Araştırmacılar Kikimora Morozova ve Suha Sabi Hussain tarafından geliştirilen teknik, görsellere gizlenmiş komutları yapay zekâya fark ettirmeden çalıştırabiliyor.

Saldırının işleyişi

Kullanıcılar bir yapay zekâ sistemine görsel yüklediğinde, performans ve maliyet optimizasyonu için bu görseller genellikle daha düşük çözünürlüğe indirgeniyor. Nearest neighbor, bilinear veya bicubic interpolasyon gibi yeniden örnekleme yöntemleri, görselde gizlenmiş desenlerin küçültme sırasında görünür hale gelmesine neden olabiliyor.

Trail of Bits’in örnek testinde, bicubic downscaling uygulandığında görselin bazı koyu bölgeleri kırmızıya dönüşerek gizli metinleri ortaya çıkardı. Yapay zekâ, bu metni kullanıcının talimatının bir parçası olarak algıladı ve ek komutları yerine getirdi.

Gerçek saldırı senaryosu

Araştırmacılar, Gemini CLI aracı üzerinden Google Calendar verilerini harici bir e-posta adresine aktarmayı başardı. Bu sırada Zapier MCP’nin trust=True parametresi kullanılarak kullanıcı onayı olmadan araç çağrıları yapıldı.

Hedef alınabilecek sistemler

Testlerde saldırının şu platformlarda uygulanabilir olduğu doğrulandı:

• Google Gemini CLI
• Vertex AI Studio (Gemini altyapısı)
• Gemini web arayüzü
• Gemini API (llm CLI üzerinden)
• Android telefonlarda Google Asistan
• Genspark

Araştırmacılar ayrıca, farklı downscaling algoritmalarına uygun kötü amaçlı görseller oluşturmak için Anamorpher adlı açık kaynaklı bir araç geliştirdi.

Önerilen önlemler

Trail of Bits, yapay zekâ sistemlerine görsel yüklerken boyut sınırlamaları uygulanmasını ve gerekirse kullanıcılara nihai küçültülmüş görselin önizlemesinin gösterilmesini tavsiye ediyor. Ayrıca, görselden metin algılandığında kullanıcı onayı alınmadan hassas işlemlerin yapılmaması gerektiği vurgulanıyor.

Araştırmacılar, en güçlü savunmanın sistematik güvenlik tasarımları ve prompt injection saldırılarına dayanıklı yapılar geliştirmek olduğunu belirtiyor.

Kaynak: Beykozun Sesi

Siber güvenlik firması GreyNoise, Microsoft’un RDP kimlik doğrulama portallarını hedef alan olağan dışı bir tarama faaliyeti tespit etti. Normalde bu tür taramalarda günde yalnızca birkaç IP adresi gözlemlenirken, 21 Ağustos 2025’te yaklaşık 1.971 IP adresi eş zamanlı olarak tarama yaptı.

Amaç kullanıcı adı doğrulama açıklarını test etmek

Araştırmacılara göre saldırganlar, RDP sistemlerindeki zamanlama farklılıklarını test ediyor. Doğru ve yanlış kullanıcı adıyla yapılan oturum açma denemeleri arasında küçük yanıt süreleri farkları olması, saldırganlara geçerli kullanıcı adlarını tahmin etme imkânı sağlayabiliyor. Bu da parola denemesi ve brute force saldırıları için hazırlık anlamına geliyor.

Kampanyanın özellikleri

GreyNoise, taramaya katılan IP’lerin 1.851’inin aynı istemci imzasını paylaştığını ve bunların %92’sinin daha önce kötü niyetli olarak işaretlendiğini bildirdi. IP adreslerinin büyük kısmı Brezilya’dan gelirken, hedefler çoğunlukla ABD’deki sistemler oldu. Bu durum, tek bir botnet ya da ortak bir araç setinin taramaları yürüttüğünü düşündürüyor.

Zamanlama dikkat çekiyor

GreyNoise analisti Noah Stone, taramaların ABD’de okulların yeniden açıldığı döneme denk gelmesinin tesadüf olmayabileceğini belirtti. Üniversiteler ve K-12 okulları bu dönemde RDP tabanlı laboratuvarları ve uzaktan erişim sistemlerini aktif hale getiriyor, aynı zamanda binlerce yeni hesabı sisteme dahil ediyor. Bu ortamlar, öngörülebilir kullanıcı adı formatları (örneğin öğrenci numarası veya ad.soyad) nedeniyle saldırılara karşı daha savunmasız hale geliyor.

Olası yeni güvenlik açığı sinyali

GreyNoise, kötü amaçlı trafik artışlarının çoğu zaman yeni güvenlik açıklarının ortaya çıkmasından önce gözlendiğini hatırlatarak, söz konusu taramaların yeni bir RDP açığının keşfiyle ilişkili olabileceğini de ifade etti.

Uzmanlardan öneriler

Windows yöneticilerine, RDP portallarının mutlaka çok faktörlü kimlik doğrulama ile korunması, mümkünse erişimlerin VPN arkasına alınması ve kullanıcı adlarının tahmin edilmesini zorlaştıracak politikalar uygulanması öneriliyor.

Kaynak: Beykozun Sesi

Nissan Motor Co. Ltd., Tokyo merkezli tasarım stüdyosu Creative Box Inc. (CBI) üzerinden gerçekleşen bir siber saldırı sonucunda veri sızıntısı yaşandığını doğruladı. Açıklama, Qilin fidye yazılımı grubunun CBI’dan 4 terabayt veri çaldığını iddia etmesinin ardından geldi.

Şirket sözcüsü, “16 Ağustos 2025’te CBI’ya ait veri sunucusunda şüpheli erişim tespit edildi. Sunucuya tüm erişim engellendi ve polis bilgilendirildi.” ifadelerini kullandı.

Çalındığı iddia edilen veriler

Qilin, 20 Ağustos’ta karanlık ağdaki gasp portalında CBI’yı listeledi. Grup, 3D araç tasarımları, iç raporlar, finansal belgeler, VR tasarım süreçleri ve fotoğraflar dahil olmak üzere tüm projeleri elde ettiğini iddia etti. Ayrıca, 16 adet görseli kanıt olarak yayımladı.

Nissan’ın açıklaması

Şirket, detaylı soruşturmanın sürdüğünü ancak bazı tasarım verilerinin sızdırıldığını doğruladı. Açıklamada, “Sızıntı yalnızca Nissan’ı ilgilendiriyor. CBI’nın tek müşterisi Nissan olduğundan, üçüncü taraf şirket veya kişilere ait herhangi bir bilgi etkilenmedi.” denildi.

Qilin fidye yazılımının geçmişi

Qilin grubu, 2025 yılı boyunca birçok büyük ölçekli saldırıyla gündeme geldi. Grup, daha önce Lee Enterprises medya grubu ve Inotiv ilaç firması gibi kuruluşları da hedef almıştı. Araştırmacılar, Qilin’in Kickidler adlı çalışan izleme aracındaki bir açığı ve Fortinet ürünlerindeki iki güvenlik zafiyetini (CVE-2024-21762, CVE-2024-55591) kullanarak sisteme yetkisiz erişim sağladığını belirtiyor.

Kaynak: Beykozun Sesi

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yazılım geliştirme dünyasının temel araçlarından biri olan Git’te keşfedilen kritik güvenlik açığının saldırılarda kullanıldığını açıkladı.

Açığın teknik ayrıntıları

CVE-2025-48384 olarak kaydedilen açık, Git’in yapılandırma dosyalarında satır sonu karakterlerini işleme biçimindeki bir hatadan kaynaklanıyor. Yazma ve okuma arasındaki uyumsuzluk, alt modül yollarının yanlış çözülmesine neden oluyor.

Saldırganlar, alt modülleri özel olarak hazırlanmış \r karakterleriyle biten depolar yayınlayarak bu açığı istismar edebiliyor. Kötü amaçlı sembolik bağlantı ve Git hook yapılandırmalarıyla, kullanıcıların depoyu klonlaması durumunda rastgele kod çalıştırılabiliyor.

Yamalanan sürümler

Git güvenlik ekibi açığı 8 Temmuz 2025’te tespit etti. Sorun şu sürümlerde giderildi:

• 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 ve 2.50.1.

Güncelleme yapamayan kullanıcıların, güvenilmeyen kaynaklardan alt modül klonlamaktan kaçınması, Git hook’larını küresel ölçekte devre dışı bırakması veya yalnızca denetlenmiş alt modüllere izin vermesi öneriliyor.

CISA’nın ek uyarısı

CISA ayrıca, Citrix Session Recording yazılımında 2024 Kasım’ında giderilen iki orta seviye güvenlik açığını (CVE-2024-8068 ve CVE-2024-8069) da aktif istismar listesine ekledi.

• CVE-2024-8068: Aynı Active Directory alanındaki bir kullanıcının ayrıcalıklarını yükselterek NetworkService hesabına erişmesine olanak tanıyor.
• CVE-2024-8069: Yetkisiz verilerin serileştirilmesi yoluyla kısıtlı uzaktan kod yürütmeye imkân veriyor.

Bu açıklar, Citrix’in 2407, 1912 LTSR, 2203 LTSR ve 2402 LTSR sürümlerinin belirli yamaları öncesindeki versiyonlarını etkiliyor.

Son tarih 15 Eylül

CISA, tüm federal kurumlara ve etkilenen kuruluşlara 15 Eylül’e kadar güncellemelerin yapılması veya ürünlerin kullanımının durdurulması çağrısında bulundu.

Kaynak: Beykozun Sesi

FBI, Rusya istihbaratına bağlı hacker grubunun, Cisco cihazlarındaki CVE-2018-0171 güvenlik açığını kullanarak dünya genelinde kritik altyapı kuruluşlarına saldırılar düzenlediğini açıkladı.

Berserk Bear (Blue Kraken, Crouching Yeti, Dragonfly, Koala Team) olarak da bilinen grup, ABD’de enerji, ulaşım ve endüstriyel kontrol sistemleriyle bağlantılı ağlarda izinsiz erişim sağladı. FBI açıklamasında, saldırganların ele geçirilen cihazlardan yapılandırma dosyalarını topladığı ve bazı cihazların ayarlarını değiştirerek kalıcı erişim sağladığı belirtildi.

Açığın teknik boyutu

CVE-2018-0171 açığı, Cisco IOS ve IOS XE yazılımlarındaki Smart Install özelliğinde bulunuyor. Yamalanmamış cihazlarda bu açık, saldırganlara kimlik doğrulama olmaksızın uzaktan cihazı yeniden başlatma, hizmet dışı bırakma (DoS) veya rastgele kod çalıştırma imkânı veriyor.

Cisco’nun açıklaması

Cisco, 2021’den beri bu açığın saldırılarda kullanıldığını belirtiyor. Şirketin siber güvenlik birimi Talos, saldırıların Kuzey Amerika, Asya, Afrika ve Avrupa’da telekomünikasyon, yükseköğretim ve üretim sektörlerini hedef aldığını duyurdu.

Talos ayrıca, saldırganların SNMP tabanlı özel araçlar ve SYNful Knock adlı zararlı yazılım implantı ile cihazlarda uzun süre fark edilmeden kalabildiğini bildirdi.

FBI ve Cisco’dan uyarı

FBI, saldırıların yalnızca Rusya kaynaklı olmayabileceğini, diğer devlet destekli aktörlerin de benzer yöntemlerle cihazları hedef alabileceğini belirtti. Cisco ise Smart Install özelliğinin kapatılmasını ve güvenlik yamalarının acilen uygulanmasını tavsiye etti.

Kaynak: Beykozun Sesi

Scattered Spider siber suç grubunun üyelerinden Noah Michael Urban, dolandırıcılık ve komplodan suçlu bulunarak 20 Ağustos’ta 10 yıl hapis cezasına çarptırıldı. Urban, Nisan ayında suçlamaları kabul etmişti.

Arka plan

Urban, Ocak 2024’te tutuklanmış, Kasım ayında ise Adalet Bakanlığı tarafından dört diğer grup üyesiyle birlikte dolandırıcılık ve kimlik hırsızlığıyla suçlanmıştı. Grup, 2021-2023 yılları arasında SMS kimlik avı yoluyla çalınan kimlik bilgilerini kullanarak milyonlarca dolarlık kripto para ve kişisel veriyi ele geçirdi.

Mahkeme belgelerine göre Urban, Ağustos 2022 – Mart 2023 arasında ABD’de en az 59 kişiden kripto para çaldı. FBI, evinde yaptığı aramada yaklaşık 4,8 milyon dolar değerinde kripto para ele geçirdi. Mağdurların toplam kaybı 13 milyon doların üzerinde hesaplandı.

Urban, Mayıs 2023’teki sorgusunda 2021-2023 yılları arasında “birkaç milyon dolar” kazandığını, çoğunu kumarda kaybetse de hâlâ milyonlarca dolarının kaldığını söylemişti.

Cezanın ayrıntıları

Savcılar 8 yıl hapis cezası talep etse de, Florida’daki mahkeme Urban’a 10 yıl (120 ay) ceza verdi. Ayrıca mağdurlara toplam 13 milyon dolar tazminat ödemesine hükmedildi.

Urban, karar sonrası yaptığı açıklamada cezayı haksız bulduğunu, yaşının hafifletici unsur olarak değerlendirilmediğini iddia etti. Bunun sebebinin ise davaya bakan hakimin bir diğer Scattered Spider üyesi tarafından hacklenmesi olduğunu öne sürdü.

Scattered Spider grubu

“0ktapus”, “UNC3944” ve “Muddled Libra” isimleriyle de bilinen Scattered Spider, son yıllarda Twilio, Coinbase, DoorDash, Caesars, MailChimp, Riot Games, Reddit ve MGM Resorts gibi büyük kuruluşları hedef aldı. Grup, oltalama, SIM takası ve MFA bombardımanı gibi yöntemler kullanıyor.

2023’te MGM Resorts saldırısında BlackCat fidye yazılımıyla 100’den fazla sunucuyu şifrelemişlerdi. Grup üyelerinin Qilin, RansomHub ve DragonForce gibi fidye yazılım gruplarıyla iş birliği yaptığı da biliniyor.

Son yıllarda perakende ve sigorta şirketlerinden ziyade havacılık ve ulaştırma sektörüne yöneldikleri dikkat çekiyor.

Kaynak: Beykozun Sesi

Telekomünikasyon devi Orange Group’un bir iştiraki olan Orange Belgium, Temmuz ayında gerçekleşen bir siber saldırının 850 bin müşteriyi etkilediğini açıkladı. Şirket, olayı 21 Ağustos’ta kamuoyuyla paylaştı.

Orange Belgium, Belçika ve Lüksemburg’da 3 milyondan fazla müşteriye hizmet veriyor ve ülkenin en geniş 4G/5G ağını işletiyor. 2024 yılında 1,34 milyar avro gelir açıklayan şirket, saldırının ardından etkilenen müşterilerini bilgilendirmeye başladı.

Hangi veriler çalındı

Şirketin açıklamasına göre saldırganlar, müşterilere ait şu bilgilere erişti:

• Ad ve soyad
• Telefon numarası
• SIM kart numarası
• PUK kodu
• Tarifeler

Şirket, şifre, e-posta adresi ve finansal bilgilerin saldırganların eline geçmediğini vurguladı.

Saldırının arka planı

Orange Belgium, saldırının Çin merkezli olduğu iddia edilen Salt Typhoon grubu tarafından gerçekleştirilen küresel telekom saldırılarıyla bağlantılı olmadığını belirtti. Yetkililer, sorumlu grubun kimliğini bildiklerini ancak soruşturma sürdüğü için açıklamadıklarını ifade etti.

Olay, Orange Group’un Temmuz sonunda Fransa’daki müşterileri etkileyen ayrı bir saldırıyı duyurmasından kısa süre sonra yaşandı. Ayrıca Şubat 2025’te şirketin Romanya şubesinde de e-posta adresleri ve çalışan verilerini içeren binlerce belgenin sızdırıldığı başka bir ihlal doğrulanmıştı.

Müşterilere uyarı

Orange Belgium, etkilenen müşterileri e-posta ve SMS yoluyla bilgilendiriyor. Şirket, dolandırıcıların çalınan bilgileri kullanarak kendilerini Orange veya başka bir kurum gibi tanıtabileceğini, bu nedenle şüpheli mesaj ve aramalara karşı dikkatli olunması gerektiğini bildirdi.

Kaynak: Beykozun Sesi

Yapay zekâ destekli site oluşturma aracı Lovable, siber suçlular tarafından kimlik avı saldırıları, kötü amaçlı yazılım dağıtımı ve sahte siteler için kullanılıyor. Proofpoint’in raporuna göre Şubat ayından bu yana on binlerce Lovable bağlantısı zararlı kampanyalarda tespit edildi.

Tespit edilen kampanyalar

• Kimlik avı saldırıları: Tycoon adlı phishing-as-a-service altyapısı üzerinden yürütülen geniş çaplı saldırılarda Lovable bağlantıları Microsoft giriş sayfaları gibi gösterildi. Bu sayfalarda kullanıcıların kimlik bilgileri, çok faktörlü doğrulama kodları ve oturum çerezleri toplandı. Yaklaşık 5 bin kuruma yüzbinlerce e-posta gönderildi.

• UPS sahtekârlığı: Yaklaşık 3.500 e-postayla yürütülen kampanyada kullanıcılar sahte UPS sitelerine yönlendirildi. Burada girilen kredi kartı ve SMS doğrulama kodları saldırganların Telegram kanalına aktarıldı.

• Kripto hırsızlığı: Aave platformunu taklit eden kampanyada yaklaşık 10 bin e-posta gönderildi. Lovable üzerinde oluşturulan sayfalarda kullanıcıların cüzdanlarını bağlamaları istendi.

• Zararlı yazılım dağıtımı: Lovable bağlantıları üzerinden sahte fatura portallarıyla zgRAT adlı uzak erişim truva atı dağıtıldı. Dropbox üzerinde barındırılan dosyalar aracılığıyla zararlı yazılım sisteme yüklendi.

Lovable’ın yanıtı

Şirket, Temmuz ayında gerçek zamanlı kötüye kullanım tespit sistemi devreye aldığını ve günlük taramalarla sahte projeleri sildiğini açıkladı. Son iki haftada 300’den fazla sahte site kaldırıldı, ayrıca günde yaklaşık 1.000 zararlı proje engellendi.

Buna rağmen, Guardio Labs tarafından yapılan bir testte platform üzerinden halen sahte siteler üretilebildiği belirlendi.

Lovable, yaptığı açıklamada, “Yasadışı ve kötü niyetli içeriklere tolerans göstermiyoruz. Güvenlik ekibimiz 7/24 çalışıyor.” ifadelerini kullandı.

Kaynak: Beykozun Sesi

Apple, aktif olarak istismar edilen yeni bir sıfırıncı gün güvenlik açığını kapatmak için acil güvenlik güncellemeleri yayımladı. CVE-2025-43300 olarak takip edilen açık, Image I/O çerçevesinde keşfedildi. Bu çerçeve, uygulamaların çok sayıda görüntü formatını okumasına ve yazmasına olanak sağlıyor.

Şirketin açıklamasına göre açık, “out-of-bounds write” zafiyetinden kaynaklanıyor. Saldırganların hazırladığı özel görüntü dosyaları, bellek taşmasına yol açarak program çökmesine, veri bozulmasına veya uzaktan kod yürütülmesine neden olabiliyor.

Apple güvenlik uyarısında, “Bu sorunun belirli kişilere yönelik son derece sofistike saldırılarda istismar edilmiş olabileceğine dair bir rapordan haberdarız.” ifadesine yer verdi.

Yayınlanan güncellemeler

Açık, sınır denetimlerinin geliştirilmesiyle giderildi. Şirketin duyurduğu güncellemeler şunları kapsıyor:

• iOS 18.6.2 ve iPadOS 18.6.2
• iPadOS 17.7.10
• macOS Sequoia 15.6.1
• macOS Sonoma 14.7.8
• macOS Ventura 13.7.8

Açığın etkilediği cihaz listesi oldukça geniş. iPhone XS ve sonrası, iPad Pro’nun farklı modelleri, iPad Air 3 ve sonrası, iPad 7. nesil ve sonrası, iPad mini 5 ve sonrası ile macOS Sequoia, Sonoma ve Ventura sürümlerini çalıştıran tüm Mac’ler risk altında bulunuyor.

Hedefli saldırılar ve Apple’ın geçmişi

Apple, saldırıların ayrıntılarını ve sorumlu aktörleri açıklamadı. Ancak, açığın yalnızca hedefli saldırılarda kullanıldığı belirtiliyor.

2025 yılı içinde Apple bu son açıkla birlikte toplam altı sıfırıncı gün zafiyetini kapatmış oldu. Daha önce Ocak, Şubat, Mart ve Nisan aylarında beş farklı aktif saldırı girişimini engellemek için yamalar yayımlamıştı. 2024 yılında da altı sıfırıncı gün açığı benzer şekilde kapatılmıştı.

Kullanıcıların cihazlarını derhal güncellemeleri, potansiyel saldırılardan korunmaları açısından önem taşıyor.

Kaynak: Beykozun Sesi

ABD Adalet Bakanlığı, “Rapper Bot” adıyla bilinen ve DDoS saldırıları için kiralanan botnetin geliştiricisi olduğu iddia edilen Ethan Foltz’a dava açıldığını duyurdu. Oregon eyaletinin Eugene kentinde yaşayan 22 yaşındaki Foltz, 6 Ağustos’ta gerçekleştirilen bir operasyon kapsamında evinde yapılan aramanın ardından suçlamalarla karşı karşıya kaldı.

Botnet’in işleyişi

“Rapper Bot”, “Eleven Eleven” ve “CowBot” isimleriyle de biliniyor. 2021’den bu yana aktif olan botnet, dijital video kayıt cihazları (DVR) ve yönlendiriciler üzerinden on binlerce cihazı ele geçirerek 2 ile 6 Tbps arasında saldırı gücüne ulaştı.

ABD Adalet Bakanlığı’nın açıklamasına göre Rapper Bot, bugüne kadar 80 ülkede 18 binden fazla kurumu hedef aldı. Bunlar arasında ABD hükümet sistemleri, büyük teknoloji şirketleri, medya platformları ve oyun firmaları da yer alıyor.

Kripto madenciliği modülü

2023’te botnete kripto madenciliği özelliği eklendi ve bu sayede ele geçirilen cihazlardan ek gelir elde edilmeye başlandı.

Saldırı istatistikleri

Amazon Web Services (AWS), botnetin komuta-kontrol altyapısının takibinde ABD yetkililerine destek verdi. AWS’nin raporuna göre Nisan 2025’ten bu yana Rapper Bot tarafından 370 binden fazla saldırı gerçekleştirildi. Bu saldırılar saniyede 1 milyardan fazla paket hızına ulaştı ve 39 ülkedeki 45 binden fazla ele geçirilmiş cihaz kullanıldı.

ABD Adalet Bakanlığı, 30 saniye süren 2 Tbps düzeyindeki bir saldırının bile kurbanlara 500 ila 10 bin dolar arasında maliyet getirdiğini açıkladı. Ayrıca saldırıları kiralayan bazı kişilerin fidye taleplerinde bulunduğu da belirtildi.

Yargı süreci

Ethan Foltz, bilgisayar korsanlığını kolaylaştırmakla suçlanıyor. Suçlu bulunması halinde 10 yıla kadar hapis cezası alabilecek. Şu anda tutuksuz yargılanıyor ve hakkında resmi çağrı çıkarıldı.

Yetkililer, botnet altyapısının 6 Ağustos’ta ele geçirilmesinden sonra herhangi bir yeniden etkinleşme belirtisi görülmediğini, dolayısıyla başka bir operatörün yedek kontrol sistemine sahip olma ihtimalinin düşük olduğunu belirtiyor.

Kaynak: Beykozun Sesi

Agentic AI tarayıcıların güvenliği üzerine yapılan bir araştırma, bu yeni nesil araçların ciddi güvenlik açıklarına sahip olduğunu ortaya koydu. Çalışma kapsamında özellikle Perplexity’nin Comet tarayıcısı incelendi ve sahte sitelerle etkileşime girerek alışveriş yaptığı, oltalama sayfalarına yönlendiği ve zararlı dosyalar indirdiği gözlemlendi.

Sahte alışveriş senaryosu

Guardio tarafından gerçekleştirilen testte, Comet’e Apple Watch satın alma talimatı verildi. Araştırmacılar, sahte bir Walmart mağazası oluşturdu ve Comet hiçbir güvenlik kontrolü yapmadan kredi kartı ve adres bilgilerini girerek ödeme adımını tamamladı.

Araştırmacılar, gerçek hayatta bu durumun SEO manipülasyonu veya kötü amaçlı reklamlarla da kolayca gerçekleşebileceğini belirtti.

Oltalama saldırısı testi

İkinci testte araştırmacılar, sahte bir Wells Fargo e-postası oluşturdu. E-posta, ProtonMail üzerinden gönderilmiş ve kullanıcıyı canlı bir oltalama sayfasına yönlendiriyordu. Comet, bu e-postayı bankadan gelmiş gibi değerlendirerek sahte giriş sayfasını açtı ve kullanıcıdan kimlik bilgilerini girmesini istedi.

Komut enjeksiyonu senaryosu

Üçüncü testte, araştırmacılar gizli talimatlar içeren sahte bir CAPTCHA sayfası hazırladı. Comet bu talimatları geçerli komut olarak algıladı ve butona tıklayarak zararlı bir dosyanın indirilmesine neden oldu.

Araştırmacıların uyarısı

Guardio, bu deneylerin yalnızca yüzeysel olduğunu, agentic AI tarayıcıların çok daha karmaşık saldırı türlerine açık olduğunu vurguladı. Şirket, “AI çağıyla birlikte dolandırıcıların milyonlarca kullanıcıyı kandırmasına gerek kalmayacak, tek bir modeli kandırmaları yeterli olacak.” ifadelerini kullandı.

Uzmanlar, güvenlik altyapısı olgunlaşana kadar Comet gibi tarayıcılarla alışveriş veya bankacılık işlemleri yapılmamasını, kullanıcıların finansal ve kişisel bilgilerini bu sistemlere teslim etmemesini öneriyor.

Kaynak: Beykozun Sesi

Microsoft 365 kullanıcılarını hedef alan yeni bir kimlik avı tekniği ortaya çıktı. Push Security’nin analizine göre saldırganlar, Microsoft’un güvenilir altyapısını kullanan sahte yönlendirmeler üzerinden kullanıcıların giriş bilgilerini ele geçiriyor.

Saldırı yöntemi

Kampanya, Google’da “Office 265” şeklinde yazılan hatalı arama sonucunda karşıya çıkan sponsorlu bağlantıyla başladı. Bu bağlantıya tıklayan kullanıcı önce outlook.office.com adresine yönlendirildi, ardından bluegraintours[.]com alan adına ve oradan da kimlik bilgilerini çalmak için hazırlanan sahte Microsoft 365 giriş sayfasına aktarılıyor.

Push Security araştırmacıları, saldırganların kendi Microsoft kiracısını (tenant) oluşturup ADFS yapılandırması yaptığını tespit etti. Bu sayede, yönlendirme zincirinde yer alan alan adı kimlik sağlayıcısı gibi davranarak sahte sayfaya yetkilendirme isteği gönderebildi.

Neden tespit edilmedi

Saldırganların kullandığı alan adı, sahte blog yazıları ve içeriklerle doldurularak otomatik tarayıcılar için güvenilir görünecek şekilde tasarlandı. Ayrıca, hedef alınmayan kullanıcılar otomatik olarak yeniden office.com’a yönlendirildi. Bu yöntem, araştırmacıların “hedefli erişim” olarak tanımladığı koşullu yükleme kısıtlamalarıyla desteklendi.

Push Security açıklaması

Şirketin kurucu ortağı ve ürün sorumlusu Jacques Louw, saldırının belirli sektör ya da rolleri hedeflemediğini belirterek, “Bu, kullanıcıları güvenilir bağlantılara tıklatarak klasik kimlik avı kitlerine yönlendirmeye çalışan deneysel bir yöntem gibi görünüyor.” dedi.

Önceki örneklerden farkı

Daha önce ADFS, taklit edilen giriş sayfalarıyla kimlik bilgisi toplamak için kullanılmıştı. Bu kampanyada ise gerçek yönlendirme zinciri kullanıldığı için saldırı daha inandırıcı hale geldi.

Önlemler

Uzmanlar, ADFS yönlendirmelerinin izlendiği güvenlik kontrollerinin devreye alınmasını ve Google reklam parametrelerinin düzenli kontrol edilmesini öneriyor. Ayrıca, işletmelerin sahte yönlendirmeleri tespit edebilmesi için reklam kaynaklı trafik üzerinde daha fazla izleme yapılması gerektiği belirtiliyor.

Kaynak: Beykozun Sesi

Altı büyük şifre yöneticisinde ciddi güvenlik açıkları bulundu. Söz konusu açıkların, clickjacking tekniğiyle kullanıcıların giriş bilgileri ve finansal verilerinin çalınmasına yol açabileceği bildirildi.

Bağımsız güvenlik araştırmacısı Marek Tóth tarafından ortaya çıkarılan bulgular, Las Vegas’ta düzenlenen DEF CON 33 hacker konferansında sunuldu. Siber güvenlik firması Socket tarafından doğrulanan açıklar, üreticilere Nisan 2025’te bildirildi.

Saldırı yöntemi

Clickjacking saldırılarında, zararlı veya güvenlik açığı bulunan sitelere yerleştirilen şeffaf HTML öğeleri aracılığıyla şifre yöneticisinin otomatik doldurma menüsü gizleniyor. Kullanıcı, zararsız gibi görünen bir butona tıkladığını sanarken aslında şifre yöneticisinde veri doldurma işlemini tetikliyor ve bilgiler saldırganlara aktarılıyor.

Araştırmacı, saldırıların farklı varyantlarını göstererek şifre yöneticisinin arayüzünün tamamen ya da kısmen görünmez hale getirilebildiğini açıkladı. Ayrıca, evrensel bir saldırı kodunun tarayıcıdaki aktif şifre yöneticisini tespit edip saldırıyı buna uyarlayabileceğini belirtti.

Etkilenen uygulamalar

Testlerde aşağıdaki sürümlerin saldırıya açık olduğu belirlendi:

• 1Password 8.11.4.27
• Bitwarden 2025.7.0
• Enpass 6.11.6
• iCloud Passwords 3.1.25
• LastPass 4.146.3
• LogMeOnce 7.12.4

Yaklaşık 40 milyon kullanıcıyı etkileyen bu açıklar karşısında, Bitwarden son sürümde düzeltme yayımladığını duyurdu. LogMeOnce ise 23 Ağustos’ta güncelleme yayınladığını bildirdi. 1Password ve LastPass, clickjacking’in tarayıcı tabanlı yaygın bir risk olduğunu, kullanıcıların dikkatli olması gerektiğini açıkladı.

Dashlane, NordPass, ProtonPass, RoboForm ve Keeper ise yaz aylarında güncellemelerle bu güvenlik açıklarını giderdi.

Kullanıcılara öneriler

Marek Tóth, üreticilerin güncelleme yayınlayana kadar kullanıcıların otomatik doldurma özelliğini devre dışı bırakmalarını ve yalnızca kopyala-yapıştır yöntemini kullanmalarını tavsiye etti.

Kaynak: Beykozun Sesi

Avrupa polis teşkilatı Europol, Telegram’da açılan sahte bir hesap üzerinden yayılan fidye yazılımı ödül duyurusunun gerçek olmadığını açıkladı.

16 Ağustos’ta açılan @europolcti adlı Telegram kanalında, Qilin fidye yazılımı grubunun yöneticileri olarak tanımlanan “Haise” ve “XORacle” takma adlı kişilerin kimliklerinin veya yerlerinin tespit edilmesine yardımcı olacak bilgilere karşılık 50 bin dolar ödül verileceği iddia edilmişti.

Europol, bu paylaşımlarla ilgilerinin bulunmadığını belirterek, “Biz de bu haberin yayılmasına şaşırdık. Duyuru bizden gelmedi.” açıklamasını yaptı.

Kanalda yayımlanan sahte mesajlarda, Qilin grubunun kritik altyapılara saldırılar düzenlediği ve dünya çapında mali kayıplara yol açtığı öne sürülüyordu. Ancak Europol’ün yalanlamasının ardından, aynı kanal yeni bir paylaşım yaparak tüm duyurunun araştırmacılar ve gazetecileri kandırmak amacıyla hazırlandığını itiraf etti.

Yeni mesajda, “Sözde araştırmacıları ve gazetecileri kandırmak bu kadar kolaydı. Hepinize teşekkürler.” ifadeleri kullanıldı. Paylaşım, daha önce İspanya merkezli Telefonica ve Orange Group siber saldırılarıyla ilişkilendirilen “Rey” isimli hacker tarafından imzalandı.

Qilin fidye yazılımı grubu hakkında

Qilin, ilk olarak 2022’nin Ağustos ayında “Agenda” adıyla ortaya çıktı, ancak kısa süre sonra yeniden markalaşarak mevcut adını aldı. Grup halen aktif olarak şirketleri hedef almaya devam ediyor.

Siber güvenlik dünyasında bu tür sahte duyuruların ilk örneği değil. 2021’de Groove fidye yazılımı sitesinin yöneticisi, ABD’ye saldırı çağrısı yaptığı sahte bir paylaşım yapmış, ardından bunun medya ve araştırmacıları yanıltmak için hazırlandığını duyurmuştu. 2023’te ise iki Kanadalı gencin tutuklandığına dair sahte bir haber yayılmaya çalışılmıştı.

Kaynak: Beykozun Sesi

Veri ihlali sonucunda TTB sisteminde yer alan kayıtlı dosyalara erişildiği ve bu dosyaların silindiği ifade edildi. İhlalden etkilenen gruplar arasında çalışanlar, kullanıcılar ve tabip odalarına kayıtlı üyeler yer aldı.

Hangi veriler etkilendi
Yapılan açıklamada, kimlik, iletişim, lokasyon, hukuki işlem ve işlem güvenliği verilerinin saldırıdan etkilendiği belirtildi. Üye veri tabanına erişim sağlanamadığı için kesin sayı belirlenemese de yaklaşık 107 bin kişinin bu ihlalden etkilenebileceği bildirildi.

KVKK kararı
Kişisel Verileri Koruma Kurulu (KVKK), 14 Ağustos 2025 tarihli ve 2025/1514 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Kurulun incelemelerinin sürdüğü aktarıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hizmetlerde kesinti
Colt’un açıklamasına göre kesintiler; Colt Online, Voice API platformu ve barındırma/numara taşıma hizmetlerini etkiliyor. Müşteri iletişimi çevrimiçi portallar üzerinden sağlanamıyor, yalnızca e-posta ve telefon ile destek veriliyor. Şirket, etkilenen sistemlerin destek hizmetleri olduğunu, temel müşteri ağ altyapısının zarar görmediğini belirtti.

WarLock’un iddiası
‘cnkjasdfgd’ takma adlı bir tehdit aktörü, WarLock fidye yazılım grubu adına saldırıyı üstlendi. Aktör, Colt’tan çalındığını iddia ettiği bir milyon belgeyi 200.000 dolara satışa sundu ve bazı örnek dosyaları yayımladı. İddialara göre dosyalar; finansal veriler, çalışan ve müşteri bilgileri, üst düzey yöneticilere ait veriler, dahili e-postalar ve yazılım geliştirme belgelerini içeriyor.

Olası güvenlik açığı
Siber güvenlik araştırmacısı Kevin Beaumont, saldırganların Microsoft SharePoint’te bulunan ve CVE-2025-53770 olarak izlenen kritik uzaktan kod yürütme açığını kullanmış olabileceğini belirtti. Bu açık en az 18 Temmuz’dan itibaren sıfır gün olarak istismar edilmiş ve Microsoft tarafından 21 Temmuz’da yamalanmıştı.

Beaumont’a göre saldırganlar yüzlerce gigabaytlık müşteri verisi ve iç dokümanı sistemlerden dışarı çıkardı.

Colt’un açıklaması
Şirket sözcüsü, BleepingComputer’a yaptığı açıklamada, “Siber olayla ilgili iddiaların farkındayız, incelemelerimiz sürüyor. Teknik ekibimiz, üçüncü taraf uzmanlarla birlikte etkilenen sistemleri geri yüklemeye odaklanmış durumda” ifadelerini kullandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Fortinet’in FortiWeb ürününde bulunan kritik bir güvenlik açığı, saldırganların herhangi bir kullanıcıyı, hatta yöneticileri taklit etmesine imkân tanıyor. CVE-2025-52970 olarak izlenen açık, 12 Ağustos’ta yayımlanan güncelleme ile kapatıldı.

Açığın teknik ayrıntıları
Araştırmacı Aviv Y tarafından “FortMajeure” adı verilen açık, FortiWeb’in çerez ayrıştırmasındaki “out-of-bounds read” hatasından kaynaklanıyor. Saldırgan, Era parametresine beklenmedik bir değer atayarak sunucunun tüm sıfırlardan oluşan gizli anahtarı kullanmasına neden oluyor. Bu durum, sahte kimlik doğrulama çerezlerinin kolayca oluşturulmasını sağlıyor.

Açığın başarılı şekilde istismar edilmesi için hedef kullanıcının aktif oturum açmış olması gerekiyor. Ardından saldırgan, çerezdeki küçük bir sayısal alanı brute-force yöntemiyle tahmin etmek zorunda. Ancak bu alanın değer aralığının 30’dan küçük olması, saldırıyı pratikte kolaylaştırıyor.

Etkilenen sürümler ve yamalar
Açık, FortiWeb’in 7.0 ile 7.6 arasındaki sürümlerini etkiliyor. Güvenli sürümler ise şu şekilde:

• FortiWeb 7.6.4 ve üzeri

• FortiWeb 7.4.8 ve üzeri

• FortiWeb 7.2.11 ve üzeri

• FortiWeb 7.0.11 ve üzeri

FortiWeb 8.0 sürümleri bu açıktan etkilenmiyor. Fortinet, geçici çözüm bulunmadığını ve tek etkili adımın güncelleme olduğunu duyurdu.

Araştırmacının kararı
Aviv Y, açığın temelini gösteren bir PoC paylaştı, ancak REST endpoint üzerinden yönetici taklidi dışında tüm istismar zincirini yayımlamadı. Tam kodun daha sonra açıklanacağını, böylece sistem yöneticilerine yamaları uygulama süresi tanındığını belirtti.

Araştırmacıya göre, eksik detaylar bilgili saldırganların bile tek başına tam bir istismar geliştirmesine imkân vermiyor. Ancak duyuruların ardından siber suçluların hızlıca harekete geçtiği düşünüldüğünde, FortiWeb kullanıcılarının derhal güncelleme yapması gerekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin California eyaletinde merkezi bulunan Workday, üçüncü taraf müşteri ilişkileri yönetim (CRM) platformuna yönelik bir sosyal mühendislik saldırısında veri ihlali yaşandığını duyurdu. Şirket, olayda müşteri kiracı verilerine erişim sağlanmadığını ancak bazı iş iletişim bilgilerinin sızdırıldığını açıkladı.

Saldırının ayrıntıları
Workday’in 16 Ağustos’ta yaptığı duyuruya göre saldırganlar, şirket çalışanlarını hedef alan sosyal mühendislik yöntemleriyle CRM platformuna erişim sağladı. Açığa çıkan veriler arasında ad, e-posta adresi ve telefon numaraları gibi bilgilerin bulunduğu belirtildi. Şirket, bu tür bilgilerin sonraki oltalama saldırılarında kullanılabileceği uyarısında bulundu.

Olayın 6 Ağustos’ta tespit edildiği ve saldırganların kendilerini İK veya BT çalışanı gibi tanıtarak mesaj ve telefon yoluyla bilgi toplamaya çalıştığı bildirildi.

ShinyHunters bağlantısı
Olay, ShinyHunters grubuyla ilişkilendirilen küresel saldırı dalgasının bir parçası. Grup, yıl başından bu yana Salesforce tabanlı CRM sistemlerini hedef alarak kötü amaçlı OAuth uygulamaları üzerinden veritabanlarına erişiyor. Daha önce Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Google gibi büyük şirketler de benzer saldırılardan etkilendi.

Çalınan veriler, e-posta yoluyla kurbanlardan fidye talep etmek amacıyla kullanılıyor. ShinyHunters, daha önce Snowflake, AT&T ve PowerSchool saldırılarıyla da gündeme gelmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Popüler ağ yönetim platformu N-able N-central’da keşfedilen iki kritik güvenlik açığı, dünya genelinde yüzlerce sunucuyu risk altında bırakıyor. CVE-2025-8875 ve CVE-2025-8876 olarak takip edilen açıklar, kimliği doğrulanmış saldırganların komut enjeksiyonu yapmasına ve güvenli olmayan serileştirme zafiyeti üzerinden komut çalıştırmasına imkân tanıyor.

Durumun ciddiyeti
N-able, açıkların yamalandığını ve 2025.3.1 sürümüyle kapatıldığını duyurdu. Ancak Shadowserver Foundation verilerine göre hâlâ 880 sunucu güncellenmedi. Çoğu ABD, Kanada ve Hollanda’da bulunuyor. Shodan aramalarında internete açık yaklaşık 2.000 N-central örneği görüldü.

N-able, yaptığı açıklamada güvenlik ihlallerinin yalnızca sınırlı sayıda şirket içi ortamda gözlemlendiğini, kendi bulut ortamlarında ise istismar tespit edilmediğini bildirdi.

CISA’dan zorunlu talimat
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), açıkları “bilinen istismar edilen güvenlik açıkları” listesine ekledi. Federal kurumların, özellikle İç Güvenlik Bakanlığı, Hazine Bakanlığı ve Enerji Bakanlığı’nın sistemlerini 20 Ağustos’a kadar yamalaması zorunlu hale getirildi.

CISA, özel sektör kuruluşlarına doğrudan yükümlülük getirmese de tüm ağ yöneticilerini N-able’ın yayımladığı yamaları uygulamaya, aksi halde ürünü devre dışı bırakmaya çağırdı. Açıklamada, “Bu tür açıklar kötü niyetli aktörler için sık kullanılan saldırı vektörleri olmaya devam ediyor” denildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İngiltere’de 26 yaşındaki Al-Tahery Al-Mashriky, binlerce web sitesine saldırdığı ve milyonlarca kişiye ait bilgileri çaldığı suçlamalarını kabul ederek 20 ay hapis cezası aldı.

Soruşturmanın geçmişi
Mashriky, 2022 yılında ABD kolluk kuvvetlerinden gelen bilgiler doğrultusunda İngiltere’de tutuklandı. Mart 2025’te görülen davada suçunu kabul ederek dokuz suçtan hüküm giydi. Suçlamalar arasında Facebook kullanıcılarına ait milyonlarca giriş bilgisinin çalınması, Yemen hükümeti ve İsrail merkezli bir haber sitesi gibi kurumların hacklenmesi yer aldı.

Hedef alınan kurumlar
Adli incelemeler, Yemen Dışişleri Bakanlığı ve Yemen Güvenlik Medya Bakanlığı’nın sitelerine sızıldığını ve bu sitelerde kullanıcı adı tarama araçları yerleştirildiğini ortaya koydu. Ayrıca İsrail’deki Live News sitesinin yönetici sayfalarına erişildi ve tüm içerik indirildi. ABD ve Kanada’daki dini kuruluşlar ile Kaliforniya Su Kurulu da hedefler arasında bulundu.

Çalınan veriler
Mashriky’nin elinde 4 milyondan fazla Facebook kullanıcısına ait veriler, ayrıca Netflix ve PayPal gibi hizmetlere ait çalıntı kullanıcı bilgileri bulundu. Saldırıların bazılarında web siteleri siyasi ve dini içeriklerle tahrif edildi.

Ulusal Suç Ajansı açıklaması
İngiltere Ulusal Suç Ajansı (NCA) Siber Suç Birimi Başkanı Paul Foster, Mashriky’nin saldırılarının büyük ölçüde kesinti yarattığını belirterek, “Bu saldırılar yalnızca siyasi ve ideolojik mesaj yaymak için yapıldı. Ayrıca milyonlarca kişiyi dolandırmaya imkân sağlayacak kişisel verileri de ele geçirdi” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sızıntının içeriği
Arşivde zararlının PHP tabanlı komuta-kontrol altyapısı, React ile hazırlanmış operatör paneli, Go dilinde yazılmış veri sızdırma sunucusu, Kotlin tabanlı arka kapı ve özelleştirilmiş APK üreticisi yer aldı. Analizler, ERMAC 3.0’ın önceki sürümlere kıyasla kapsamını önemli ölçüde genişlettiğini gösterdi.

Hedefler ve yetenekler
ERMAC’ın yeni sürümü, bankacılık, alışveriş ve kripto para uygulamaları dahil olmak üzere 700’den fazla mobil uygulamayı hedefliyor. Zararlı yazılım; SMS, kişi listesi ve hesap bilgilerini çalabiliyor, Gmail içeriklerine erişebiliyor, sahte bildirimler gösterebiliyor, cihaz kamerasıyla fotoğraf çekebiliyor ve uzaktan uygulama yönetimi yapabiliyor. Ayrıca, cihazdan dosya indirme, çağrı yönlendirme ve SMS gönderme gibi iletişim suiistimali özelliklerine de sahip.

Altyapı zafiyetleri
Hunt.io, sızıntı sayesinde ERMAC’ın canlı komuta-kontrol sunucularını ve operatör panellerini tespit etti. İncelemelerde sabitlenmiş JWT tokenleri, varsayılan kök kullanıcı bilgileri ve korumasız yönetim panelleri gibi ciddi güvenlik açıkları bulundu. Bu durum, altyapının dışarıdan erişime ve manipülasyona açık hale gelmesine neden oldu.

Olası etkiler
Kaynak kod sızıntısının, ERMAC’ı “hizmet olarak kötü amaçlı yazılım” (MaaS) modelinde kullanan suçluların güvenini zedelemesi bekleniyor. Güvenlik çözümlerinin ERMAC’ı daha iyi tespit etmesi mümkün olsa da, kodun diğer tehdit aktörlerinin eline geçmesi durumunda daha gelişmiş ve tespit edilmesi zor yeni varyantların ortaya çıkabileceği değerlendiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin Nebraska eyaletinde yaşayan Charles O. Parks III, “CP3O” takma adıyla yürüttüğü kripto madenciliği operasyonu nedeniyle 1 yıl hapis cezasına mahkum edildi. Parks, iki büyük bulut bilişim sağlayıcısını 3,5 milyon dolar dolandırarak yaklaşık 1 milyon dolar değerinde kripto para elde etti.

Dolandırıcılık yöntemi
Savcılık belgelerine göre Parks, “CP3O LLC” ve “MultiMillionaire LLC” gibi sahte şirketler kurarak Microsoft ve Amazon merkezli bulut hizmet sağlayıcıları da kapsayan platformlardan yüksek seviyeli işlem gücü aldı. Ocak–Ağustos 2021 arasında faturaları ödemeyerek sağlayıcıların dikkatini farklı bahanelerle dağıttı. Bir şirket yetkililerine, küresel bir çevrimiçi eğitim platformu kurduğunu ve 10 bin öğrenciye hizmet vermeyi planladığını söyledi.

Kripto madenciliği ve kara para aklama
Elde ettiği işlem gücüyle Monero (XMR), Ether (ETH) ve Litecoin (LTC) üreten Parks, kripto varlıklarını çeşitli borsalar, çevrimiçi ödeme hizmetleri, New York merkezli bir NFT pazarı ve banka hesapları üzerinden akladı. Tüm varlıkları nakde çevirerek lüks bir Mercedes-Benz S AMG otomobil, mücevherler ve birinci sınıf seyahatler satın aldı.

Kamuoyuna yansımaları
Savcılık açıklamasında Parks’ın kendisini kripto alanında “inovatif bir düşünce lideri” gibi gösterdiği, ancak gerçekte “yalnızca bir dolandırıcı” olduğu ifade edildi. Parks’ın, 2022’de YouTube kanalında “MultiMillionaire Mentality” başlıklı bir video yayımlayarak sözde zenginlik ipuçlarını paylaştığı da belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Trellix tarafından yayımlanan rapora göre, devlet destekli olduğu değerlendirilen bir casusluk kampanyası Güney Kore’deki yabancı elçilikleri hedef alıyor. Kampanyada XenoRAT zararlı yazılımı, sahte diplomatik e-postalarla dağıtılıyor.

Çok aşamalı saldırılar
Saldırılar Mart ayında başladı ve halen devam ediyor. İlk olarak Orta Avrupa’daki bir elçilik hedef alınırken, Mayıs ayında Batı Avrupa elçiliklerine sahte toplantı davetleri gönderildi. Haziran ve Temmuz aylarında ise ABD–Kore askeri iş birliği temalı oltalama e-postaları öne çıktı.

E-postalar, diplomat kimliğine bürünerek sahte toplantı davetleri, resmi yazılar ve etkinlik çağrıları şeklinde hazırlandı. İçerikler çok dilli olarak Korece, İngilizce, Fransızca, Arapça, Farsça ve Rusça yazıldı ve çoğu zaman gerçek diplomatik etkinliklerle eşleştirildi.

Zararlı yazılım dağıtımı
Saldırganlar, Dropbox, Google Drive ve Daum gibi servislerde barındırılan parola korumalı ZIP dosyaları kullandı. Dosyalarda PDF gibi görünen LNK dosyaları yer aldı. Bu dosyalar çalıştırıldığında gizlenmiş PowerShell komutları devreye girerek GitHub veya Dropbox’tan XenoRAT yükünü indiriyor ve sistemde kalıcılık sağlıyor.

XenoRAT, tuş kaydı alma, ekran görüntüsü alma, kamera ve mikrofon erişimi, dosya transferi ve uzaktan komut yürütme gibi özelliklere sahip. Bellekte doğrudan yüklenmesi ve Confuser Core ile gizlenmesi sayesinde tespit edilmesi zorlaşıyor.

Kimin arkasında olduğu tartışılıyor
Saldırılarda kullanılan altyapı ve teknikler, Kuzey Kore bağlantılı Kimsuky (APT43) grubunu işaret ediyor. Ancak saldırıların zamanlaması ve tatil dönemlerindeki duraksamalar Çin takvimine uyum gösteriyor. Bu nedenle Trellix, kampanyayı APT43’e “orta düzey güvenle” atfederek Çin desteği ihtimalini de göz ardı etmiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’de faaliyet gösteren ve Allianz SE’nin iştiraki olan Allianz Life, Temmuz ayında gerçekleşen büyük çaplı bir veri ihlalini doğruladı. Şirketin 1,4 milyon müşterisinin “çoğunluğunu” etkileyen olayda, 1,1 milyon kişinin kişisel bilgileri saldırganlar tarafından ele geçirildi.

Saldırının yöntemi
Siber saldırı, 16 Temmuz’da üçüncü taraf bulut tabanlı CRM sistemi Salesforce üzerinden gerçekleştirildi. ShinyHunters grubu, çalışanları kandırarak şirketin Salesforce altyapısına kötü amaçlı bir OAuth uygulaması bağladı. Bu erişim üzerinden müşteri ve iş ortaklarına ait veritabanları indirildi.

Çalınan veriler
Sızdırılan bilgiler arasında ad-soyad, e-posta adresi, cinsiyet, doğum tarihi, telefon numarası ve fiziksel adresler yer alıyor. Bazı dosyalarda vergi kimlik numaraları ve diğer finansal bilgiler de bulundu. Veri ihlali bildirim hizmeti Have I Been Pwned, toplamda 2,8 milyon kaydın sızdırıldığını açıkladı.

ShinyHunters’ın rolü
ShinyHunters grubu, Allianz Life’ın yanı sıra Google, Adidas, Qantas, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Workday gibi birçok büyük kurumu da hedef aldı. Grup, geçmişte Snowflake, AT&T ve PowerSchool gibi saldırılarla da gündeme gelmişti.

Allianz Life’ın açıklaması
Şirket, devam eden soruşturma nedeniyle ayrıntı veremeyeceğini, ancak bazı çalışanların da veri ihlalinden etkilendiğini doğruladı. Allianz Life, etkilenen müşterilerle iletişime geçtiğini ve incelemelerin sürdüğünü bildirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Altı ay sonra tespit edildi
BCNYS, saldırıyı yaklaşık altı ay sonra, 4 Ağustos’ta fark etti. Yapılan incelemelerde, tehdit aktörlerinin kişisel, finansal ve sağlık bilgilerini içeren dosyalara erişerek kopyaladığı ortaya çıktı.

Çalınan veriler
Etkilenen bilgiler arasında ad-soyad, Sosyal Güvenlik numarası, doğum tarihi, eyalet kimlik numarası, banka ve hesap bilgileri, kredi kartı numarası, PIN kodları, kart son kullanma tarihleri ve vergi mükellefi kimlik numaraları yer alıyor. Ayrıca tıbbi sağlayıcı adı, teşhis ve tedavi bilgileri, reçete bilgileri ve sağlık sigortası verileri de saldırıda ifşa edildi.

Alınan önlemler
BCNYS, olayın ardından dış uzmanlardan destek alarak sistemlerini güvenceye aldığını ve kapsamlı bir soruşturma başlattığını açıkladı. Şimdiye kadar finansal dolandırıcılık veya kimlik hırsızlığına dair kanıt bulunmadığı ifade edildi. Sosyal Güvenlik numarası ifşa olan kişilere ücretsiz kredi izleme hizmeti sağlanacak.

Kurum, etkilenen bireyleri hesap ekstrelerini ve ücretsiz kredi raporlarını düzenli olarak kontrol etmeleri konusunda uyardı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin Indiana eyaletinde faaliyet gösteren ilaç şirketi Inotiv, 8 Ağustos 2025’te gerçekleşen bir fidye yazılım saldırısının şirketin operasyonlarını etkilediğini açıkladı. U.S. Securities and Exchange Commission (SEC) başvurusunda paylaşılan bilgilere göre saldırganlar, şirketin bazı sistemlerine yetkisiz erişim sağladı ve verileri şifreledi.

Saldırıyı Qilin üstlendi
Qilin fidye yazılım grubu, saldırıyı kendi sızıntı sitesinde duyurarak yaklaşık 176 GB büyüklüğünde 162.000 dosyayı ele geçirdiğini öne sürdü. Grup, çaldığı verilerden bazı örnekleri de yayımladı.

Alınan önlemler
Inotiv, olayın ardından harici siber güvenlik uzmanlarıyla birlikte soruşturma başlattı ve kolluk kuvvetlerini bilgilendirdi. Şirketin IT ekibi, etkilenen sistemleri yeniden işler hale getirmek için çalışmalar yürütüyor. Bazı iş süreçleri ise çevrimdışı alternatiflere taşınarak kesintilerin etkisi azaltılmaya çalışılıyor.

Şirket, saldırının veritabanları ve iş süreçlerinde kullanılan bazı iç uygulamaları etkilediğini, bu nedenle operasyonlarda aksaklıkların bir süre daha devam etmesini beklediklerini duyurdu. Normal işleyişe dönüş için net bir tarih verilmedi.

Inotiv hakkında
Yaklaşık 2.000 kişiyi istihdam eden ve yıllık 500 milyon dolardan fazla gelir elde eden Inotiv, ilaç keşfi, geliştirilmesi, güvenlik değerlendirmesi ve canlı hayvan araştırma modelleri konularında uzmanlaşmış bir sözleşmeli araştırma kuruluşu olarak faaliyet gösteriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İddialar
AshES Cybersecurity, Elastic Defend’in elastic-endpoint-driver.sys adlı sürücüsünde NULL pointer dereference hatası bulunduğunu, bunun da EDR korumasını atlatmaya, uzaktan kod yürütmeye ve kalıcılık sağlamaya yol açabileceğini öne sürdü. Araştırmacı, kendi hazırladığı sürücü ile bu hatayı tetiklediğini, Windows’un çökmesini ve calc.exe dosyasının EDR tarafından engellenmeden açılmasını gösteren iki video yayımladı.

Elastic’in yanıtı
Elastic Güvenlik Mühendisliği ekibi, iddiaları inceleyerek rapor edilen açığın yeniden üretilemediğini belirtti. Şirket, AshES tarafından gönderilen raporların tekrarlanabilir bir sömürü kanıtı içermediğini ve araştırmacının PoC paylaşmayı reddettiğini duyurdu.

Elastic açıklamasında, güvenlik araştırmalarında koordineli açıklamanın esas olduğunu, ancak bu raporda sürecin takip edilmediğini vurguladı. Şirket, 2017’den bu yana hata ödül programı kapsamında güvenlik araştırmacılarına 600.000 dolardan fazla ödeme yapıldığını hatırlattı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Okta, Auth0 kullanıcılarının güvenlik tehditlerini daha hızlı tespit edebilmesi için Sigma tabanlı kurallardan oluşan açık kaynaklı bir “Customer Detection Catalog” yayımladı. Yeni kurallar seti, şüpheli etkinliklerin log kayıtları üzerinden daha kolay analiz edilmesini sağlayarak hesap ele geçirme ve yapılandırma hataları gibi risklere karşı koruma sunuyor.

Yeni katalog neler içeriyor
Auth0, dünya genelinde birçok kurum tarafından kimlik doğrulama ve kullanıcı yönetimi amacıyla kullanılan bir platform. Daha önce kullanıcıların şüpheli aktiviteleri tespit etmek için kendi kurallarını yazmaları gerekiyordu. Okta’nın yayımladığı katalog ise, topluluk katkısına açık şekilde sürekli güncellenen hazır sorgular sunuyor.

Şirketin açıklamasına göre bu kurallar, anormal kullanıcı davranışlarını, potansiyel hesap ele geçirmelerini, hatalı yapılandırmaları ve sahte yönetici hesaplarının oluşturulmasını ortaya çıkarabiliyor. Ayrıca SMS bombardımanı ve token hırsızlığı gibi saldırı yöntemlerinin log kayıtları üzerinden izlenmesine de imkan tanıyor.

Kullanım süreci
Kullanıcılar, kurallara GitHub üzerinden erişebiliyor. Sigma uyumlu sorgular, sigma-cli gibi dönüştürücüler aracılığıyla farklı SIEM veya log analiz sistemlerine uyarlanabiliyor. Kurallar önce geçmiş loglar üzerinde test edilerek yanlış pozitif sonuçlar ayıklanabiliyor, ardından canlı ortama aktarılabiliyor.

Okta, kullanıcıların kendi geliştirdikleri kuralları da GitHub deposuna “pull request” yoluyla ekleyebileceğini, böylece topluluk temelli bir güvenlik katmanı oluşturulacağını belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı yöntemi nasıl işliyor
PyPI üzerindeki proje geliştiricilerinin hesapları, e-posta adresleriyle bağlantılı olarak çalışıyor. Bazı adresler özel alan adlarına bağlı olduğunda, bu alan adı süresi dolduğunda saldırganlar aynı alan adını yeniden kaydedebiliyor. Sonrasında bir e-posta sunucusu kurarak parola sıfırlama talebinde bulunabiliyor ve ilgili PyPI hesabının kontrolünü ele geçirebiliyor.

Bu tür saldırılar tedarik zinciri riski yaratıyor. Ele geçirilen hesaplarla popüler Python paketlerinin kötü amaçlı sürümleri yayımlanabiliyor ve bu paketler pip üzerinden otomatik yüklenebiliyor. Daha önce Mayıs 2022’de “ctx” paketine yapılan saldırıda saldırganlar Amazon AWS anahtarlarını hedef alan kötü amaçlı kod eklemişti.

Yeni koruma sistemi
PyPI, alan adlarının yaşam döngüsünü (aktif, ek süre, kurtarma süresi, silinme beklemede) Domainr’ın Status API servisini kullanarak kontrol ediyor. Alan adı süresi dolmuş veya sona erme aşamasına girmişse, bu e-posta adresleri doğrulamasını kaybediyor ve parola sıfırlama ya da hesap kurtarma işlemlerinde kullanılamıyor.

Yeni sistemin geliştirilmesi Nisan 2025’te başladı ve Haziran 2025’te günlük taramalarla devreye alındı. O tarihten bu yana 1.800’den fazla e-posta adresi bu kapsamda geçersiz sayıldı.

Kullanıcılara öneriler
PyPI, kullanıcıların hesaplarına özel alan adı yerine genel e-posta servislerinden yedek bir adres eklemelerini ve hesap güvenliği için iki faktörlü kimlik doğrulama kullanmalarını öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber suçlarla bağlantılı kripto paraların izlenmesi ve engellenmesine yönelik iki farklı girişim kapsamında, 300 milyon dolardan fazla değerde dijital varlık donduruldu. Çalışmalar, uluslararası kolluk kuvvetleri ile özel sektör iş birliğinde yürütüldü.

T3 FCU girişimi
TRM Labs, TRON ve Tether tarafından 2024 yılında başlatılan T3 Finansal Suç Birimi (T3 FCU), bugüne kadar 250 milyon doların üzerinde suç gelirini dondurdu. Binance’in ilk resmi üye olarak katıldığı girişimde, milyonlarca işlem analiz edilerek kara para aklama, yatırım dolandırıcılığı, terör finansmanı ve fidye yazılımları gibi vakalarla ilgili soruşturmalara destek sağlandı.

TRM Labs tarafından yapılan açıklamada, Eylül 2024’ten bu yana beş kıtada 3 milyar doların üzerinde işlem hacminin izlendiği, bu kapsamda özellikle “romantik tuzak” adı verilen dolandırıcılık yöntemlerine yönelik 6 milyon doların dondurulduğu belirtildi.

Kanada ve ABD merkezli operasyonlar
Diğer girişim ise ABD ve Kanada’nın yürüttüğü, Chainalysis uzmanlarının destek verdiği operasyonlarla gerçekleşti. Ontario Eyalet Polisi tarafından yürütülen “Project Atlas” ve Britanya Kolumbiyası Menkul Kıymetler Komisyonu tarafından yönetilen “Operation Avalanche” kapsamında, son altı ayda 74,3 milyon dolarlık kayıp tespit edildi.

Chainalysis verilerine göre, bu operasyonlar kapsamında 14 farklı ülkede 2.000’den fazla kripto cüzdan adresi belirlendi. Tether ile yapılan iş birliği sayesinde 50 milyon dolardan fazla USDT kara listeye alındı ve suçluların bu varlıkları nakde çevirmesi engellendi.

Uzmanlara göre, bu tür küresel iş birlikleri, siber suçların finansman kaynaklarını kurutma ve suç gelirlerinin dolaşımını blockchain üzerinde doğrudan engelleme açısından kritik önem taşıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hangi sürümler etkileniyor
Cisco’ya göre açık, FMC yazılımının 7.0.7 ve 7.7.0 sürümlerinde, RADIUS kimlik doğrulaması aktifken ortaya çıkıyor. Bu, özellikle kurumsal ve devlet ağlarında merkezi kimlik doğrulama için sık kullanılan bir konfigürasyon.

Güncellemeler yayımlandı
Cisco, güvenlik açığını gidermek için ücretsiz yazılım güncellemelerini yayımladı. Yama, geçerli hizmet sözleşmesine sahip müşteriler için standart kanallar üzerinden erişilebilir durumda.

Geçici çözüm seçeneği
Yama yüklenemeyen ortamlarda önerilen tek geçici çözüm, RADIUS kimlik doğrulamasını devre dışı bırakarak yerine yerel kullanıcı hesapları, LDAP ya da SAML tabanlı kimlik doğrulama yöntemlerinin kullanılması.

Henüz istismar edilmedi
Açık, Cisco güvenlik araştırmacısı Brandon Sakai tarafından dahili testlerde keşfedildi. Şirket, açığın sahada istismar edildiğine dair herhangi bir bulguya sahip olmadığını açıkladı.

Ek güvenlik yamaları
Cisco ayrıca Snort 3, ASA, FTD, IOS ve IOS XE gibi ürünlerde hizmet reddi (DoS) ve HTML enjeksiyonu gibi 13 yüksek önem dereceli güvenlik açığını da kapattı. Bu açıkların hiçbirinin aktif olarak istismar edildiği raporlanmadı.

beykoz haber

Kaynak: CUMHA - CUMHUR HABER AJANSI

145 bin kişi bilgilendirildi
Maine Başsavcılığı’na yapılan bildirimde, 144.189 kişinin verilerinin saldırıdan etkilendiği belirtildi. Çalınan veriler arasında kimlik bilgileri, pasaport taramaları, sosyal güvenlik numaraları, adresler, iletişim bilgileri ve test sonuçları yer alabileceği aktarıldı.

RansomHub saldırıyı üstlendi
RansomHub fidye yazılımı grubu, Ocak 2025’te saldırıyı üstlendiğini açıkladı. Grup, Manpower’ın sistemlerinden yaklaşık 500 GB veri çaldığını ve bunun içinde yıllara ait yazışmalar, mali tablolar, insan kaynakları verileri, gizli sözleşmeler ve NDA’ların bulunduğunu iddia etti. Daha sonra verilerin sızdırılacağına dair paylaşımlar grubun sızdırma sitesinden kaldırıldı, bu da fidyenin ödenmiş olabileceği ihtimalini gündeme getirdi.

Şirketten açıklama
ManpowerGroup sözcüsü, olayın yalnızca bağımsız bir franchise şubesini etkilediğini, şirketin kurumsal ağının saldırıdan etkilenmediğini vurguladı. Şirket, FBI ile iş birliği yaptığını ve etkilenen kişilere Equifax üzerinden ücretsiz kredi izleme ve kimlik hırsızlığına karşı koruma hizmeti sunduğunu açıkladı.

RansomHub’ın geçmişi
RansomHub, daha önce Halliburton, Rite Aid, Kawasaki, Christie's, Frontier Communications ve Planned Parenthood gibi kurumları da hedef aldı. Grup ayrıca Change Healthcare saldırısında 190 milyondan fazla kişinin etkilendiği verileri sızdırmıştı. FBI, Ağustos 2024 itibarıyla grubun 200’den fazla kritik altyapı kuruluşunu hedef aldığını bildirmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

3,3 milyon dolarlık zarar
Sanığın, 8,4 milyon dolarlık sahte vergi iadesi başvurusu yaparak yaklaşık 2,5 milyon dolar elde ettiği, ayrıca sahte SBA kredi başvurularıyla 819 bin dolar çaldığı belirtildi. Toplam zarar 3,3 milyon doları aştı.

Sahte yatırım planı da yürüttü
Savcılığa göre Amachukwu, aynı dönemde sahte yatırım teklifleriyle de mağdurları kandırdı. “Standby letter of credit” gibi gerçekte var olmayan finansal araçları satarak milyonlarca doları kendi hesabına aktardı.

Fransa’dan iade edildi
Amachukwu, 4 Ağustos 2025’te Fransa’dan ABD’ye iade edildi ve ertesi gün New York Güney Bölgesi’nde hâkim karşısına çıkarıldı. Henüz duruşma tarihi belirlenmedi.

Ciddi cezalarla karşı karşıya
Sanık hakkında bilgisayar korsanlığına teşebbüs (5 yıl), iki kez kablolu dolandırıcılık (her biri 20 yıl), iki kez kablolu dolandırıcılığa teşebbüs (her biri 20 yıl) ve ağırlaştırılmış kimlik hırsızlığı (zorunlu 2 yıl ek ceza) suçlamaları bulunuyor. Ayrıca elde ettiği tüm malvarlıklarına el konulması talep ediliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

T3+ programı ile 250 milyon dolar donduruldu
Eylül 2024’te kurulan T3 Financial Crime Unit, bugüne kadar dünya genelinde 250 milyon dolarlık suç gelirini dondurdu. Bu girişim, TRM Labs, Tether ve TRON tarafından başlatıldı, Binance ise resmi katılımcı oldu. Çalışmalar kapsamında kara para aklama, yatırım dolandırıcılığı, şantaj ve terör finansmanı gibi suçlara yönelik binlerce işlem incelendi.

Öne çıkan vakalardan birinde, Binance iş birliğiyle “romance scam” saldırılarında elde edilen 6 milyon dolarlık kripto varlık donduruldu.

Kanada-ABD iş birliğiyle 74 milyon dolar engellendi
Kanada Ontario Eyalet Polisi’nin yönettiği “Project Atlas” ve Britanya Kolumbiyası Menkul Kıymetler Komisyonu’nun yürüttüğü “Operation Avalanche”, Chainalysis analitiğiyle desteklendi.

Son altı ayda 74,3 milyon dolarlık dolandırıcılık gelirine ulaşıldı ve büyük kısmı donduruldu. Tether iş birliğiyle 50 milyon dolarlık USDT kara listeye alındı.

Küresel etki
Project Atlas, 14 ülkede 2.000’den fazla kripto cüzdan adresini mağdurlarla ilişkilendirdi. Kanada, ABD, Almanya, Avustralya ve Birleşik Krallık mağdurlar arasında yer aldı.

Yöntem: blockchain seviyesinde müdahale
Her iki girişimde de koordineli operasyonlar ve blockchain düzeyinde doğrudan müdahalelerle suç gelirlerinin transfer edilmesi veya nakde çevrilmesi engellendi. Uzmanlar, bu modelin siber suçluların hareket alanını daraltmada kritik bir adım olduğunu belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Garantex’in kapatılmasının ardından Grinex devreye alındı
ABD Gizli Servisi’nin Mart 2025’te Garantex’in alan adlarına el koymasının ardından şirket yöneticilerinin müşteri varlıklarını Grinex’e aktardığı tespit edildi. ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC), dün itibarıyla Grinex’i yaptırım listesine ekledi.

Yaptırımları aşmak için kuruldu
OFAC açıklamasında, Grinex’in tanıtım materyallerinde borsanın, Garantex’e yönelik yaptırımlar ve varlık dondurmaları sonrası kurulduğunun açıkça ifade edildiği vurgulandı. Grinex’in kuruluşundan bu yana milyarlarca dolarlık kripto para transferine aracılık ettiği belirtildi.

Garantex ve ortaklarına yeni yaptırımlar
OFAC ayrıca Garantex, üç kurucusu (Sergey Mendeleev, Aleksandr Mira Serda, Pavel Karavatsky) ve Rusya ile Kırgızistan’daki altı iş ortağı şirkete (InDeFi Bank, Exved, Old Vector, A7, A71, A7 Agent) yönelik yaptırımları da yeniledi.

Ödül çağrısı
ABD Dışişleri Bakanlığı, Garantex yöneticilerinin yakalanması veya mahkumiyetine yol açacak bilgiler için 6 milyon dolara kadar ödül teklif etti.

Geçmiş bağlantılar
Garantex, Hydra dark web pazarı ve Conti, Black Basta, LockBit, NetWalker, Ryuk, Phoenix Cryptolocker gibi fidye yazılımı gruplarıyla bağlantıları nedeniyle Nisan 2022’de yaptırım listesine alınmıştı. Bakanlığa göre Garantex, Nisan 2019–Mart 2025 arasında 96 milyar dolardan fazla kripto işlemine aracılık etti.

ABD’den mesaj
Hazine Bakanlığı Terörizm ve Mali İstihbarat Müsteşarı John K. Hurley, “Kripto borsalarını kara para aklama ve fidye yazılımlarına destek için kullanmak ulusal güvenliğimizi tehdit ediyor. Bu aktörleri ortaya çıkararak dijital varlık sektörünün bütünlüğünü korumaya kararlıyız” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açık bug bounty ile bildirildi
Plex, hatayı hata ödül programı aracılığıyla öğrendiğini ve hızlıca gidererek yeni sürümü yayımladığını açıkladı. Güvenlik açığına ilişkin CVE kimliği henüz atanmamış olsa da, şirket 1.41.7.x–1.42.0.x sürümlerini çalıştıran tüm sunucuların risk altında olduğunu belirtti.

Yamalanan sürüm
Güvenlik açığını kapatan sürüm Plex Media Server 1.42.1.10060 olarak yayımlandı. Kullanıcılar, sunucu yönetim paneli veya resmi indirme sayfası üzerinden bu sürüme geçiş yapabiliyor.

Acil güncelleme çağrısı
Plex, etkilenen kullanıcılara gönderdiği e-postalarda, sistemlerinin eski sürüm çalıştırdığını belirterek “en kısa sürede güncelleme yapın” uyarısında bulundu. Şirket, saldırganların yamaları analiz ederek istismar geliştirmesinden önce önlem alınması gerektiğini vurguladı.

Plex geçmişte de hedef olmuştu
Mart 2023’te CISA, Plex Media Server’daki üç yıllık bir RCE açığını (CVE-2020-5741) “aktif istismar edilen” açıklar listesine almıştı. Bu zafiyetin, LastPass’in 2022’de yaşadığı büyük veri sızıntısıyla bağlantılı olabileceği düşünülüyor. Aynı yıl Plex de kullanıcı veritabanına sızıldığını ve şifrelerin sıfırlanması gerektiğini duyurmuştu.

Kullanıcılar için öneriler

• Plex Media Server’ınızı 1.42.1.10060 sürümüne güncelleyin.

• Güncellemeleri düzenli takip edin.

• Sunucunuzu internet üzerinden erişime açık bırakmamaya özen gösterin.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kesinti dördüncü gününde sürüyor
Colt Telecom, 12 Ağustos’ta başlayan saldırının ardından destek hizmetlerine ait bazı sistemleri koruma amaçlı çevrim dışı bıraktı. Bu durum, müşteri iletişim platformlarını etkilerken yanıt sürelerinde gecikmelere yol açtı. Şirket, ana ağ altyapısının saldırıdan etkilenmediğini vurguladı.

WarLock grubu verileri satışa çıkardı
‘cnkjasdfgd’ takma adlı bir tehdit aktörü, kendisini WarLock fidye yazılımı grubunun üyesi olarak tanıtarak saldırıyı üstlendi. Hacker, şirketten çaldığı bir milyon belgeyi 200 bin dolar karşılığında satışa çıkardı ve içeriğin doğruluğunu göstermek için örnekler paylaştı. Belgeler arasında mali veriler, müşteri ve çalışan kayıtları, iç yazışmalar ve yazılım geliştirme dokümanları olduğu öne sürüldü.

Microsoft SharePoint açığına işaret ediliyor
Siber güvenlik uzmanı Kevin Beaumont, saldırının Microsoft SharePoint’teki CVE-2025-53770 açığı üzerinden gerçekleştirilmiş olabileceğini belirtti. Bu sıfır gün açığı 18 Temmuz’dan itibaren istismar edilmiş, Microsoft ise 21 Temmuz’da güvenlik güncellemesi yayımlamıştı.

Şirketten açıklama
Colt, saldırıyı doğrularken çalındığı iddia edilen veriler hakkında yorum yapmadı. Şirket sözcüsü, “Siber olaya ilişkin iddiaların farkındayız. İç sistemlerimizi yeniden çalışır hale getirmek için üçüncü taraf uzmanlarla birlikte çalışıyoruz” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yeni güvenlik katmanları geliyor
Microsoft 365 yol haritasında yer alan güncellemeye göre Teams, sohbet ve kanallarda çalıştırılabilir dosya türlerini (örn. .exe) engelleyerek dosya tabanlı saldırılara karşı koruma sağlayacak. Ayrıca gönderilen kötü amaçlı bağlantılar otomatik olarak tespit edilip kullanıcıya uyarı verilecek.

Defender entegrasyonu
Microsoft, Teams’in artık Defender for Office 365 Tenant Allow/Block List ile entegre olduğunu duyurdu. Bu sayede güvenlik yöneticileri engellenmiş alan adlarından gelen sohbet, kanal, toplantı ve çağrıları bloke edebilecek. Hatta bu alan adlarından gelen geçmiş iletişimler de otomatik olarak silinebilecek. Özellik Eylül 2025 sonunda genel kullanıma açılacak.

Daha önce gelen güvenlik adımları

• Temmuz 2025: Ekran görüntüsü engelleme özelliği devreye alındı. Toplantılarda kullanıcı ekran görüntüsü almaya çalıştığında pencere siyaha düşerek bilgi sızıntısı önleniyor.

• Şubat 2025: Sohbetlerde marka taklitlerine karşı kimlik avı koruması tüm müşterilere sunuldu.

• Enterprise Connect 2024: Microsoft, Teams’in 320 milyon aylık aktif kullanıcıya ulaştığını açıkladı.

Kullanıma sunulma takvimi
Yeni URL ve dosya engelleme özelliklerinin Eylül 2025’ten itibaren dünya çapında kademeli olarak devreye alınması planlanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açığın teknik detayları
Araştırmacı Aviv Y’nin “FortMajeure” adını verdiği açık, FortiWeb’in çerez ayrıştırma sürecindeki “Era” parametresinden kaynaklanıyor. Bu parametre beklenmedik bir değer aldığında, sunucu tüm sıfırlardan oluşan gizli anahtar kullanıyor. Sonuç olarak, sahte çerezler kolayca oluşturulabiliyor ve kimlik doğrulama tamamen atlatılabiliyor.

Nasıl istismar ediliyor
CVE-2025-52970’nin sömürülmesi için hedef kullanıcının aktif oturumunun bulunması gerekiyor. Saldırgan, çerezdeki küçük bir sayısal alanı tahmin etmek zorunda, ancak bu değer genellikle 30’un altında olduğundan brute force işlemi yalnızca birkaç denemeyle tamamlanabiliyor.

Etkilenen sürümler ve yamalar
Zafiyet FortiWeb 7.0–7.6 arasındaki sürümleri etkiliyor. Fortinet, aşağıdaki sürümlerde açığı kapattığını duyurdu:

• 7.6.4 ve sonrası

• 7.4.8 ve sonrası

• 7.2.11 ve sonrası

• 7.0.11 ve sonrası

FortiWeb 8.0 sürümlerinin etkilenmediği açıklandı.

Araştırmacının yaklaşımı
Aviv Y, REST uç noktası üzerinden admin taklidi gösteren bir PoC çıktısı paylaştı, ancak CLI’ye bağlanmayı da içeren tam istismar kodunu daha sonra yayımlayacağını belirtti. Amaç, saldırganlardan önce savunuculara sistemlerini yamalama süresi tanımak.

Yama dışında çözüm yok
Fortinet’in güvenlik bülteninde herhangi bir geçici çözüm sunulmadı. Bu nedenle güvenli sürümlere güncelleme yapmak tek etkili adım olarak gösteriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ransomware gelirleri takip edildi
Antropenko’nun, Zeppelin fidye yazılımı saldırılarıyla elde ettiği fidye ödemelerini aklamak için ChipMixer gibi kripto para karıştırma hizmetlerini, nakit dönüşüm işlemlerini ve parçalara bölünmüş banka yatırımlarını kullandığı tespit edildi. ChipMixer, Mart 2023’te yetkililer tarafından kapatılmıştı.

Zeppelin’in geçmişi
2019 sonunda VegaLocker/Buran fidye yazılımının bir türevi olarak ortaya çıkan Zeppelin, özellikle sağlık ve bilişim firmalarını hedef aldı. 2021’de güncellenmiş sürümlerle yeniden ortaya çıksa da kullanılan şifreleme yöntemlerinin zayıflığı dikkat çekmişti.

Kasım 2022’de operasyon büyük ölçüde sona erdi. Daha sonra güvenlik araştırmacılarının 2020’den bu yana ücretsiz dosya kurtarma anahtarına sahip olduğu ortaya çıktı. Ocak 2024’te ise Zeppelin kaynak kodunun bir hacker forumunda yalnızca 500 dolara satıldığı bildirildi.

Fidye ödemelerine el konuldu
Ele geçirilen 2,8 milyon doların fidye gelirlerinden kaynaklandığı belirtiliyor. ABD yetkilileri geçtiğimiz haftalarda da BlackSuit grubundan 1 milyon dolar, Chaos grubundan ise 2,4 milyon dolar değerinde Bitcoin’e el koymuştu.

Uzmanlara göre kritik adım
Yetkililer, bu tür el koyma operasyonlarının, siber suçluların yakalanamadığı durumlarda bile fidye gelirlerini kullanarak yeniden yapılanmalarını veya yeni üyeler kazanmalarını engellemede kritik rol oynadığını vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte otomasyon araçlarıyla yayılım
Ruby programlama dilinin resmi paket yöneticisi RubyGems.org üzerinde, farklı takma adlar kullanan saldırganlar tarafından yayımlanan zararlı kütüphaneler, özellikle Güney Koreli kullanıcıları hedef aldı. Paketler, WordPress, Telegram, Naver Café, SEO araçları ve blog platformlarına yönelik otomasyon yazılımları gibi tanıtıldı.

Gerçekte kimlik avı aracı
Kütüphaneler kurulduğunda meşru görünümlü bir arayüz sunuyor, ancak kullanıcı giriş bilgilerini doğrudan saldırganların kontrolündeki alan adlarına (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr) iletiyordu. Çalınan veriler arasında kullanıcı adı, şifre (düz metin), cihaz MAC adresi ve paket adı bulunuyor.

Karanlık ağda satışa çıktı
Araştırmacılar, elde edilen bilgilerin Rusça konuşulan dark web pazarlarında satışa çıkarıldığını tespit etti. Kimlik bilgisi günlüklerinin saldırganların kontrol ettiği marketingduo[.]co[.]kr ile bağlantılı olduğu belirlendi.

16 paket hâlâ yayında
Socket, tüm zararlı paketleri RubyGems ekibine bildirdiğini, ancak en az 16’sının hâlâ indirilebilir olduğunu açıkladı. Bu durum, açık kaynak yazılım depolarına yönelik tedarik zinciri saldırılarının süregelen bir tehdit olduğunu gösteriyor.

Geliştiricilere uyarı
Uzmanlar, kütüphaneleri indirirken yayıncının geçmişini ve paketlerin şüpheli kod içerip içermediğini kontrol etmeyi, bağımlılıkları güvenli sürümlere kilitlemeyi ve obfuscation (gizlenmiş) kod parçaları içeren paketlere karşı dikkatli olunması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İhlal potansiyel müşterileri etkiledi
Google’ın yaptığı bildirimde, Salesforce üzerinden potansiyel Ads müşterileriyle iletişimde kullanılan verilerin yetkisiz kişilerce erişildiği belirtildi. Etkilenen veriler arasında şirket adları, telefon numaraları ve satış temsilcilerinin notları yer aldı. Ads hesapları, Merchant Center, Analytics ve diğer ürünlerdeki müşteri verilerinin etkilenmediği vurgulandı.

ShinyHunters saldırının arkasında
Saldırının, son aylarda Salesforce müşterilerini hedef alan ShinyHunters grubuyla bağlantılı olduğu doğrulandı. Grup, ele geçirilen verilerin yaklaşık 2,55 milyon kayıttan oluştuğunu iddia etti. Kayıtların arasında mükerrer girişler olabileceği belirtildi.

Scattered Spider ile iş birliği
ShinyHunters, saldırılarda ilk erişimi sağlayan Scattered Spider ile ortak hareket ettiklerini ve birlikte “Sp1d3rHunters” adı altında çalıştıklarını açıkladı. Grup, çalışanlara yönelik sosyal mühendislik saldırılarıyla kimlik bilgisi elde edip, Salesforce ortamlarına kötü amaçlı OAuth uygulamaları bağlatarak tüm veritabanlarını indirdiklerini bildirdi.

Fidye talebi ve yeni araçlar
ShinyHunters, Google’dan 20 Bitcoin (yaklaşık 2,3 milyon dolar) talep ettiklerini, ancak bu talebi “ciddi olmayan” bir hamle olarak nitelendirdiklerini söyledi. Grup ayrıca, artık Salesforce Data Loader yerine kendi geliştirdikleri Python tabanlı araçları kullandıklarını açıkladı.

Google’dan açıklama
Google, Haziran 2025’te bu saldırı yöntemlerine dikkat çekmişti. Şirket, saldırıyı doğrularken kullanıcıların Ads hesaplarının güvende olduğunu yineledi. Ayrıca, yeni araçlarla yapılan saldırıları gözlemlediklerini belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kritik açık Calendar üzerinden tetiklendi
Gemini, Gmail, Calendar ve Google Home gibi hizmetlere entegre çalışıyor. Açık, saldırganın Google Calendar davetinde etkinlik başlığına zararlı bir “prompt injection” gizlemesiyle tetikleniyordu. Kullanıcı Gemini’ye “Bugün takvimimde ne var” gibi rutin bir soru yönelttiğinde, asistan ilgili başlıkları okuyor ve zararlı komutu da kendi bağlamında yürütüyordu.

Olası saldırı senaryoları
Bu yöntemle saldırganlar:

• Kullanıcının e-posta ve takvim verilerini dışarı aktarabiliyor,

• Akıllı ev cihazlarını uzaktan kontrol edebiliyor,

• Uygulama açabiliyor veya Zoom görüşmesi başlatabiliyor,

• Kullanıcının IP adresini öğrenmek için URL açtırabiliyordu.

Altı davetlik sinsi yöntem
Araştırmacılar, Calendar’da yalnızca son beş etkinliğin doğrudan görüntülendiğini belirledi. Bu nedenle saldırganların görünürlükten kaçınmak için altı davet göndermesi, zararlı prompt’u sonuncuya gizlemesi gerekiyordu. Kullanıcılar bu daveti yalnızca “Daha fazla göster” seçeneğine tıklarsa fark edebiliyordu.

Google açığı kapattı
Google, SafeBreach araştırmacıları Ben Nassi ve ekibinin sorumlu bildirim süreci sayesinde açığın istismar edilmeden kapatıldığını açıkladı. Google Workspace güvenlik ürün yönetimi direktörü Andy Wen, araştırmanın savunma mekanizmalarının geliştirilmesini hızlandırdığını vurguladı.

Daha önce de uyarılar yapılmıştı
Geçen ay Mozilla araştırmacısı Marco Figueroa, Gemini’nin başka bir “prompt injection” tekniğine karşı savunmasız olduğunu ve bunun kimlik avı saldırılarına kapı aralayabileceğini açıklamıştı. Google, yeni koruma önlemlerinin devreye alınmakta olduğunu belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

172 bin kişi etkilendi
27 Temmuz’da tamamlanan incelemede, toplam 172 bin üyenin verilerinin risk altında olduğu tespit edildi. Çalınan bilgiler arasında isimler, hesap numaraları, banka kartı verileri, Sosyal Güvenlik numaraları ve devlet kimlikleri bulunuyor. Şirket, üyelerin hesap bakiyelerine erişildiğine dair bir bulgu olmadığını bildirdi.

Dolandırıcılık riski arttı
Connex, resmi internet sitesine koyduğu uyarıyla üyeleri devam eden oltalama saldırılarına karşı bilgilendirdi. Açıklamada, “Connex hiçbir zaman sizden PIN, şifre veya hesap numarası istemez. Şüpheli bir arama veya mesaj alırsanız telefonu kapatıp doğrudan bizi arayın” denildi.

Geniş çaplı saldırı dalgasının parçası
İhlalin, Salesforce platformlarını hedef alan ShinyHunters grubuyla ilişkilendirilen saldırı dalgasının ardından gelmesi dikkat çekti. Son aylarda Allianz Life, Adidas, Qantas, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Google gibi markalar da benzer saldırılardan etkilenmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

29 binden fazla sunucu yamalanmamış
Shadowserver’ın 10 Ağustos tarihli taramalarına göre dünya genelinde 29.098 sunucu halen yamalanmamış durumda. Bunların 7.200’den fazlası ABD’de, 6.700’den fazlası Almanya’da, 2.500’den fazlası ise Rusya’da bulunuyor.

Microsoft ve CISA’dan uyarılar
Microsoft, açığı Nisan 2025’te yayımladığı bir güvenlik danışmanlığı ve hotfix ile duyurdu. Şirket, “kötüye kullanılma ihtimali yüksek” olarak işaretlediği açık için tüm hibrit yapıların yeni mimariye geçirilmesini tavsiye etti.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 25-02 numaralı acil direktifle federal kurumlara 9 Ağustos Pazartesi sabahına kadar yama yapma zorunluluğu getirdi. CISA ayrıca, federal olmayan kurumların da aynı adımları uygulaması gerektiğini vurguladı.

Alınması gereken önlemler

• Microsoft Health Checker script ile ortam taraması,

• EOL sürümlerin internetten ayrılması,

• Exchange 2019 için CU14/15, Exchange 2016 için CU23 yüklenmesi,

• Nisan 2025 hotfix’inin uygulanması.

Uyarı: tam etki alanı ele geçirilebilir
CISA, önlemlerin alınmaması halinde hem hibrit bulut hem de on-premise ortamların tamamen ele geçirilme riskiyle karşı karşıya olduğunu açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dört üst düzey üye iade edildi
Gana merkezli dolandırıcılık örgütünün yöneticileri olduğu belirtilen Isaac Oduro Boateng (“Kofi Boat”), Inusah Ahmed (“Pascal”), Derrick Van Yeboah (“Van”) ve Patrick Kwame Asare (“Borgar”), 7 Ağustos’ta ABD’ye getirildi.

Yöntem: aşk dolandırıcılığı ve e-posta saldırıları
Mahkeme belgelerine göre çete, çoğunlukla yalnız yaşayan yaşlı Amerikalıları sahte romantik ilişkilerle kandırdı. Güven kazandıktan sonra mağdurları para göndermeye ikna ettiler. ABD’deki aracılar parayı akladıktan sonra asıl faillerin bulunduğu Batı Afrika’ya gönderdi.

Çete aynı zamanda şirketleri de hedef aldı. Çalışanların veya müşterilerin e-posta adreslerini taklit eden sahte hesaplarla finans yetkililerini kandırarak milyonlarca dolarlık havaleler yaptırdılar. Sahte imzalı belgelerle transferleri meşrulaştırdılar.

“Chairmen” adıyla yönetilen yapı
Boateng ve Ahmed örgütte “chairman” (başkan) rolünü üstlenirken, Asare ve Van Yeboah da üst düzey konumlarda faaliyet gösterdi. Van Yeboah’ın özellikle aşk dolandırıcılığı operasyonlarında aktif rol aldığı belirlendi.

Ağır cezalar gündemde
Sanıklar; kablolu dolandırıcılık yapmak ve buna teşebbüs (20 yıla kadar), kara para aklama (20 yıl), çalıntı para alma ve buna teşebbüs (5 yıl) ve çalıntı parayı elde tutma (10 yıl) suçlamalarıyla yargılanacak.

Kaynak: CUMHA - CUMHUR HABER AJANSI

DarkBit saldırıları ve siyasi arka plan
2023’te gerçekleşen saldırıların, İran’daki mühimmat fabrikasına yönelik drone saldırılarının ardından misilleme amacı taşıdığı değerlendiriliyor. DarkBit grubu, daha önce İsrail’deki eğitim kurumlarını hedef almış ve propaganda içerikli fidye notları bırakmıştı. İsrail Ulusal Siber Komutanlığı, saldırıları MuddyWater ile ilişkilendirmişti.

Zayıf şifreleme yöntemi tespit edildi
Profero uzmanları, saldırıda kullanılan DarkBit fidye yazılımını analiz etti. Her dosya için AES-128-CBC ile üretilen anahtarların düşük entropiye sahip olduğu, zaman damgalarıyla birlikte olası kombinasyonların birkaç milyar ihtimale düştüğü keşfedildi.

ESXi sunucularındaki avantaj
Araştırmacılar, VMware sanal disk (VMDK) dosyalarının bilinen başlık baytlarını referans alarak brute force yöntemini hızlandırdı. Ayrıca VMDK dosyalarının seyrek yapısı nedeniyle, şifrelenmemiş geniş boşluklardan değerli verilerin doğrudan kurtarılabildiği belirlendi.

Fidye ödenmeden dosyalar geri alındı
Geliştirilen özel araç sayesinde, saldırganların talep ettiği 80 Bitcoin ödenmeden kritik dosyaların çoğu kurtarıldı. Profero, DarkBit’in fidye yerine veri silici (wiper) kullansaydı amacına daha uygun sonuç alabileceğini belirtti.

Kurtarma aracı halka açılmadı
Profero, DarkBit için geliştirdiği çözüm aracını kamuya açıklamayacağını, ancak gelecekte benzer saldırılardan etkilenen kurumların kendileriyle iletişime geçerek destek alabileceğini duyurdu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sıfır gün olarak kullanıldı
ESET, 18 Temmuz 2025’te RomCom grubunun WinRAR’daki belirsiz bir yol geçişi açığını istismar ettiğini tespit etti. Açık, alternatif veri akışlarının (ADS) kullanımıyla kötüye kullanılabiliyor ve CVE-2025-8088 olarak kaydedildi.

Zararlı dosyalar Startup klasörüne düşüyor
Hazırlanan RAR arşivlerinde sahte yollarla doldurulmuş çok sayıda ADS girdisi bulunuyor. Bunlar, zararlı DLL, EXE ve LNK dosyalarının arşiv açıldığında %TEMP% ve %LOCALAPPDATA% klasörlerine, kısayolların ise Windows Başlangıç klasörüne yerleştirilmesini sağlıyor.

Üç farklı saldırı zinciri
ESET, saldırılarda kullanılan üç ayrı enfeksiyon zinciri tespit etti:

• Mythic Agent: COM hijacking yoluyla AES şifreli shellcode çalıştırıyor, yalnızca belirli etki alanlarında aktif oluyor.

• SnipBot: Sahte bir PuTTY türeviyle yükleniyor, açılan belgeleri kontrol ederek ek zararlı indiriyor.

• MeltingClaw: RustyClaw üzerinden DLL indirip daha fazla modül çalıştırıyor.

Ek aktörler de açığı kullandı
Bi.Zone, CVE-2025-8088’in yanı sıra CVE-2025-6218 açığını da istismar eden “Paper Werewolf” adını verdiği farklı bir saldırı kümesini raporladı.

Güncelleme manuel yapılmalı
RARLab, açığın kapatıldığı 7.13 sürümünü 30 Temmuz’da yayımladı. Ancak WinRAR otomatik güncelleme özelliği içermediği için kullanıcıların en son sürümü manuel olarak indirip kurmaları gerekiyor.

Risk neden yüksek
Windows 2023’te RAR desteği eklese de kapsamı sınırlı. Kurumsal kullanıcılar ve ileri seviye bireysel kullanıcılar hâlen WinRAR’a bağımlı, bu da yazılımı saldırganlar için cazip hale getiriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Bellek taşması sıfır gün olarak kullanıldı
Citrix NetScaler ADC ve Gateway ürünlerinde bulunan CVE-2025-6543, bellek taşması nedeniyle yetkisiz komut çalıştırılmasına veya hizmet reddine yol açabiliyor. Açık, VPN, ICA Proxy, CVPN, RDP Proxy ve AAA sanal sunucularını etkiliyor.

Kritik kurumlar hedef oldu
NCSC, Mayıs 2025’ten itibaren saldırganların açığı sıfır gün olarak kullandığını ve Hollanda’daki birden fazla kritik kuruma sızdığını açıkladı. Saldırganlar izlerini silerek olayları tespit etmeyi zorlaştırdı.

Savcılık saldırıyı doğruladı
Hollanda Savcılığı (Openbaar Ministerie), 18 Temmuz’da sistemlerinin ihlal edildiğini duyurdu. Olay ciddi operasyonel kesintilere neden oldu, e-posta sunucuları ancak Ağustos başında yeniden çalışmaya başladı.

Citrix’in yayımladığı yamalar
Citrix, 25 Haziran’da yayımladığı bültende şu sürümlere güncelleme yapılmasını tavsiye etti:

• 14.1 → 14.1-47.46 ve sonrası

• 13.1 → 13.1-59.19 ve sonrası

• 13.1-FIPS ve 13.1-NDcPP → 13.1-37.236 ve sonrası
  12.1 ve 13.0 sürümleri içinse destek sona erdi, güncel sürümlere yükseltme öneriliyor.

Ek güvenlik adımları
Yamaların ardından aktif oturumların kapatılması (icaconnection, pcoipConnection, aaa, rdp) ve load balancing oturumlarının temizlenmesi tavsiye edildi. Ayrıca NCSC, olağan dışı PHP/XHTML dosyalarının tespiti için GitHub üzerinden bir tarama scripti yayımladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kimsuky’ye karşı etik çıkış
Sızıntıyı gerçekleştiren “Saber” ve “cyb0rg” takma adlı hackerlar, Phrack dergisinin DEF CON 33’te dağıtılan son sayısında, Kimsuky’yi “rejim çıkarlarına hizmet eden, etik dışı bir grup” olarak tanımladı. İkilinin açıklamasında, “Sanatı icra etmek yerine liderlerini zenginleştirmek için çalışan politik bir araçsınız” ifadeleri yer aldı.

8,9 GB veri çevrim içi yayımlandı
Distributed Denial of Secrets platformunda yayımlanan arşiv, Kimsuky’nin oltalama günlüklerini, çalıntı verilerini ve araçlarını içeriyor. Bunlar arasında:

• Güney Kore Savunma Karşı İstihbarat Komutanlığı’na (dcc.mil.kr) ait oltalama kayıtları,

• Güney Kore Dışişleri Bakanlığı’nın e-posta sistemi (“Kebi”) kaynak kodu,

• Vatandaşlık sertifikaları ve akademisyen listeleri,

• Sahte site oluşturma kiti (PHP Generator), canlı oltalama kitleri,

• Cobalt Strike yükleyicileri, ters bağlantı araçları ve Onnara proxy modülleri,

• VPN alımları, GitHub bağlantıları ve hack forumu kullanım kayıtları.

Operasyonel zorluk yaratabilir
Bitirici bir darbe olmasa da, uzmanlara göre bu ifşa Kimsuky’nin altyapısının “yanmasını” sağlayarak devam eden kampanyalarda aksamalara yol açabilir. Ayrıca, sızan belgeler Kimsuky’nin daha önce belgelenmemiş yöntemlerini ortaya çıkarıyor.

Araştırmacılar doğrulamaya çalışıyor
Sızdırılan dosyaların doğruluğu henüz bağımsız olarak tam teyit edilmedi. Ancak içerik, Kimsuky’nin bilinen faaliyetleriyle güçlü örtüşmeler taşıyor. Güvenlik araştırmacıları, sızıntının değerini analiz etmeye devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ulusal Muhafızlar devreye girdi
29 Temmuz’da yaşanan saldırı sonrası Minnesota Valisi Tim Walz, şehrin olay müdahale kapasitesini aşan bu durum için Ulusal Muhafızları siber koruma desteği vermek üzere görevlendirdi. Şehir, çevrim içi ödemeler de dahil olmak üzere birçok hizmetin geçici olarak kesintiye uğradığını açıkladı.

Interlock saldırıyı üstlendi
Saint Paul Belediye Başkanı Melvin Carter, saldırının Interlock fidye yazılım grubu tarafından gerçekleştirildiğini ve fidye ödenmediğini doğruladı. Carter, vatandaşların kişisel veya finansal bilgilerinin saldırıdan etkilenmediğini söyledi.

66 bin dosya sızdırıldı
Interlock grubu, karanlık ağdaki sitesinde Saint Paul’u hedef olarak listeledi ve 43 GB büyüklüğünde, 66 binden fazla dosyayı ele geçirdiğini öne sürdü. Saldırganlar bu verilerin bir kısmını yayımladı.

Saldırının izleri
PRODAFT’ın açıklamasına göre saldırı, 20 Temmuz civarında şehir sistemlerine bulaştırılan ve Interlock’la ilişkilendirilen özel geliştirilmiş SystemBC RAT zararlısıyla başladı.

Grubun geçmişi
Eylül 2024’te ortaya çıkan Interlock, dünya genelinde özellikle sağlık kuruluşlarını hedef aldı. Daha önce İngiltere’deki üniversitelere NodeSnake trojanıyla saldırmış, DaVita’dan 1,5 TB ve Kettering Health’ten büyük miktarda veri çaldığını duyurmuştu. CISA ve FBI, saldırıdan günler önce Interlock’un kritik altyapılara yönelik çift şantajlı saldırılarında artış olduğunu açıklamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kritik açığa karşı cihazlar savunmasız
Citrix NetScaler cihazlarında tespit edilen CVE-2025-5777 (CitrixBleed 2) açığı, yetersiz girdi doğrulaması nedeniyle oluşan “out-of-bounds memory read” hatasından kaynaklanıyor. Hedef alınan cihazlar arasında VPN, ICA Proxy, CVPN, RDP Proxy ve AAA sanal sunucuları bulunuyor.

Oturum ele geçirme riski
Açık, saldırganlara oturum belirteçleri, kimlik bilgileri ve hassas verileri çalma imkânı tanıyor. Böylece kullanıcı oturumlarını ele geçirerek çok faktörlü kimlik doğrulamayı atlatabiliyorlar. Açık ilk olarak sıfır gün saldırılarında istismar edildi, kısa süre sonra da PoC exploit kodları yayımlandı.

Hâlâ binlerce cihaz açıkta
Shadowserver’ın 11 Ağustos raporuna göre dünya genelinde 3.312 cihaz hâlâ CVE-2025-5777’e karşı korunmasız. Ayrıca 4.142 cihaz, DoS saldırılarında aktif olarak istismar edilen başka bir kritik açık (CVE-2025-6543) için de yamalanmamış durumda.

Hollanda’da kritik kurumlar hedef alındı
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), CVE-2025-6543 açığının Mayıs ayından bu yana sıfır gün olarak kullanıldığını, kritik kuruluşların saldırıya uğradığını ve izlerin saldırganlar tarafından silindiğini duyurdu. Temmuz ayında Hollanda Savcılığı’nın (Openbaar Ministerie) saldırı sonrası e-posta sunucularında haftalarca kesinti yaşadığı açıklandı.

ABD kurumlarına zorunlu talimat
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), iki açığı da aktif istismar edilen zafiyetler listesine ekleyerek federal kurumlara CVE-2025-5777 için 1 gün, CVE-2025-6543 için ise 21 Temmuz’a kadar yamaları uygulama talimatı verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Rusya çıkarlarıyla uyumlu operasyonlar
Bitdefender araştırmacıları, Curly COMrades adını verdikleri yeni bir siber casusluk grubunun Gürcistan’daki devlet ve yargı kurumlarını, Moldova’daki enerji şirketlerini hedef aldığını açıkladı. Grup, bilinen APT’lerle doğrudan örtüşmese de operasyonlarının Rusya’nın jeopolitik hedefleriyle paralellik gösterdiği ifade edildi.

MucorAgent arka kapısı
Grubun saldırılarında kullandığı MucorAgent zararlısı üç aşamalı yapıya sahip. İlk aşamada COM nesneleri ele geçirilerek ikinci aşama yükleniyor; bu bileşen Windows’un Antimalware Scan Interface (AMSI) korumasını atlatıyor. Üçüncü aşama ise belirli dizinlerde bulunan şifrelenmiş PNG dosyalarındaki verileri (muhtemelen komut dosyaları) çalıştırıyor.

Kalıcı erişim için yaratıcı yöntemler
Araştırmacılar, saldırganların NGEN (Native Image Generator) bileşenini hedef alarak devre dışı görünen ancak belirli durumlarda çalışan zamanlanmış görevleri kötüye kullandığını tespit etti. Ayrıca, Resocks proxy aracı, SOCKS5 sunucuları, SSH + Stunnel tünelleme ve CurlCat gibi özel geliştirilmiş araçlar kullanıldı.

Hedef: Kimlik bilgileri ve ağ hareketi
Saldırganların etki alanı denetleyicilerinden NTDS veritabanını ve LSASS bellek dökümlerini çıkarmaya çalıştığı, ağda kalıcı erişim için geçerli kimlik bilgilerini toplamaya odaklandığı belirtildi. Ayrıca netstat, tasklist, systeminfo, wmic, ipconfig gibi komutlar ve Active Directory keşfi için PowerShell betikleri kullanıldı.

Gizlilik çabaları sonuçsuz kaldı
Curly COMrades’in “living-off-the-land” teknikleri, açık kaynak araçları ve yoğun COM manipülasyonlarıyla gizlilik sağlamaya çalıştığı, ancak modern EDR/XDR sistemlerinin bu faaliyetleri tespit edecek kadar gürültü oluştuğu kaydedildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

En yüksek güvenlik standardı
pKVM, Android cihazlarda sanallaştırma çerçevesinin çekirdeğini oluşturan hipervizör. Google, sistemin DEKRA tarafından akredite laboratuvarlarda test edildiğini ve gelişmiş tehditlere karşı dirençli olduğunun doğrulandığını duyurdu.

SESIP Level 5 nedir
SESIP (Security Evaluation Standard for IoT Platforms), IoT ve mobil platformlar için geliştirilen bir güvenlik standardı. Level 5, Common Criteria’nin (ISO 15408) en yüksek güvenlik seviyesi olan AVA_VAN.5’e eşdeğer. Bu seviye, pKVM’nin sofistike saldırılara karşı dayanıklı olduğunu ortaya koyuyor.

pKVM’nin kullanım alanları
Hipervizör, Android cihazlarda kritik görevlerin güvenli şekilde çalıştırılmasını sağlıyor. Bunlar arasında:

• Google’ın Gemini Nano gibi yapay zekâ modellerinin cihaz üzerinde çalıştırılması,

• biyometrik kimlik doğrulama (yüz, parmak izi),

• DRM korumalı içeriklerin işlenmesi,

• cihazın firmware düzeyinde güvenlik fonksiyonları bulunuyor.

Kullanıcılar için anlamı
Google’a göre akıllı telefonlar artık yalnızca kişisel bilgileri değil, aynı zamanda yapay zekâ modelleriyle işlenen yüksek değerli verileri de barındırıyor. Bu da saldırganlar için cazip bir hedef oluşturuyor. SESIP Level 5 sertifikası, Android cihazlarda bu verilerin güvenliğinin daha üst düzeyde sağlanacağı anlamına geliyor.

Google’dan açıklama
Android Güvenlik ve Gizlilik Başkan Yardımcısı Dave Kleidermacher, “Cihaz üzerinde yapılan işlemeler arttıkça, kişisel veriler daha değerli hale geliyor. Bu nedenle güçlü güvenlik önlemleri zorunlu” diyerek sertifikanın önemini vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

1 milyon dolarlık kriptoya el konuldu
ABD Adalet Bakanlığı, BlackSuit fidye yazılımı grubuna ait dijital varlıkların 9 Ocak 2024’te ele geçirildiğini açıkladı. Söz konusu varlıkların değeri 1.091.453 dolar olarak açıklandı. Kripto paralar, suçlular tarafından farklı borsalar üzerinden defalarca transfer edilerek izleri gizlenmeye çalışılırken tespit edilip donduruldu.

Fidye ödemesinden kaynaklanıyor
Yetkililere göre el konulan varlıklar, 4 Nisan 2023’te fidye ödemesi yapan bir kurbanın gönderdiği 49,3 Bitcoin’den elde edildi. O dönemde bu ödemenin değeri yaklaşık 1,44 milyon dolardı.

Operation Checkmate ile bağlantılı
Bu duyuru, uluslararası “Operation Checkmate” operasyonu kapsamında BlackSuit’in gasp sitelerinin ele geçirilmesinin ardından geldi. Operasyon, BlackSuit ile bağlantılı Royal, Quantum ve Chaos fidye yazılım platformlarını da hedef aldı.

ABD’de 450 kuruluşa saldırdılar
Geçen hafta ABD İç Güvenlik Bakanlığı, Royal ve BlackSuit çetelerinin sağlık, eğitim, enerji, kamu güvenliği ve devlet kurumları dahil 450’den fazla ABD kuruluşunu hedef aldığını açıkladı. Bu saldırılardan toplam 370 milyon dolar değerinde fidye ödemesi elde edildi.

Daha önce 20 Bitcoin’e el konulmuştu
28 Temmuz’da FBI Dallas, Chaos fidye yazılımı grubuyla bağlantılı bir adreste 20 Bitcoin’e (yaklaşık 2,4 milyon dolar) el koyduğunu duyurmuştu.

Stratejik öneme sahip hamle
Adalet Bakanlığı, suçtan elde edilen gelirlerin ele geçirilmesinin, yakalanamayan operatörlerin finansal gücünü kırmak ve altyapılarını yeniden kurmalarını engellemek için kritik öneme sahip olduğunu vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Toplam 107 güvenlik açığı kapatıldı
Microsoft’un bu ay yayımladığı yama paketi 44 yetki yükseltme, 35 uzaktan kod yürütme, 18 bilgi ifşası, 4 hizmet reddi ve 9 sahtecilik açığını gideriyor. Bu açıkların 13’ü “kritik” olarak sınıflandırıldı.

Kerberos’ta sıfır gün açığı
En dikkat çekici güncelleme, CVE-2025-53779 kodlu Windows Kerberos açığı oldu. Bu açık, doğrulanmış bir saldırganın domain yöneticisi ayrıcalıkları elde etmesine imkân tanıyor. Açığın teknik detayları Mayıs 2025’te Akamai’den Yuval Gordon tarafından yayımlanmıştı.

Kritik uzaktan kod yürütme açıkları
Düzeltmeler arasında Microsoft Office (Word, Excel, PowerPoint, Visio), SharePoint, SQL Server, Windows GDI+ ve Message Queuing bileşenlerinde kritik seviyede RCE açıkları da bulunuyor. Bu açıklar, saldırganların kullanıcı etkileşimi olmadan sistem üzerinde zararlı kod çalıştırmasına yol açabiliyor.

Öne çıkan diğer yamalar

• Exchange Server: CVE-2025-53786, hibrit kurulumlarda bulut ortamına yetkisiz erişim sağlayabilecek yetki yükseltme açığı.

• Windows NTLM: Kritik yetki yükseltme zafiyeti.

• Hyper-V: Hem DoS hem de uzaktan kod yürütme açıkları.

• Microsoft Teams: Uzaktan kod çalıştırma açığı.

Diğer üretici yamalarıyla paralel
Ağustos güncellemeleri, son haftalarda diğer üreticilerden gelen yamaları da takip ediyor. 7-Zip, Adobe, Cisco, Fortinet, Google (Android), SAP ve Trend Micro da aktif olarak istismar edilen açıklar için güvenlik güncellemeleri yayımladı.

Uzmanlardan öneri
Siber güvenlik uzmanları, özellikle Kerberos açığı ve Office ürünlerindeki RCE açıklarının kurumlar için ciddi risk oluşturduğunu belirterek güncellemelerin gecikmeden uygulanması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tehlike Docker Hub’da sürüyor
Binarly araştırmacıları, Docker Hub’da barındırılan en az 35 Linux imajında XZ-Utils arka kapısının hâlâ bulunduğunu tespit etti. Bu imajların bazıları, üzerinde inşa edilen yeni imajları da dolaylı olarak enfekte ediyor.

XZ-Utils arka kapısı nedir
XZ-Utils sıkıştırma aracının 5.6.0 ve 5.6.1 sürümlerinde tespit edilen arka kapı, liblzma.so kütüphanesine gizlenmişti. Kod, OpenSSH’deki RSA_public_decrypt fonksiyonunu ele geçiriyor ve özel bir anahtara sahip saldırganın SSH üzerinden root yetkisiyle giriş yapmasına olanak tanıyordu.

Debian imajları kaldırmadı
Araştırmacıların uyarılarına rağmen Debian, 64 bitlik bazı imajları Docker Hub’dan çekmediğini doğruladı. Gerekçe olarak, istismarın düşük ihtimalle gerçekleşebileceği ve eski imajların “tarihsel arşiv” olarak korunması gerektiği belirtildi.

Risk halen devam ediyor
Binarly, bu yaklaşımın yanlış olduğunu ve bu imajların kamuya açık tutulmasının, otomatik yapılar veya yanlışlıkla indirmeler yoluyla ciddi risk oluşturduğunu vurguladı.

Kullanıcılara tavsiye
Uzmanlar, kullanılan imajların manuel olarak kontrol edilmesi ve XZ-Utils’in en az 5.6.2 sürümüne güncellenmiş olduğunun doğrulanması gerektiğini hatırlatıyor. En güncel sürüm 5.8.1 olarak yayımlanmış durumda.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri sızıntısı doğrulandı
Allianz Life, Temmuz 2025’te CRM sistemlerinden büyük çaplı bir veri hırsızlığı yaşadığını açıklamıştı. Hafta sonu itibarıyla ShinyHunters grubu, çalınan “Accounts” ve “Contacts” veritabanı tablolarını internette yayımladı. Bu tablolar, 2,8 milyon müşteri ve iş ortağı kaydını içeriyor.

Hangi veriler ifşa oldu
Sızdırılan dosyalarda kişisel bilgiler (isim, adres, telefon numarası, doğum tarihi, vergi kimlik numarası) ile mesleki bilgiler (lisanslar, kurum bağlantıları, ürün onayları ve pazarlama sınıflandırmaları) yer alıyor. BleepingComputer, verilerin doğruluğunu etkilenen kişilerle teyit etti.

Saldırının yöntemi
2025’in başında başlayan saldırı dalgasında tehdit aktörleri, çalışanları kandırarak şirketlerin Salesforce sistemlerine kötü amaçlı OAuth uygulamaları bağlatıyor. Bu bağlantılar üzerinden veritabanlarını indirip şirketlere fidye talebi gönderiyorlar.

Hacker gruplarının birleşimi
ShinyHunters, saldırının ardından yaptığı açıklamada Scattered Spider ile tek grup olduklarını duyurdu. Grup, daha önce Snowflake saldırısında da benzer yöntemlerle veri çalmıştı. Araştırmacılar, Lapsus$ grubunun eski üyelerinin de bu saldırılarda rol almış olabileceğini değerlendiriyor.

Allianz Life sessiz
Şirket, devam eden soruşturmayı gerekçe göstererek sızdırılan veriler hakkında yorum yapmadı. Ancak uzmanlar, ifşa edilen verilerin kimlik hırsızlığı ve dolandırıcılık risklerini artırdığı uyarısında bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Google da saldırıya uğradı
Google, dün gece yaptığı güncellemede Haziran ayında şirketin bir Salesforce CRM örneğinin ShinyHunters tarafından hedef alındığını doğruladı. Saldırıda küçük ve orta ölçekli işletmelere ait iletişim bilgileri ve notların indirildiği belirtildi.

Veriler sınırlı ama risk devam ediyor
Google’ın açıklamasına göre çalınan veriler esasen işletme adı ve iletişim bilgileri gibi büyük ölçüde kamuya açık bilgilerden oluşuyor. Ancak saldırı, müşteri güvenliği açısından dikkat çekici bulunuyor.

ShinyHunters kampanyası genişliyor
ShinyHunters, yıllardır Oracle Cloud, Snowflake, AT&T, Wattpad, MathWay gibi kurumlara yönelik saldırılarla biliniyor. Grup, son dönemde Adidas, Qantas, Allianz Life, Cisco, Louis Vuitton, Dior ve Tiffany & Co. gibi şirketlerin Salesforce sistemlerini de hedef aldı.

Vishing ve şantaj yöntemleri
Saldırılar, çalışanları hedef alan telefonla oltalama (vishing) teknikleriyle başlatılıyor. Grup, ele geçirdiği verileri kullanarak şirketlere e-posta yoluyla fidye talep ediyor. Şirketler ödeme yapmazsa verilerin sızdırılacağı tehdidinde bulunuyor. Bazı firmaların şimdiden ödeme yaptığı, bir şirketin verilerini sızdırmamak için yaklaşık 400 bin dolar değerinde Bitcoin gönderdiği öğrenildi.

Google’ın önlemleri
Google, saldırının ardından etki analizini tamamladığını ve gerekli güvenlik önlemlerini devreye aldığını açıkladı. Ancak ShinyHunters’ın saldırıları hâlen sürdüğü ve daha fazla büyük şirketin risk altında olduğu bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Görüşme trafiği kılıfında saldırı
Praetorian araştırmacısı Adam Crosser, “Ghost Calls” yöntemini BlackHat USA’da sundu. Bu teknik, Zoom ve Teams gibi konferans uygulamalarında kullanılan TURN protokolünü kullanarak saldırganların kurban sistem ile kendi altyapıları arasında WebRTC tüneli açmasına olanak sağlıyor.

Nasıl çalışıyor
Bir kullanıcı Zoom ya da Teams toplantısına katıldığında, geçici TURN kimlik bilgileri alıyor. Ghost Calls, bu kimlik bilgilerini kötüye kullanarak saldırgan ile hedef sistem arasında şifrelenmiş bir WebRTC tüneli kuruyor. Bu tünel, saldırı trafiğini normal konferans trafiği gibi gösterdiği için güvenlik duvarları, proxy’ler ve TLS denetimleri tarafından fark edilmiyor.

Yeni araç: TURNt
Crosser, “TURNt” adlı açık kaynak bir araç geliştirdi. Bu araç, saldırgan tarafında bir Controller (SOCKS proxy sunucusu) ve kurban sistemde çalışan bir Relay bileşeninden oluşuyor. TURN sunucuları üzerinden C2 trafiğini tünelleyebilen TURNt, SOCKS proxying, port yönlendirme, veri sızdırma ve gizli VNC bağlantılarına imkân sağlıyor.

Zoom’dan ilk önlem
Zoom, BleepingComputer’a yaptığı açıklamada, Ghost Calls’a karşı TURN altyapısının yalnızca medya sunucularla eşleşmeye izin verecek şekilde güncellendiğini ve peer-to-peer bağlantıların engellendiğini duyurdu. Microsoft’un ek önlem planlarına dair ise henüz bir bilgi bulunmuyor.

Tehditin önemi
Ghost Calls, herhangi bir sıfır gün zafiyetine ihtiyaç duymadan, tamamen mevcut protokollerin doğasından yararlanıyor. Uzmanlara göre bu tür yöntemler, saldırganlara hem performans hem de anonimlik sağlıyor ve geleneksel C2 yöntemlerine göre daha gizli ilerliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Meşru sürücüyle güvenlik devre dışı bırakılıyor
Akira fidye yazılımı, ThrottleStop aracıyla kullanılan Intel sürücüsü “rwdrv.sys” üzerinden çekirdek seviyesinde erişim sağlıyor. Ardından “hlpdrv.sys” adlı kötü amaçlı sürücüyü yükleyerek Windows Defender’ın DisableAntiSpyware ayarını değiştiriyor ve korumaları devre dışı bırakıyor.

BYOVD tekniğiyle saldırı
Bu yöntem, “Bring Your Own Vulnerable Driver” (BYOVD) saldırı tekniğinin bir örneği. Yasal olarak imzalı ancak güvenlik açıkları bulunan sürücüler kullanılarak sistemde ayrıcalık yükseltiliyor. Akira’nın bu tekniği son haftalarda tekrarlayan saldırılarda sıkça görüldü.

SonicWall VPN saldırılarıyla bağlantı
Akira grubu kısa süre önce SonicWall SSLVPN servislerini de hedef aldı. Zero-day açık ihtimali gündeme gelse de, SonicWall henüz doğrulama yapmadı. Şirket, SSLVPN’in sınırlandırılması, MFA zorunluluğu, botnet/Geo-IP filtreleri ve kullanılmayan hesapların silinmesi gibi acil önlemler önerdi.

Sahte yazılım siteleriyle yayılıyor
The DFIR Report’a göre saldırılarda trojanlı MSI kurulum dosyaları kullanılıyor. “ManageEngine OpManager” gibi yazılımları arayan kullanıcılar, SEO zehirlemesi yoluyla opmanager[.]pro gibi sahte sitelere yönlendiriliyor. Bu sitelerden indirilen dosyalar, Bumblebee yükleyicisi aracılığıyla Akira’nın sisteme yerleşmesini sağlıyor.

Saldırıların ilerleyişi
Bumblebee, DLL yan yükleme yöntemiyle başlatılıyor, ardından AdaptixC2 ile kalıcı erişim sağlanıyor. Saldırganlar FileZilla üzerinden veri sızdırıyor, RustDesk ve SSH tünelleriyle kalıcılığı sürdürüyor. Ortalama 44 saat içinde “locker.exe” fidye yazılımı devreye giriyor ve etki alanlarındaki sistemler şifreleniyor.

Uzmanlardan uyarı
Güvenlik araştırmacıları, yalnızca resmi kaynaklardan yazılım indirilmesini, Akira ile ilgili IoC’lerin yakından takip edilmesini ve BYOVD tabanlı saldırılara karşı güvenlik çözümlerinin güncel tutulmasını öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı müşteri hizmeti platformunda gerçekleşti
Air France ve KLM, 6 Ağustos 2025’te yaptıkları açıklamada, kullandıkları harici müşteri hizmeti platformunda olağandışı hareket tespit edildiğini ve bunun sonucunda müşteri verilerine yetkisiz erişim sağlandığını açıkladı.

Finansal veriler etkilenmedi
Şirketten yapılan duyuruda, saldırganların isim, e-posta adresi, telefon numarası, ödül programı bilgileri ve son işlem kayıtlarına ulaştığı, ancak müşterilerin finansal bilgilerinin ve kişisel güvenlik verilerinin etkilenmediği vurgulandı.

Yetkililer bilgilendirildi, müşteriler uyarıldı
KLM, olayı Hollanda Veri Koruma Kurumu’na, Air France ise Fransa’daki CNIL’e bildirdi. Etkilenen müşterilere uyarı mesajları gönderilerek şüpheli e-posta ve telefon aramalarına karşı dikkatli olmaları gerektiği belirtildi.

ShinyHunters grubuna bağlanıyor
BleepingComputer’un ulaştığı bilgilere göre olay, Salesforce platformlarını hedef alan ve Adidas, Qantas, Dior, Louis Vuitton, Chanel, Tiffany & Co. ile Google gibi markaları da etkileyen ShinyHunters grubunun sosyal mühendislik saldırılarıyla bağlantılı.

Havacılık sektörü saldırıların odağında
Air France–KLM olayı, son dönemde havacılık ve ulaşım sektörüne yönelen saldırıların bir parçası olarak değerlendiriliyor. Daha önce Scattered Spider grubu WestJet ve Hawaiian Airlines gibi firmaları hedef almıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yıllardır korsan yayın yapıyordu
Kuzey Carolina merkezli Rare Breed TV, dünyanın en büyük korsan IPTV hizmetlerinden biri olarak öne çıkıyordu. Platform, aylık 15,99 dolardan başlayan aboneliklerle binlerce canlı kanal ve 14 bini aşkın film-dizi arşivi sunuyordu.

ACE’den yaptırım kararı
Amazon, Netflix, Disney, Warner Bros. ve Apple TV+ gibi 50’den fazla şirketin yer aldığı ACE, korsan IPTV hizmetini tespit ettikten sonra işletmecilerle iletişime geçti. Taraflar arasında varılan anlaşmayla platformun kapatılması ve ciddi miktarda tazminat ödenmesi kararlaştırıldı.

Site hâlen erişime açık
ACE açıklamasına rağmen Rare Breed TV’nin web sitesinin habere konu tarihte hâlâ erişime açık olduğu ve abonelik satışına devam ettiği görüldü. Konuyla ilgili olarak ACE’den ek yorum alınamadı.

Küresel korsan yayın operasyonları hedefte
ACE, bugüne kadar Openload, Streamango, Beast IPTV, 123movies.la ve anime platformu Zoro.to gibi çok sayıda korsan servisi kapattı. Geçtiğimiz yıl Jetflicks davasında beş kişiye ceza verilmesine, 22 milyon kullanıcılı ve aylık 250 milyon euro gelir elde eden bir korsan ağının çökertilmesine ve 821 milyon yıllık ziyaretçiye sahip Markkystreams’in kapatılmasına da katkı sağladı.

Uyarı niteliğinde mesaj
ACE’nin bağlı olduğu Sinema Filmleri Derneği (MPA) Başkan Yardımcısı Larissa Knapp, “Bu yaptırım korsan yayıncılara ciddi bir uyarıdır. Yasadışı yayın hizmeti işletmek, davalar, ağır mali cezalar ve kalıcı kapatmalarla sonuçlanır” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kara para aklama itirafı
Rodriguez ve Hill, Samourai Wallet üzerinden kara para aklama faaliyetlerine bilerek aracılık ettiklerini kabul etti. İkilinin, suç gelirlerinin gizlenmesini sağlamak için “Whirlpool” ve “Ricochet” adlı hizmetleri sunduğu ortaya çıktı.

80 bin Bitcoin işlendi
Mahkeme belgelerine göre, 2015–2024 yılları arasında hizmet aracılığıyla 80 binden fazla Bitcoin (2 milyar doların üzerinde) yasa dışı kaynaktan geçirilerek karıştırıldı. Bu işlemlerden yaklaşık 6 milyon dolar hizmet ücreti elde edildi.

Tutuklamalar ve kapatma
Kurucular Nisan 2024’te tutuklandı. Aynı gün İzlanda polisi Samourai’nin internet alan adlarını ve sunucularını ele geçirdi, Google ise uygulamayı Play Store’dan kaldırdı. Uygulama, kapanmadan önce 100 binden fazla kez indirilmişti.

Suçun bilincindeydiler
Savcıların aktardığına göre, Rodriguez WhatsApp yazışmalarında “karıştırmayı bitcoin için kara para aklama” olarak tanımladı. Hill ise karanlık ağ forumlarında Samourai’yi “kirli BTC temizleme aracı” olarak tanıttı.

Mahkeme süreci ve ceza ihtimali
İkili, suçunu kabul ederek kara para aklama operasyonunu yürüttüğünü kabul etti. Anlaşma kapsamında 237,8 milyon dolar tutarında varlığı devlete bırakacaklar. Rodriguez ve Hill, para aklama suçlamasında 20 yıla kadar, izinsiz para transferi suçlamasında ise 5 yıla kadar hapisle yargılanıyordu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte cüzdan uzantıları mağazaya sızdı
Koi Security’nin bulgularına göre saldırganlar, sahte kripto cüzdanı uzantılarını ilk etapta zararsız görünecek şekilde mağazaya yükledi. Onay aldıktan sonra ise marka ve logoları değiştirip zararlı kod enjekte ettiler.

Kullanıcı bilgileri keylogger ile çalındı
Uzantılara entegre edilen kod, kullanıcıların cüzdan giriş bilgilerini eklenti pencerelerindeki form alanlarından kaydederek saldırganların kontrolündeki uzak sunuculara gönderdi. Ayrıca kurbanların IP adresleri de izlendi.

Sahte sitelerle desteklendi
Kampanyaya paralel olarak, Trezor ve Jupiter Wallet gibi bilinen cüzdan sağlayıcılarını taklit eden çok sayıda sahte web sitesi açıldı. Bu siteler, LummaStealer gibi bilgi hırsızları ve fidye yazılımları dahil 500’den fazla zararlı yazılımın dağıtımını yaptı. Tüm operasyon, 185.208.156.66 IP adresi üzerinden yönetildi.

AI desteğiyle ölçeklendirildi
Araştırmaya göre kampanyada kullanılan kodlarda yapay zekâ izleri görüldü. Bu sayede saldırganların farklı yükler geliştirmesi, tespitten kaçınması ve saldırıları hızla büyütmesi kolaylaştı.

Mozilla eklentileri kaldırdı
Mozilla, şikâyetlerin ardından uzantıları mağazadan kaldırdı. Ancak kampanyanın büyüklüğü, daha önce Haziran 2025’te devreye alınan koruma sistemine rağmen sahte cüzdan uzantılarının hâlâ mağazaya sızabildiğini gösteriyor.

Chrome mağazasına da sıçrayabilir
Koi Security, GreedyBear grubunun Chrome Web Store’a da geçmeyi planladığını ve şimdiden “Filecoin Wallet” adlı sahte bir Chrome uzantısının tespit edildiğini bildirdi.

Kullanıcılar için öneriler
Uzmanlar, eklenti kurmadan önce yayıncı bilgilerini ve kullanıcı yorumlarını kontrol etmeyi, resmi cüzdan projelerinin yalnızca kendi sitelerinden yönlendirdiği bağlantılarla indirilmesini tavsiye ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sıfır gün iddiası reddedildi
Geçtiğimiz hafta Arctic Wolf Labs, SonicWall Gen 7 cihazlarını hedef alan saldırıların sıfır gün açığa işaret edebileceğini duyurmuştu. Ancak SonicWall, yaptığı incelemeler sonucunda saldırıların CVE-2024-40766 adlı bilinen bir zafiyet üzerinden gerçekleştiğini bildirdi.

CVE-2024-40766 nedir
Bu açık, SonicOS yazılımındaki SSLVPN erişim kontrol zafiyeti nedeniyle yetkisiz kişilerin VPN oturumlarını ele geçirmesine imkân tanıyor. Açık, Ağustos 2024’te yayımlanan SNWLID-2024-0015 danışma belgesiyle duyurulmuştu.

Migrasyon hataları istismar edildi
SonicWall, 40 farklı olayın incelenmesi sonucunda pek çok vakada Gen 6’dan Gen 7’ye geçişte yerel kullanıcı parolalarının sıfırlanmadığını ve bunun saldırganların sisteme erişimini kolaylaştırdığını belirtti. Oysa parolaların sıfırlanması, orijinal güvenlik tavsiyelerinde kritik bir adım olarak açıklanmıştı.

Yeni önerilen adımlar
Şirket, kullanıcıların cihaz yazılımını 7.3.0 veya daha yeni sürümlere yükseltmesini, SSLVPN için kullanılan tüm yerel hesap parolalarının derhal sıfırlanmasını ve mümkünse erişimin yalnızca güvenilir IP’lerle sınırlandırılmasını tavsiye ediyor.

Kullanıcıların şüpheleri sürüyor
Buna rağmen bazı kullanıcılar, Reddit’te yaptıkları yorumlarda SonicWall’ın açıklamalarının kendi deneyimleriyle örtüşmediğini, hatta bazı log dosyalarının incelenmediğini iddia etti. Bu nedenle uzmanlar, resmi açıklamaların ötesinde yüksek düzeyde dikkat ve hızlı önlem alınması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı 4 Ağustos’ta gerçekleşti
Bouygues Telecom, 4 Ağustos 2025 Pazar günü bir siber saldırıya uğradığını ve yetkisiz erişim sonucu 6,4 milyon müşteriye ait kişisel verilerin ele geçirildiğini doğruladı. Şirketin teknik ekipleri saldırıya hızlı şekilde müdahale ettiklerini ve ek güvenlik önlemlerinin alındığını açıkladı.

Etkilenen müşteri bilgileri
Yapılan açıklamaya göre saldırıda ele geçirilen veriler arasında müşterilerin iletişim bilgileri, sözleşme detayları, medeni durum verileri, kurumsal müşterilere ait şirket bilgileri ve IBAN numaraları bulunuyor. Şirket, kredi kartı bilgilerinin ve müşteri hesap şifrelerinin bu ihlalden etkilenmediğini vurguladı.

Yetkililer bilgilendirildi
Bouygues Telecom, saldırının bilinen bir siber suç grubu tarafından şirket içi kaynaklar hedef alınarak gerçekleştirildiğini belirtti. Konuyla ilgili olarak Fransa Ulusal Siber Güvenlik Ajansı (ANSSI) ve Kişisel Verileri Koruma Kurumu (CNIL) bilgilendirildi. Saldırıyı düzenleyenler için 5 yıla kadar hapis ve 150 bin euroya kadar para cezası öngörülüyor.

Müşterilere dolandırıcılık uyarısı
Şirket, müşterilerini SMS ve e-posta yoluyla bilgilendirmeye başladı. Açıklamada, kimlik avı ve sahte aramalara karşı dikkatli olunması gerektiği, hesap bilgilerini isteyen kişilere güvenilmemesi gerektiği uyarısı yapıldı. Ayrıca, IBAN bilgilerinin tek başına işlem için yeterli olmamasına rağmen müşterilerin hesap hareketlerini yakından takip etmeleri tavsiye edildi.

Fransız telekom sektöründe artan tehdit
Bouygues Telecom’daki ihlal, sadece bir hafta önce Orange’ın yaşadığı ağ saldırısının ardından geldi. Avrupa’daki bu gelişmeler, ABD merkezli telekom şirketlerini hedef alan ve Çin bağlantılı Salt Typhoon grubuna atfedilen saldırılarla benzerlik gösteriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yeni EDR öldürücü aracı
Sophos’un raporuna göre, fidye yazılım grupları tarafından kullanılan yeni EDR öldürücü aracı, güvenlik çözümlerini devre dışı bırakarak saldırganların ağlarda fark edilmeden hareket etmesine olanak sağlıyor. Araç, RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx ve INC grupları tarafından kullanıldı.

BYOVD yöntemiyle kernel ayrıcalıkları
Araç, zararlı bir sürücüyü (çoğu zaman çalıntı ya da süresi dolmuş dijital sertifikayla imzalanmış) yükleyerek “Bring Your Own Vulnerable Driver” (BYOVD) saldırısı gerçekleştiriyor. Böylece çekirdek seviyesinde ayrıcalık kazanarak güvenlik yazılımlarını kapatıyor.

Hedef alınan güvenlik çözümleri
Saldırının hedefinde Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro ve Webroot gibi çok sayıda EDR ve antivirüs ürünü yer alıyor.

Paylaşılan bir geliştirme altyapısı
Sophos, aracın tek bir sızıntı sonucu yayılmadığını, farklı fidye yazılım gruplarının aynı çerçeve üzerinden kendi sürümlerini oluşturduğunu belirtiyor. Tüm varyantlarda HeartCrypt paketleyicisinin kullanıldığı ve bilgi/araç paylaşımının yoğun olduğu ifade edildi.

Benzer araçlar daha önce de kullanıldı
EDRKillShifter dışında, AuKill ve AvNeutralizer gibi araçlar da farklı gruplar tarafından güvenlik yazılımlarını etkisiz hale getirmek için kullanılmıştı. Bu yöntem, fidye yazılım ekosisteminde giderek yaygınlaşıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tespit edilmesi zor
Microsoft’un açıklamasına göre, saldırılar yerel Exchange sunucularından geldiğinde Microsoft Purview gibi bulut tabanlı loglama araçları bu etkinlikleri kaydetmeyebiliyor. Bu durum saldırıların fark edilmesini güçleştiriyor.

Araştırmacı Black Hat’te gösterdi
Outsider Security’den araştırmacı Dirk-Jan Mollema, Black Hat konferansında açığı göstererek Microsoft’a üç hafta önce rapor ettiğini açıkladı. Microsoft, konferansla eş zamanlı olarak güvenlik duyurusu ve gerekli yamaları yayımladı.

Federal kurumlara zorunlu adımlar
CISA’nın 25-02 sayılı acil direktifine göre kurumlar:

• Microsoft Health Checker script ile Exchange ortamlarını tarayacak,

• Destek dışı sunucuları ağdan ayıracak,

• Güncel kümülatif yamaları (Exchange 2019 için CU14/15, 2016 için CU23) yükleyecek,

• Nisan 2025 hotfix’ini uygulayacak,

• Ardından ConfigureExchangeHybridApplication.ps1 scripti ile paylaşımlı servis hesabından özel hibrit uygulamaya geçiş yapacak.

Kurumların teknik düzeltmeleri Pazartesi sabahına kadar tamamlaması ve aynı gün 17.00’ye kadar CISA’ya rapor sunması gerekiyor.

Tüm kuruluşlara uyarı
CISA, zorunluluk yalnızca federal kurumlar için geçerli olsa da, açığın tüm sektörlerde risk oluşturduğunu belirterek özel kuruluşları da güncelleme yapmaya çağırdı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

NPM’de sahte WhatsApp kütüphaneleri
Siber güvenlik şirketi Socket, NPM platformunda WhatsApp geliştirme araçları kılığına giren iki zararlı paketi tespit etti. “naya-flore” ve “nvlore-hsc” isimli paketler, WhatsApp botları ve otomasyon araçları geliştirenleri hedef alıyor.

Dosya silme komutu çalıştırıyor
Her iki pakette de “requestPairingCode” adlı fonksiyon, WhatsApp eşleştirme işlemi gibi görünse de aslında bir GitHub adresinden gelen verileri işliyor. Belirli telefon numaralarına sahip kullanıcılar hariç, hedef alınan geliştiricilerin sisteminde “rm -rf *” komutu çalıştırılıyor ve bulunduğu dizindeki tüm dosyalar siliniyor.

Veri sızdırma fonksiyonu da var
Paketlerde ayrıca “generateCreeds” adlı, telefon numarası, cihaz kimliği ve anahtar bilgilerini çalabilecek bir fonksiyonun da bulunduğu tespit edildi. Bu fonksiyon şu an yorum satırına alınmış durumda ancak ileride aktif hale getirilebileceği uyarısı yapıldı.

Go geliştiricileri de risk altında
Socket, aynı zamanda Go ekosisteminde 11 zararlı paket keşfetti. Bu paketler, sahte isimlerle yüklenip çalıştırıldığında uzaktan yüklenen zararlı komut dosyalarını çalıştırıyor. Çoğu, yazım hatalarına dayalı “typosquatting” yöntemiyle geliştiricileri yanıltmayı hedefliyor.

Geliştiricilere uyarı
Araştırmacılar, hem NPM hem de Go geliştiricilerinin kullandıkları kütüphaneleri dikkatle doğrulamaları gerektiğini vurguladı. Birçok paket hâlâ aktif durumda bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Çete 2022’den bu yana aktifti
ABD İç Güvenlik Soruşturmaları (HSI), Royal ve BlackSuit olarak bilinen siber suç grubunun altyapısının uluslararası iş birliğiyle geçen ay çökertildiğini duyurdu. Grubun 2022’den bu yana 450’den fazla ABD şirketini hedef aldığı belirlendi.

Çifte şantaj yöntemiyle milyonlarca dolar
Açıklamaya göre saldırganlar, sistemleri şifreleyerek kullanılamaz hale getiriyor, ardından çalınan verileri sızdırma tehdidiyle ödeme talep ediyordu. Bu yöntemle elde edilen fidye miktarı 370 milyon doların üzerine çıktı.

Conti’den Royal’a, oradan BlackSuit’a
Grup ilk kez 2022 başında Quantum fidye yazılımıyla ortaya çıktı ve Conti çetesinin halefi olarak değerlendirildi. Aynı yıl Royal markasıyla yeniden ortaya çıkan grup, 2023’te Dallas şehrini hedef aldıktan sonra BlackSuit adını benimsedi.

Uluslararası operasyonla çökertildi
ABD Adalet Bakanlığı, 24 Temmuz 2025’te yaptığı açıklamada BlackSuit’in karanlık ağ sitelerinin ele geçirildiğini ve yerine “seizure banner” uyarılarının yerleştirildiğini duyurdu. Operasyonun kod adı “Checkmate” olarak açıklandı.

Yeni kimlikle geri dönüş ihtimali
Cisco Talos araştırmacıları, BlackSuit’in yeniden yapılanarak Chaos adıyla faaliyet göstermeye başladığına dair bulgular tespit etti. Yeni yapı, fidye yazılım hizmeti (RaaS) modeliyle çalışıyor ve hem yerel hem uzak depolamayı hedef alan saldırılarda çifte şantaj yöntemi kullanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı Mayıs’ta gerçekleşti
Columbia Üniversitesi, 16 Mayıs 2025 civarında yetkisiz erişim yoluyla ağ sistemlerine girildiğini ve belirli dosyaların dışarıya çıkarıldığını duyurdu. Olay, 24 Haziran’da sistemlerde yaşanan kesinti sonrası başlatılan inceleme sırasında ortaya çıktı.

870 bine yakın kişi etkilendi
Üniversitenin Maine Başsavcılığı’na sunduğu belgelerde, 868 bin 969 kişinin ihlalden etkilendiği belirtildi. Bu kişiler arasında mevcut ve eski öğrenciler, başvuru sahipleri, çalışanlar ve bazı aile üyeleri bulunuyor.

Çalınan verilerin kapsamı geniş
Bildirim mektuplarına göre, etkilenen veriler arasında ad, doğum tarihi, Sosyal Güvenlik numarası, iletişim bilgileri, demografik veriler, akademik kayıtlar, mali yardım bilgileri ve sağlık ile sigorta verileri yer alıyor. Üniversite, Columbia University Irving Medical Center hasta kayıtlarının etkilenmediğini duyurdu.

Ücretsiz kimlik koruma desteği
Columbia Üniversitesi, çalınan verilerin henüz dolandırıcılıkta kullanılmadığına dair bir bulgu olmadığını açıklasa da, mağdurlara iki yıl boyunca Kroll üzerinden ücretsiz kredi izleme, dolandırıcılık danışmanlığı ve kimlik hırsızlığına karşı destek hizmetleri sunulacağını bildirdi.

Hacker 460 GB veri çaldığını iddia etti
Üniversite, geçtiğimiz hafta yaptığı ilk açıklamada, saldırganın yaklaşık 460 gigabayt veriyi ele geçirdiği yönündeki iddiaları doğrulamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

FPRPC devre dışı bırakılıyor
Microsoft, 365 uygulamalarının 2508 sürümüyle birlikte FPRPC üzerinden dosya erişiminin varsayılan olarak engelleneceğini açıkladı. Engelleme Ağustos sonunda başlayacak, tüm kullanıcılara Eylül 2025 sonuna kadar ulaşacak.

FTP ve HTTP için yeni ayarlar
Yeni Trust Center ayarlarıyla kullanıcılar, yöneticiler izin verdiği sürece FPRPC’yi yeniden etkinleştirebilecek. Ayrıca FTP ve HTTP üzerinden dosya açma işlemleri hâlen varsayılan olarak açık olsa da, kullanıcıların bu protokolleri kapatma seçeneği olacak.

Yöneticiler için CPS kontrolü
Yöneticiler, Cloud Policy Service (CPS) üzerinden kimlik doğrulama protokollerini yönetebilecek. Eğer bir protokol CPS üzerinden devre dışı bırakılırsa, kullanıcılar Trust Center ayarlarıyla yeniden aktif hale getiremeyecek.

Microsoft güvenlik önlemlerini artırıyor
Şirket, son dönemde güvenlik açıklarını azaltmak için art arda önlemler aldı. Ocak 2025’ten itibaren ActiveX kontrolleri Microsoft 365 ve Office 2024’te devre dışı bırakıldı. Temmuz ayında Teams toplantılarında ekran görüntüsü engelleme özelliği devreye alındı. Outlook’ta ise .library-ms ve .search-ms dosya türleri engellenen ekler listesine eklendi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Politico’nun iddiaları sonrası açıklama geldi
Politico’nun hafta başında yayımladığı haberde, saldırının bazı federal bölgelerde gizli bilgileri ortaya çıkardığı, hatta gizli tanıkların kimliklerini açığa çıkarmış olabileceği öne sürülmüştü. Kurumun yaptığı açıklama bu iddiaları doğrudan teyit etmese de, davacıları etkileyecek verilerin zarar görmüş olabileceğini ima ediyor.

4 Temmuz’da fark edildi
İsimsiz kaynaklara göre, saldırının boyutu 4 Temmuz 2025’te tam olarak anlaşıldı ve ardından kurum içinde gizli bir bilgilendirme yapıldı. Ancak kamuoyuna ilk resmi açıklama ancak Politico’nun haberinden sonra geldi.

Güvenlik önlemleri artırılıyor
Yargı yetkilileri, sistemin güvenliğinin artırıldığını, saldırıları engellemek için yeni önlemler alındığını ve mahkemelerle iş birliği yapılarak davacılar üzerindeki etkinin en aza indirilmeye çalışıldığını duyurdu.

Kamu ve özel sektörde artan tehdit
Federal Yargı, hem kamu hem de özel kurumlara yönelik siber saldırıların artan hacim ve karmaşıklığına dikkat çekerek, eski sistemlerin korunmasının giderek zorlaştığını vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kayıplar 2024’te rekor kırdı
FTC’nin Tüketici Koruma Veri Raporu’na göre 2024 yılında 60 yaş üstü bireyler toplamda 700 milyon dolarını dolandırıcılara kaptırdı. Bu miktar, 2020’deki 121 milyon dolarlık kaybın altı katına, 2023’teki 542 milyon dolarlık kaybın ise yüzde 30 üzerine çıktı.

En büyük kayıp 100 bin dolar üstünde
Rapor, 2024’te 100 bin doların üzerinde kayıp yaşayanların toplam 445 milyon dolar kaybettiğini ortaya koydu. 10 ila 100 bin dolar arası kayıplar 214 milyon dolar, 10 bin dolar altındaki kayıplar ise 41 milyon dolar olarak kaydedildi.

Dolandırıcıların en sık kullandığı yöntemler
Dolandırıcılık yöntemleri arasında resmi kurum ya da şirket kılığına girme, sahte kriz senaryoları ve telefonla baskı en öne çıkanlar oldu. Dolandırıcılar, bankalarda şüpheli işlem, sosyal güvenlik numarasıyla işlenen suç veya bilgisayar korsanlığı iddialarıyla mağdurları kandırdı.

FTC adına sahte aramalar yapıldı
FTC’nin açıklamasına göre bazı dolandırıcılar, ironiyle kurumun adını kullanarak sahte personel kimliğiyle insanları kandırdı. Mağdurlara, paralarını Bitcoin ATM’lerine yatırmaları, nakit veya altın teslim etmeleri gibi asılsız yönlendirmeler yapıldı.

Yaşlılar neden hedef alınıyor
Rapora göre yaşlı yetişkinler, daha büyük finansal birikimlere sahip olmaları, otoritelere duydukları güven ve teknolojiyi daha az bilme sebebiyle hedef oluyor. Birçok kişinin hayat birikimlerini ve emeklilik hesaplarını kaybettiği bildirildi.

Genel dolandırıcılık kaybı 12,5 milyar dolar
FTC, 2024 yılında Amerikalıların toplam dolandırıcılık kaybının 12,5 milyar dolara ulaştığını ve bunun 2023’e göre yüzde 25 artış anlamına geldiğini duyurdu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dizin geçişi açığı tespit edildi
ESET araştırmacıları Anton Cherepanov, Peter Košinár ve Peter Strýček tarafından keşfedilen CVE-2025-8088 açığı, WinRAR’ın önceki sürümlerinde dosya çıkartma sırasında saldırgan tarafından belirlenen bir yola yönlendirme yapılmasına imkân veriyor.

Windows başlangıç klasörüne kötü amaçlı dosya
Bu yöntemle saldırganlar, zararlı yürütülebilir dosyaları Windows Başlangıç klasörlerine yerleştirebiliyor. Kullanıcı oturum açtığında dosya otomatik çalışıyor ve uzaktan kod yürütme sağlanıyor.

Phishing kampanyalarında kullanıldı
ESET, RomCom grubunun hedefli kimlik avı e-postaları aracılığıyla gönderilen RAR eklerinde bu açığı kullandığını belirledi. Bu saldırılarla kurban sistemlere RomCom arka kapıları yüklendi.

RomCom’un geçmiş faaliyetleri
Rusya bağlantılı RomCom grubu (Storm-0978, Tropical Scorpius veya UNC2596 olarak da biliniyor), daha önce Cuba ve Industrial Spy fidye yazılımlarıyla ilişkilendirilmişti. Grup, kimlik bilgisi hırsızlığı ve veri gaspı odaklı saldırılarda sıfır gün açıklarını sıkça kullanıyor.

Kullanıcılara güncelleme uyarısı
Uzmanlar, WinRAR’ın otomatik güncelleme özelliği bulunmadığı için tüm kullanıcıların 7.13 sürümünü manuel olarak indirip yüklemesi gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Beş güvenlik açığı tespit edildi
Cisco’nun Talos güvenlik ekibi, Dell’in ControlVault3 firmware ve Windows API’lerinde beş kritik açık keşfetti. CVE-2025-24311, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922 ve CVE-2025-24919 kodlarıyla tanımlanan açıklar bellek taşmalarından güvensiz serileştirmeye kadar farklı güvenlik kusurlarını içeriyor.

Oturum açma atlatılabiliyor
Araştırmaya göre saldırganlar bu açıkları zincirleyerek firmware üzerinde keyfi kod çalıştırabiliyor. Bu sayede Windows oturum açma işlemini atlatmak, kullanıcı ayrıcalıklarını yönetici seviyesine çıkarmak ve kalıcı kötü amaçlı yazılımlar yerleştirmek mümkün hale geliyor.

Fiziksel erişim riski
Cisco Talos, fiziksel erişimi bulunan bir saldırganın cihazı açarak USB üzerinden Unified Security Hub (USH) kartına bağlanabileceğini, böylece parmak izi doğrulamasını manipüle ederek cihazın herhangi bir parmak izini kabul etmesini sağlayabileceğini bildirdi.

Dell güncelleme yayımladı
Dell, Mart-Mayıs 2025 arasında ControlVault3 sürücü ve firmware güncellemeleri yayımladı. Şirket, etkilenen modellerin tam listesini güvenlik duyurusunda paylaştı.

Önerilen önlemler
Araştırmacılar, cihazların güncel tutulması, kullanılmayan parmak izi okuyucu, akıllı kart okuyucu ve NFC gibi güvenlik bileşenlerinin devre dışı bırakılması gerektiğini vurguladı. Ayrıca BIOS üzerinden kasa açılma uyarısının etkinleştirilmesi ve Windows’ta Gelişmiş Oturum Açma Güvenliği (ESS) özelliğinin kullanılmasının fiziksel saldırılara karşı ek koruma sağlayacağı belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hesap ele geçirilerek müşteri verilerine ulaşıldı
Richemont İstanbul Lüks Eşya Dağıtım A.Ş., veri ihlaline ilişkin Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre ihlal, Richemont Group bünyesinde görev yapan bir çalışanın hesabının yetkisiz kişilerce ele geçirilmesiyle gerçekleşti.

İhlal dört ay sonra fark edildi
Saldırının 17-18 Ocak 2025 tarihlerinde gerçekleştiği, ancak 30 Mayıs 2025 tarihinde tespit edilebildiği aktarıldı.

25 bini aşkın müşteri etkilendi
Olaydan 25 bin 737 müşteri ve potansiyel müşterinin etkilendiği bildirildi. Ele geçirilen veriler arasında isim, e-posta adresi, ülke bilgisi, müşteri kimliği ve doğum tarihi yer aldı.

KVKK kamuoyuna duyurma kararı aldı
Kişisel Verileri Koruma Kurulu, 3 Haziran 2025 tarihli ve 2025/1006 sayılı kararıyla veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Konuya ilişkin incelemeler devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yetkisiz erişim iki gün sürdü
İstanbul Gedik Üniversitesi, yaşanan veri ihlaline ilişkin Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre, 13-14 Mayıs 2025 tarihleri arasında üniversite adına veri işleyen şirketin sistemlerine yetkisiz erişim sağlandı ve durum 14 Mayıs’ta tespit edildi.

23 bin kişi, 209 bin kayıt etkilendi
Veri ihlalinden çalışanlar, kullanıcılar ve öğrencilerin yer aldığı 23 bin 269 kişinin etkilendiği, toplamda 209 bin 421 kayıtta kişisel verilerin risk altında olduğu belirtildi.

Hangi veriler sızdırıldı
İhlalden etkilenen veriler arasında ad, soyad, kullanıcı adı, maskelenmiş T.C. kimlik numarası (yalnızca son dört hanesi görünür şekilde), e-posta adresi, kurum-departman bilgileri ve kullanıcı trafik verileri bulunduğu aktarıldı.

KVKK kararıyla kamuoyuna duyuruldu
Kişisel Verileri Koruma Kurulu, 3 Haziran 2025 tarihli ve 2025/997 sayılı kararıyla veri ihlalinin kamuoyuna duyurulmasına karar verdi. Konuyla ilgili incelemeler devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yetkisiz erişim üçüncü taraf üzerinden gerçekleşti
Louis Vuitton Çantacılık Ticaret A.Ş., müşterilere ait veritabanına yönelik yetkisiz erişim hakkında Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre, ihlal üçüncü taraf bir hizmet sağlayıcının yöneticisi tarafından kullanılan servis hesabının ele geçirilmesiyle başladı.

İhlal bir ay sürdü
7 Haziran 2025’te başlayan saldırı, 2 Temmuz 2025’te tespit edildi. Yetkisiz erişim süresince müşterilere ait kimlik ve iletişim bilgilerinin risk altına girdiği ifade edildi.

142 bin kişi etkilendi
Türkiye’de 142 bin 995 müşteri ve potansiyel müşterinin verilerinin etkilendiği bildirildi. İncelemeler sürerken, etkilenen veri kategorilerinin kimlik ve iletişim bilgileri olduğu aktarıldı.

KVKK’dan kamuoyuna duyuru kararı
Kişisel Verileri Koruma Kurulu, 10 Temmuz 2025 tarihli ve 2025/1246 sayılı kararıyla veri ihlalinin kurumun internet sitesinde yayımlanmasına karar verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dosyalar yasa dışı paylaşım sitelerine yüklendi
BeiGene, Ltd. tarafından yapılan bildirimde, 16 Haziran 2025 tarihinde sınırlı sayıda kurumsal dosyanın pastebin.com ve swisstransfer.com platformlarına yüklendiği tespit edildi.

Klinik çalışmalara ait veriler sızdırıldı
Sızdırılan belgelerin, şirketin yürüttüğü klinik çalışmaların planlanması ve takibi için kullanılan verileri içerdiği belirtildi.

467 kişi etkilendi
Veri ihlalinden Türkiye’de 17 çalışan ve 450 hasta olmak üzere toplam 467 kişinin etkilendiği bildirildi. Etkilenen kişisel veri kategorilerinin kimlik, iletişim ve sağlık bilgileri olduğu aktarıldı.

KVKK kamuoyuna duyurma kararı aldı
Kişisel Verileri Koruma Kurulu, 24 Haziran 2025 tarihli ve 2025/1130 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Olayla ilgili incelemelerin sürdüğü belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Güvenlik açığı 2023’ten bu yana mevcuttu
Bold LLC tarafından yapılan açıklamaya göre, kullanıcıların özgeçmişlerini düzenlerken gerçek zamanlı ön izleme imkânı sunan yeni bir özelliğin yetkisiz erişime açık olduğu 12 Temmuz 2025’te tespit edildi. İncelemeler, söz konusu açığın ilk olarak 10 Mart 2023 tarihinde ortaya çıktığını ortaya koydu.

Bir kez yetkisiz erişim gerçekleşti
Şirketin bildiriminde, sunucu ortamının daha hızlı performans için anonimleştirilmiş verileri önbelleğe almak üzere erişilebilir hale getirildiği, bu durum nedeniyle yalnızca bir kez yetkisiz erişimin yaşandığı ifade edildi.

Anonimleştirilmiş özgeçmiş verileri etkilendi
İhlalden etkilenen veriler arasında isim, iletişim bilgileri ve özgeçmiş içerikleri yer aldı. Verilerin kapsamı kullanıcı tercihine bağlı olarak değişiklik gösterirken, bazı özgeçmişlerde sadece ad ve soyad bilgileri bulunduğu, bazılarında ise eğitim, istihdam geçmişi, iletişim bilgileri, fotoğraflar ve gönüllü olarak paylaşılan diğer bilgilerin yer aldığı bildirildi.

3 bini aşkın kullanıcı etkilendi
Bold LLC, ihlalden etkilenen ilgili kişi gruplarının kullanıcılar ve aboneler olduğunu, toplam 3168 kişinin verilerinin etkilendiğini açıkladı.

KVKK duyuru kararı aldı
Kişisel Verileri Koruma Kurulu, 24 Temmuz 2025 tarihli ve 2025/1356 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. İncelemelerin sürdüğü aktarıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı aynı gün tespit edildi
Yatırım Finansman Menkul Değerler A.Ş., 20 Temmuz 2025’te yaşanan fidye yazılımı saldırısını Kişisel Verileri Koruma Kurumu’na bildirdi. Açıklamaya göre saldırı aynı gün tespit edildi.

Uluslararası bir saldırı grubu hedef aldı
Şirketin bildiriminde, sunucular ve istemci bilgisayarların uluslararası ve uzman bir saldırı grubu tarafından hedef alındığı belirtildi.

Kişisel veriler üzerindeki etki araştırılıyor
Saldırının ardından etkilenen kişi sayısı, ilgili kişi grupları ve kişisel veri kategorilerinin henüz belirlenemediği ifade edildi. Teknik incelemelerin devam ettiği aktarıldı.

Vatandaşlar için başvuru kanalları
Şirket, saldırıyla ilgili bilgi almak isteyen kişilerin tüm şubelerden ve 0 850 723 59 59 numaralı Yatırımcı Destek Hattı üzerinden destek alabileceğini duyurdu.

KVKK’dan duyuru kararı
Kişisel Verileri Koruma Kurulu, 24 Temmuz 2025 tarihli ve 2025/1359 sayılı kararıyla ihlalin Kurumun internet sitesinde ilan edilmesine karar verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yasadışı platformlarda satışa çıkarıldı
Biletal İç ve Dış Ticaret A.Ş., siber saldırı sonucu kişisel verilerin yasa dışı internet platformlarında satışa çıkarıldığını Kişisel Verileri Koruma Kurumu’na (KVKK) bildirdi.

İhlal 11 Ağustos’ta tespit edildi
Açıklamaya göre, Bilgi Teknolojileri ve İletişim Kurumu’ndan (BTK) gelen yazının ardından şirket bilişim ekiplerinin yaptığı inceleme sonucunda ihlal 11 Ağustos 2025 tarihinde tespit edildi.

7 bin 800 müşteri etkilendi
Veri ihlalinden yaklaşık 7 bin 800 kişinin etkilendiği belirtilirken, ihlale konu olan kişisel veriler arasında kimlik, iletişim ve müşteri işlem bilgileri bulunduğu ifade edildi. Etkilenen grubun sadece müşteriler olduğu bildirildi.

KVKK’dan kamuoyuna duyuru kararı
Kişisel Verileri Koruma Kurulu, 14 Ağustos 2025 tarihli ve 2025/1481 sayılı kararıyla ihlalin Kurum internet sitesinde ilan edilmesine karar verdi. Konuya ilişkin inceleme sürüyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı 25 Mayıs’ta gerçekleşti
Manulaş Manisa Ulaşım Hizmetleri Makina Sanayi ve Ticaret A.Ş., kişisel verileri etkileyen siber saldırıya ilişkin Kişisel Verileri Koruma Kurumu’na (KVKK) bildirimde bulundu. Açıklamaya göre fidye yazılımı saldırısı 25 Mayıs 2025’te meydana geldi ve aynı gün tespit edildi.

1,2 milyon kayıtta risk tespit edildi
Şirket tarafından yapılan bildirimde, 1 milyon 268 bin 222 kayıt üzerinde ihlal gerçekleştiği, sistemde çok sayıda mükerrer veri bulunduğu için gerçek kişi sayısının daha az olabileceği aktarıldı.

Kapsamlı veri grupları etkilendi
Saldırıdan etkilenen kişisel veriler arasında ad, soyad, T.C. kimlik numarası, doğum tarihi, cinsiyet, telefon numarası, e-posta adresi, açık adres, meslek bilgisi, plaka numarası, fotoğraf ve sağlık bilgileri (engellilik durumu ve oranı) yer aldı. Etkilenen grupların aboneler ve üyeler olduğu bildirildi.

İnceleme devam ediyor
Verilerin dışarıya aktarılıp aktarılmadığı henüz tespit edilemezken, Kişisel Verileri Koruma Kurulu’nun 3 Haziran 2025 tarihli ve 2025/999 sayılı kararıyla ihlalin kamuoyuna duyurulması kararlaştırıldı.

Vatandaşların başvuru kanalları
İhlalden etkilenen kişiler, Manulaş’ın web sitesi (https://manulas.com.tr/), 0 236 232 19 00 numaralı telefon hattı veya info@manulas.com.tr e-posta adresi üzerinden bilgi alabilecek.

Kaynak: CUMHA - CUMHUR HABER AJANSI

PowerShell 2.0, 2009’da Windows 7 ile birlikte tanıtılmış ve uzun süre sistem yönetiminde yaygın olarak kullanılmıştı. Ancak güvenlik zafiyetleri, modern özelliklerin eksikliği ve bakım yükü nedeniyle yıllardır sadece “isteğe bağlı özellik” olarak tutuluyordu.

Etkilenen Kullanıcılar
Microsoft, modern sürümler olan PowerShell 5.1 ve PowerShell 7’nin desteğinin devam ettiğini, dolayısıyla çoğu kullanıcı için bir sorun yaşanmayacağını açıkladı. Ancak PowerShell 2.0’a bağımlı eski uygulamalar ve betikler kullanan müşterilerin doğrudan etkileneceği bildirildi.

Şirket, eski Microsoft ürünleri (Exchange, SharePoint, SQL Server gibi) ve bazı üçüncü taraf yazılımların hâlâ PowerShell 2.0’a ihtiyaç duyabileceğini, bu nedenle kullanıcıların sistemlerini uyarlamaları gerektiğini vurguladı.

Geriye Dönük Uyum ve Öneriler
PowerShell 2.0 çalıştırmaya çalışan betikler varsayılan olarak PowerShell 5.1’e yönlendirilecek. Çoğu komut ve modül geriye dönük uyumlulukla çalışsa da Microsoft, kullanıcıların eski betiklerini güncellemeleri ve PowerShell 7’ye geçiş yapmalarını tavsiye ediyor.

Microsoft’un açıklamasında, “Desteklenen ve güncel PowerShell sürümlerini kullanarak betiklerinizin daha güvenli çalışmasını sağlayabilirsiniz. PowerShell 2.0’a bağımlı yazılım ve betiklerinizi güncellemeniz veya geçici çözümlerle uyarlamanız gerekmektedir” ifadeleri yer aldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ne oldu, ne etkiledi
Kurum, kamuya açık bir atıf yapmadı; herhangi bir tehdit grubu işaret edilmedi. Ancak etki alanının genişliği ve hizmet kesintilerinin süresi, fidye yazılımı ihtimalini güçlendirdi. Olay sırasında ofis personelinin çalışmalarını sürdürdüğü ve kesintilerin en aza indirilmesi için yöneticilerle koordinasyon sağlandığı bildirildi.

Olası giriş vektörü
Saldırı vektörü resmen açıklanmadı. Bununla birlikte siber güvenlik uzmanı Kevin Beaumont, yaklaşık bir ay önce Pennsylvania Başsavcılık ağı üzerinde internetten erişilen bazı Citrix NetScaler cihazlarının kritik CVE-2025-5777 (Citrix Bleed 2) açığına karşı savunmasız olduğunu tespit etmişti. Paylaşılan Shodan bulgularına göre iki cihazdan biri 29 Temmuz’dan, diğeri 7 Ağustos’tan bu yana çevrimdışı durumda.

Genişleyen risk tablosu
Shadowserver Foundation, pazartesi günü 3.300’ün üzerinde NetScaler cihazının hâlâ CVE-2025-5777’ye karşı savunmasız olduğunu rapor etti. Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), en az Mayıs başından beri bu açığın sıfır gün olarak kritik kuruluşlara karşı kullanıldığını bildirdi. Hollanda Savcılık Kurumu (Openbaar Ministerie) 18 Temmuz’da e-posta sunucularını etkileyen bir ihlali açıklamıştı.

Resmî uyarılar ve yükümlülükler
CISA, söz konusu Citrix açığını “Bilinen İstismar Edilen Zafiyetler” kataloğuna ekleyerek federal kurumlara acil yama yükümlülüğü getirdi. Kurumlar için öneriler; hızla yamalama, etkilenen cihazların internetten erişimini sınırlama ve olağandışı kimlik doğrulama aktivitelerine karşı izleme olarak sıralanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Söz konusu değişim, saldırganların ya aynı altyapıyı kullanarak farklı Fortinet ürünlerini hedef aldığını ya da kullandıkları araçların yeni hedeflere adapte edildiğini gösteriyor. GreyNoise, bu tür saldırıların genellikle yeni güvenlik açıklarının açıklanmasından yaklaşık altı hafta önce tespit edildiğini ve istismar girişimlerinin kısa sürede başlayabileceğini vurguladı.

Tespit Edilen Faaliyetler
GreyNoise’un analizine göre, 3 Ağustos’taki saldırı trafiği daha önce Haziran ayında Pilot Fiber Inc. ile ilişkili bir FortiGate cihazından kaydedilen etkinliklerle benzerlik gösterdi. Bu durum, aynı araçların veya altyapının tekrar kullanım ihtimaline işaret ediyor.

5 Ağustos’tan itibaren ise trafik SSL VPN yerine FortiManager’a yöneldi. GreyNoise, bunun sadece araştırmacıların yaptığı geniş kapsamlı taramalardan farklı olduğunu, doğrudan yetkisiz erişim denemelerine işaret eden kaba kuvvet saldırıları olduğunu belirtti.

Engellenmesi Gereken IP Adresleri
Rapor kapsamında aşağıdaki IP adresleri saldırılarla ilişkilendirildi ve güvenlik duvarlarında engellenmesi tavsiye edildi:

• 31.206.51.194

• 23.120.100.230

• 96.67.212.83

• 104.129.137.162

• 118.97.151.34

• 180.254.147.16

• 20.207.197.237

• 180.254.155.227

• 185.77.225.174

• 45.227.254.113

Uzmanlardan Uyarılar
GreyNoise, yöneticilere Fortinet cihazlarında oturum açma korumalarını güçlendirmeleri, dış erişimleri yalnızca güvenilir IP aralıkları ve VPN üzerinden sınırlamaları çağrısında bulundu.

Siber güvenlik uzmanları, kaba kuvvet saldırılarındaki bu artışın, Fortinet ürünlerinde henüz açıklanmamış sıfır gün açıklarının duyurulmadan önce test edilmesi ihtimaline dikkat çekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırının İşleyişi
Araştırmacılar, Evilginx adlı AiTM (adversary-in-the-middle) çerçevesine özel bir “phishlet” ekleyerek Safari’nin Windows sürümünü taklit eden bir kullanıcı aracısı oluşturdu. Bu tarayıcı FIDO tabanlı kimlik doğrulamasını desteklemediği için Microsoft Entra ID, kullanıcıya hata mesajı gösteriyor ve alternatif yöntemler (Microsoft Authenticator uygulaması, SMS kodu, OTP vb.) sunuyor.

Kullanıcı bu yöntemlerden biriyle giriş yaptığında, saldırı platformu hem kullanıcı adı/parolayı hem de çok faktörlü doğrulama (MFA) tokenini veya oturum çerezini ele geçiriyor. Bu çerez saldırganın tarayıcısına aktarıldığında, kurbanın hesabına tam erişim sağlanabiliyor.

Henüz Saldırılarda Görülmedi
Proofpoint, yöntemin şu ana kadar gerçek saldırılarda kullanılmadığını ancak özellikle yüksek değerli hedeflere yönelik operasyonlarda ciddi risk oluşturduğunu belirtti.

Microsoft, araştırma hakkında yaptığı açıklamada bunun bir ürün açığı olmadığını, sosyal mühendislik yoluyla gerçekleştirilen bir oltalama tekniği olduğunu vurguladı. Şirket, kullanıcıların kimlik doğrulama gücü politikalarıyla daha güçlü yöntemleri zorunlu hale getirmesini ve şüpheli bağlantılara tıklamaktan kaçınmasını önerdi.

Önlemler
Uzmanlar, kullanıcıların beklenmedik şekilde alternatif kimlik doğrulama seçenekleriyle karşılaşmaları halinde işlemi durdurmaları gerektiğini söylüyor. Ayrıca, fallback doğrulama yöntemlerinin kapatılması veya ek güvenlik kontrollerinin devreye alınması öneriliyor.

Geçtiğimiz ay farklı bir FIDO zayıflatma saldırısı da rapor edilmişti. Expel araştırmacıları tarafından geliştirilen “PoisonSeed” adlı yöntemde kullanıcılar sahte bir QR kod aracılığıyla kandırılmaya çalışılmış, ancak pratikte saldırı başarısız olmuştu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

FortiSIEM; kamu kurumları, büyük ölçekli işletmeler, finans kuruluşları, sağlık sektörü ve yönetilen güvenlik hizmet sağlayıcıları (MSSP) tarafından yaygın olarak kullanılıyor. Açığın etki alanı 5.4 sürümünden 7.3 sürümüne kadar uzanıyor.

Fortinet’ten Kritik Uyarı
Fortinet, açığın aktif olarak kullanıldığını doğruladı. Açıklamada, “Bu güvenlik açığı için pratik istismar kodunun dolaşımda olduğu tespit edilmiştir” ifadesine yer verildi. Ayrıca istismarın cihazda ayırt edici bir gösterge (IOC) bırakmadığı, dolayısıyla tespitinin zor olduğu belirtildi.

Şirket, güvenlik güncellemesi yayımlanan sürümlere acilen geçilmesi gerektiğini bildirdi:

• FortiSIEM 7.3.2

• FortiSIEM 7.2.6

• FortiSIEM 7.1.8

• FortiSIEM 7.0.4

• FortiSIEM 6.7.10

5.4 ile 6.6 arasındaki eski sürümler için yama yayımlanmayacağı, bu sürümlerin kullanıcılarının desteklenen sürümlere geçmesi gerektiği açıklandı.

Geçici Çözüm ve Önlemler
Fortinet, phMonitor bileşeninin 7900 numaralı portuna erişimi kısıtlamanın geçici bir önlem olabileceğini bildirdi. Ancak bunun yalnızca saldırı yüzeyini daralttığı, açığın kendisini ortadan kaldırmadığı vurgulandı.

Açıklama, GreyNoise’un bu ayın başında Fortinet SSL VPN’lerine yönelik kaba kuvvet saldırılarında büyük artış gözlemlendiğini ve daha sonra FortiManager’a yönelim olduğunu rapor etmesinin hemen ardından geldi. Güvenlik uzmanları bu tür trafik artışlarının çoğu zaman yeni bir güvenlik açığının habercisi olabileceğini ifade ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

CISA’nın açıklamasına göre, CVE-2025-8875 olarak izlenen açık güvenliksiz serileştirme üzerinden komut çalıştırmaya, CVE-2025-8876 ise kullanıcı girdisinin hatalı filtrelenmesiyle komut enjeksiyonuna olanak tanıyor.

N-able’dan Açıklama ve Yama
N-able, açıkların istismar edildiğini doğrulayarak güvenlik güncellemelerinin N-central 2025.3.1 sürümüyle yayımlandığını bildirdi. Şirket, saldırıların sınırlı sayıda on-premises ortamda gözlemlendiğini, ancak bulut tabanlı sistemlerde bir bulguya rastlanmadığını açıkladı.

Şirketin duyurusunda, “On-premises N-central kullananların vakit kaybetmeden 2025.3.1 sürümüne yükseltmesi gerekmektedir. Güvenlik politikamız gereği CVE ayrıntıları güncellemeden üç hafta sonra paylaşılacaktır” ifadelerine yer verildi.

Federal Kurumlara Son Tarih 20 Ağustos
CISA, söz konusu açıkları “Bilinen İstismar Edilen Açıklar Kataloğu”na ekleyerek Federal Civilian Executive Branch kurumlarının 20 Ağustos’a kadar sistemlerini yamalamasını zorunlu kıldı. 2021’de yürürlüğe giren Bağlayıcı Operasyonel Direktif (BOD) 22-01 çerçevesinde belirlenen süreye uymayan kurumlar ciddi risklerle karşı karşıya kalabilecek.

Shodan verilerine göre, çevrimiçi olarak erişilebilir yaklaşık 2.000 N-able N-central örneği bulunuyor. Bunların büyük kısmı ABD, Avustralya ve Almanya’da yer alıyor.

CISA ayrıca özel sektör dahil tüm kuruluşlara da güncellemeleri önceliklendirmeleri yönünde çağrı yaptı. Açıklamada, “Bu tür açıklar kötü niyetli aktörler için sık kullanılan saldırı vektörleri olup federal ağlar için ciddi riskler oluşturmaktadır” denildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Söz konusu saldırıda, Microsoft yazılımlarında bulunan güvenlik açığının istismar edilerek Avam Kamarası bilgisayar ve mobil cihazlarını yöneten bir veritabanına sızıldığı belirtildi. Saldırı sırasında çalışanlara ait kamuya açık olmayan veriler de çalındı. Bu veriler arasında isimler, görev unvanları, ofis konumları ve e-posta adresleri yer alıyor.

Dolandırıcılık Uyarısı
Avam Kamarası üyeleri ve çalışanları, çalınan verilerin kimlik sahteciliği ya da dolandırıcılık amaçlı kullanılabileceği konusunda uyarıldı.

Kanada İletişim Güvenliği Kurumu’na (CSE) bağlı Kanada Siber Güvenlik Merkezi (Cyber Centre), soruşturmaya destek verdiğini açıkladı. Kurum tarafından yapılan açıklamada, saldırının belirli bir tehdit grubu veya devlet destekli aktörlerle ilişkilendirilmediği, siber olaylarda failleri tespit etmenin zaman ve kaynak gerektirdiği vurgulandı.

Microsoft Açıkları Ön Planda
Her ne kadar saldırıda kullanılan açık hakkında resmi açıklama yapılmasa da, Kanada Siber Merkezi kısa süre önce iki Microsoft güvenlik açığı konusunda ülke genelinde uyarıda bulunmuştu. Bunlardan biri SharePoint Server’daki CVE-2025-53770 (ToolShell) olarak bilinen açık, diğeri ise Exchange sunucularını etkileyen CVE-2025-53786.

ToolShell açığı Temmuz ayından bu yana Çin destekli gruplar ve fidye yazılım çeteleri tarafından aktif olarak kullanılıyor. Bu açık aracılığıyla ABD Ulusal Nükleer Güvenlik İdaresi, Eğitim Bakanlığı, Florida Gelir İdaresi, Rhode Island Genel Meclisi ve Avrupa ile Orta Doğu’daki bazı devlet kurumlarının hedef alındığı biliniyor.

CVE-2025-53786 ise Microsoft Exchange ortamlarında saldırganlara ağ içinde yatay hareket etme imkânı tanıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) geçtiğimiz hafta bu açık için acil direktif yayımlamıştı.

Güvenlik uzmanları, Kanada’daki kurumların vakit kaybetmeden sistemlerini güncellemeleri gerektiğini, aksi halde benzer saldırılarla karşı karşıya kalınabileceğini belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İlk bakışta Booking.com’un resmi adreslerine benziyormuş gibi görünen bu bağlantılar, kullanıcıları sahte alan adlarına yönlendiriyor. Örneğin, “https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/” şeklinde görünen link, aslında www-account-booking[.]com adlı sahte bir domaine ait.

Zararlı Yazılım Dağıtımı
Kullanıcılar bu bağlantıya tıkladığında zararlı bir MSI dosyası indirilerek bilgisayara yükleniyor. Güvenlik araştırmaları, indirilen dosyanın bilgi hırsızları veya uzaktan erişim trojanları gibi ek kötü amaçlı yazılımlar kurmak için kullanıldığını ortaya koydu.

Bu yöntem, “homoglif” olarak adlandırılan, birbirine çok benzeyen ancak farklı alfabelere ait karakterleri kullanarak yapılan oltalama saldırılarının bir örneği. Benzer teknikler daha önce de Cyrillic ve Latin harfleriyle görülmüştü.

Intuit Kullanıcıları da Hedefte
BleepingComputer tarafından bildirilen ayrı bir saldırıda ise Intuit kullanıcıları hedef alındı. Bu kampanyada “intuit.com” gibi görünen sahte alan adları aslında “Lntuit.com” şeklinde kayıtlı. Küçük harf kullanıldığında “L” harfinin “i” harfine çok benzemesi, kullanıcıların sahte bağlantıyı fark etmesini zorlaştırıyor.

E-postalarda yer alan “Hesabımı doğrula” bağlantısına tıklayan kullanıcılar sahte sitelere yönlendirilirken, bağlantı doğrudan açıldığında ise gerçek Intuit giriş sayfasına geri yönlendiriliyor. Bu yöntemle saldırganların özellikle mobil kullanıcıları hedef aldığı düşünülüyor.

Daha Önce de Booking.com Hedef Alındı
Booking.com markası daha önce de oltalama saldırılarında kullanıldı. 2023’te otel müşterilerinin sahte sitelere yönlendirilerek kredi kartı bilgilerinin çalındığı, 2025’in Mart ayında ise Microsoft’un, konaklama sektörü çalışanlarını hedef alan başka bir oltalama kampanyası konusunda uyarı yaptığı biliniyor.

Uzmanlar, kullanıcıların bağlantılara tıklamadan önce alan adlarını dikkatle incelemesi ve güncel güvenlik yazılımları kullanması gerektiğini belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

PST Başkanı Beate Gangås, Arendal kentinde düzenlenen Arendalsuka ulusal forumunda yaptığı açıklamada olayın doğrudan zarar vermekten çok, Rusya’nın siber yeteneklerini sergilemeye yönelik olduğunu belirtti. Gangås, “Amaçları yıkım yaratmak değil, neler yapabileceklerini göstermek” ifadelerini kullandı. Ayrıca bu tür eylemlerin toplumda korku ve huzursuzluk yaratmayı hedeflediğini vurguladı.

Dört Saatlik Müdahale
Yerel basına göre baraj operatörleri yaklaşık dört saat içinde saldırıyı fark ederek vanaları yeniden kapattı. Bu süre zarfında 7,2 milyon litreden fazla su tahliye oldu.

Haziran ayında Norveç Ulusal Kriminal Soruşturma Servisi (Kripos) de benzer bir sonuca ulaştı. Rus hacker grupları saldırıyı doğrulamak için Telegram üzerinden üç dakikalık bir video yayımladı. Videoda barajın kontrol paneli ve pro-Rus bir siber grubun işaretleri yer aldı.

Rusya ile İlişkilendirilen İkinci Saldırı
Bu olay, Norveç’te Rusya bağlantılı ikinci büyük siber saldırı olarak kayıtlara geçti. Daha önce ülkenin devlet hizmetlerine yönelik geniş çaplı bir DDoS saldırısı düzenlenmişti.

Norveç İstihbarat Şefi Nils Andreas Stensønes, Rusya’nın Batı’ya karşı hibrit saldırılarla gerilimi artırdığını belirterek, “Norveç savaşta değil, ancak Rusya öngörülemez bir komşu ve en büyük tehdit konumunda” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Grubun en erken faaliyetleri 2024 yılının Eylül ayında rapor edilmiş olsa da, saldırılar son dönemde daha gelişmiş yöntemlerle yürütülmeye başlandı. Araştırmacılar, kullanılan teknikler ve araçlar nedeniyle grubun eski fidye yazılım oluşumlarının üyelerinden oluşabileceğini değerlendiriyor.

Saldırı Yöntemleri
Saldırılar, Windows sistemlerinde yönetici hesaplarının etkinleştirilmesi veya yeni yerel hesapların oluşturulmasıyla başlıyor. Daha sonra saldırganlar, sistemde keşif faaliyetleri gerçekleştirerek donanım bilgilerini ve kullanıcı hesaplarını topluyor. Bu süreçte zararlı hizmetler ve görevler tanımlanıyor.

Trend Micro’nun raporuna göre, kullanılan yöntemlerden biri WinMainSvc adlı keylogger hizmeti, diğeri ise MSRuntime adı verilen fidye yazılım yükleyicisi.

EDR Sistemlerini Devre Dışı Bırakan Araç
Crypto24’ün dikkat çeken yöntemlerinden biri, RealBlindingEDR adlı açık kaynak kodlu aracın özelleştirilmiş bir versiyonunun kullanılması. Bu araç, Trend Micro, Kaspersky, Sophos, SentinelOne, Malwarebytes, McAfee, Cisco ve Fortinet gibi birçok güvenlik yazılımını hedef alarak çekirdek düzeyinde devre dışı bırakabiliyor.

Trend Micro ürünlerine yönelik olarak ise saldırganların XBCUninstaller.exe aracını kötüye kullandığı belirtildi. Normal şartlarda sistem sorunlarını gidermek için kullanılan bu araç, saldırı sırasında güvenlik ajanlarını kaldırmak amacıyla çalıştırıldı.

Veri Hırsızlığı ve Şifreleme Süreci
Saldırılar sırasında “Microsoft Help Manager” adıyla gizlenen keylogger aktif pencere başlıklarını ve tuş vuruşlarını kaydediyor. Ayrıca saldırganlar SMB paylaşımları üzerinden ağda yayılım sağlıyor ve çalınan verileri özel bir araçla Google Drive’a aktarıyor.

Son aşamada ise sistemlerdeki gölge kopyalar silinerek fidye yazılımı devreye sokuluyor. Trend Micro, şifreleme yöntemleri veya fidye notları hakkında ayrıntılı bilgi paylaşmazken, savunma ekiplerine yönelik göstergeler listesi yayımladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dizin geçişi (directory traversal) hatasından kaynaklanan bu açık, özel hazırlanmış RAR arşivlerinin, kullanıcı tarafından belirtilen dizin yerine saldırganın tanımladığı bir konuma dosya çıkartmasına izin veriyor. Bu yöntemle, zararlı çalıştırılabilir dosyalar Windows’un başlangıç klasörlerine (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup veya %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp) yerleştirilebiliyor. Kullanıcı bir sonraki oturum açtığında, bu dosyalar otomatik olarak çalışarak saldırgana sistem üzerinde uzaktan kod çalıştırma imkânı sağlıyor.

ESET, saldırılarda hedefli oltalama e-postalarıyla gönderilen RAR dosyalarının bu açığı kullanarak RomCom arka kapı zararlı yazılımını yüklediğini belirledi. RomCom (Storm-0978, Tropical Scorpius veya UNC2596 olarak da bilinir) Rusya bağlantılı bir tehdit grubu olup fidye yazılımı, veri hırsızlığı ve kimlik bilgisi toplama kampanyalarıyla tanınıyor. Grup daha önce Cuba ve Industrial Spy fidye yazılım operasyonlarıyla ilişkilendirilmişti.

WinRAR otomatik güncelleme özelliği sunmadığından, tüm kullanıcıların win-rar.com adresinden en son sürümü manuel olarak indirmesi öneriliyor. ESET, açığın istismarına dair detaylı bir raporu daha sonra yayımlayacağını açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Google’ın açıklamasına göre, ihlal edilen sistemde işletme adları, iletişim bilgileri ve ilgili notlar bulunuyordu. Erişim, sınırlı bir zaman diliminde sağlandıktan sonra engellendi. Şirket, verilerin çoğunun zaten kamuya açık olabilecek temel iş bilgileri olduğunu vurguladı.

ShinyHunters grubu, saldırılarda çalışanları hedef alan sesli kimlik avı (vishing) ve sosyal mühendislik yöntemleriyle Salesforce hesaplarına erişim sağlıyor. Bu yöntemle müşteri veritabanlarını indirip şirketlerden fidye talep ediyor. Grup, fidye ödemeyen şirketlerin verilerini sızdırma veya satma tehdidinde bulunuyor.

BleepingComputer’a konuşan ShinyHunters, birçok Salesforce ortamını ihlal ettiklerini ve saldırıların hâlen devam ettiğini doğruladı. Grup, bazı şirketleri e-posta yoluyla şantaj yaparken, bir şirketin verilerini sızdırmamak için 4 Bitcoin (yaklaşık 400 bin dolar) ödediği öğrenildi.

ShinyHunters, geçmişte PowerSchool, Oracle Cloud, Snowflake, AT&T, NitroPDF, Wattpad ve MathWay gibi birçok kurumun veri ihlallerinden sorumlu tutulmuştu.

Bu saldırılardan etkilenen diğer şirketler arasında Adidas, Qantas, Allianz Life, Cisco ve LVMH bünyesindeki Louis Vuitton, Dior ile Tiffany & Co. da yer alıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ControlVault, parolalar, biyometrik veriler ve güvenlik kodlarını anakart üzerindeki Unified Security Hub (USH) modülünde saklıyor. Ancak CVE-2025-24311, CVE-2025-25050 (out-of-bounds), CVE-2025-25215 (arbitrary free), CVE-2025-24922 (stack overflow) ve CVE-2025-24919 (güvensiz serileştirme) gibi açıklar zincirlenerek, saldırganların bellenimde keyfi kod çalıştırmasına imkân tanıyor.

Cisco Talos’a göre, fiziksel erişimi olan bir saldırgan cihazı açarak özel bir USB konnektörüyle USH modülüne doğrudan erişebilir. Bu yöntem, Windows oturum açma bilgisi veya tam disk şifreleme parolası olmadan açıkların istismar edilmesini mümkün kılıyor. Başarılı istismar, yönetici yetkisi kazanmayı, Windows oturumunu atlamayı ve parmak izi doğrulamasını manipüle ederek herhangi bir parmak izini kabul ettirmeyi sağlayabiliyor.

Dell, Mart–Mayıs 2025 döneminde ControlVault3 sürücüsü ve bellenimi için güvenlik güncellemeleri yayımladı. Etkilenen modellerin tam listesi Dell’in güvenlik duyurusunda yer alıyor.

Cisco Talos, kullanıcıların sistemlerini Windows Update veya Dell’in resmi sitesinden güncel tutmalarını, kullanılmayan parmak izi okuyucu, akıllı kart okuyucu ve NFC gibi güvenlik donanımlarını devre dışı bırakmalarını öneriyor. Yüksek riskli ortamlarda parmak iziyle giriş özelliğinin kapatılması, BIOS üzerinden kasa açılma algılamanın (chassis intrusion detection) etkinleştirilmesi ve Windows’ta Gelişmiş Oturum Açma Güvenliği’nin (ESS) devreye alınması da tavsiye ediliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Bu kart, grubun oluşturulma tarihi, üye sayısı, potansiyel dolandırıcılık uyarıları ve grup davetlerini nasıl kontrol edebileceğinize dair bilgiler içeriyor. Kullanıcılar, sohbeti hiç açmadan gruptan ayrılabilecek ya da bilgileri inceledikten sonra sohbete girerek bağlamı görebilecek. Bu süre zarfında grup bildirimleri sessize alınacak.

Uygulama ayrıca, kişi listenizde olmayan bir numaradan mesaj aldığınızda, gönderen hakkında ek bilgi vererek dikkatli olmanız konusunda uyarı yapacak. WhatsApp, “Bilinmeyen bir numaradan gelen, hızlı kazanç vaat eden veya olağandışı bir mesaj aldığınızda duraklayın, sorgulayın ve doğrulayın” tavsiyesinde bulundu.

Şirket, 2025’in ilk altı ayında kullanıcılarını hedef alan dolandırıcılık merkezleriyle bağlantılı 6,8 milyondan fazla hesabı devre dışı bıraktığını açıkladı. Yılın başında ise OpenAI ile iş birliği yaparak Kamboçya’da faaliyet gösteren bir dolandırıcılık merkezini kapattı. Bu merkez; kripto para yatırımı vaadi, sahte beğeni satışı ve kiralık scooter üzerinden yürütülen piramit şemaları gibi yöntemler kullanıyordu.

WhatsApp, Nisan ayında da özel sohbetlerde ve grup konuşmalarında paylaşılan hassas bilgileri korumak için Gelişmiş Sohbet Gizliliği (Advanced Chat Privacy) özelliğini devreye almıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Bu açık, kimlik doğrulaması gerekmeksizin saldırganların sistemde uzaktan rastgele kod çalıştırmasına imkân veriyor. Şirket, güvenlik yamasının henüz hazır olmadığını, ancak istismarı engellemek için kısa vadeli koruma sağlayan bir geçici önlem aracının yayımlandığını açıkladı.

Geçici çözüm, bilinen tüm istismar yöntemlerine karşı koruma sağlasa da, Remote Install Agent fonksiyonunu devre dışı bırakıyor. Bu nedenle yöneticiler, güvenlik yaması yayımlanana kadar uzak ajan kurulumlarını kullanamayacak.

Trend Micro, güvenlik güncellemesinin 2025 Ağustos ortasında yayımlanacağını ve bu yamayla birlikte devre dışı bırakılan işlevin geri geleceğini belirtti. Şirket, özellikle yönetim konsolunun IP adresini internete açık tutan kullanıcıların, erişimi kısıtlayacak önlemleri derhal uygulamasını tavsiye etti.

Japonya Ulusal Bilgisayar Acil Müdahale Ekibi (JPCERT) de güvenlik açığı için uyarı yayımlayarak kullanıcıları en kısa sürede geçici mitigasyonları uygulamaya çağırdı.

Trend Micro geçmişte de Apex One’daki sıfırıncı gün açıklarını kapatmış, Eylül 2022’de CVE-2022-40139 ve Eylül 2023’te CVE-2023-41179 güvenlik açıklarını yamalamıştı. Şirket, bu ayın başında ise Apex Central ve Endpoint Encryption (TMEE) PolicyServer ürünlerindeki kritik yetki atlatma ve uzaktan kod çalıştırma açıklarını gidermişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Araştırmacılar bu dönemde 1.469 geçerli güvenlik açığı raporu sundu. En yüksek ödül 200 bin dolar olurken, raporlar Azure, Microsoft 365, Dynamics 365, Power Platform, Windows, Edge ve Xbox gibi ürünlerde 1.000’den fazla potansiyel güvenlik açığının giderilmesine katkı sağladı.

Microsoft, bağımsız araştırmacıların özellikle yapay zeka gibi hızla gelişen alanlarda yüksek etkili güvenlik açıklarını bulmasının, yeni tehditlerin önünde olunmasına yardımcı olduğunu belirtti. Şirket, Koordine Edilmiş Güvenlik Açığı Bildirimi (Coordinated Vulnerability Disclosure) sürecinin kullanıcı güvenini güçlendirdiğini vurguladı.

Bu yıl Microsoft, Copilot AI, Defender ürünleri ve çeşitli kimlik yönetim sistemlerini kapsayan bounty programlarını genişletti. Copilot programına geleneksel çevrimiçi hizmet açıkları eklendi, Dynamics 365 ve Power Platform’a yeni bir yapay zeka kategorisi dahil edildi. Windows programına ise uzaktan hizmet reddi (DoS) ve yerel sandbox kaçış senaryoları ödülleri eklendi.

Kimlik doğrulama programı artık daha fazla API ve alan adını kapsarken, Defender programı Microsoft Defender for Identity (MDI), Microsoft Defender for Office (MDO) ve Microsoft Defender for Cloud Applications (MDA) ürünlerini de içeriyor.

Şirket, son dönemde orta seviye Microsoft Copilot güvenlik açıkları için ödülleri artırdı, bazı .NET ve ASP.NET Core açıkları için 40 bin dolara kadar ödeme yapacağını açıkladı. Ayrıca Power Platform ve Dynamics 365 AI açıkları için ödüller yükseltildi.

Microsoft, bu hafta başında 2025 Zero Day Quest yarışmasında toplam 5 milyon dolara kadar ödül dağıtacağını da duyurdu. Şirket, etkinliği “tarihin en büyük hacking organizasyonu” olarak tanımlıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Forbes’un haberine göre, saldırıda yalnızca müşteri isimleri, doğum tarihleri ve e-posta adresleri ele geçirildi. Parolalar, kimlik bilgileri veya finansal verilerin etkilenmediği açıklandı. BleepingComputer, verilerin Pandora’nın Salesforce veritabanından çalındığını öğrendi.

En az Ocak 2025’ten beri devam eden saldırı dalgasında, tehdit aktörleri sosyal mühendislik ve kimlik avı yöntemleriyle çalışanların Salesforce giriş bilgilerini çalıyor veya kötü amaçlı OAuth uygulamalarına yetki verilmesini sağlıyor. Bu erişimle şirketlerin Salesforce veritabanları indirilip fidye talebiyle şantaj yapılıyor.

ShinyHunters grubu, şirketleri özel olarak fidye talepleriyle tehdit ettiklerini ve ödeme yapılmaması halinde verilerin toplu satışını veya sızdırılmasını planladıklarını doğruladı. Grup, Snowflake veri hırsızlığı saldırılarında da benzer yöntemler kullanmıştı.

Salesforce ise kendi platformunun saldırıya uğramadığını, olayların bilinen bir güvenlik açığından kaynaklanmadığını belirterek, tüm müşterilere çok faktörlü kimlik doğrulama (MFA) kullanmaları, en az ayrıcalık ilkesini uygulamaları ve bağlı uygulamaları dikkatle yönetmeleri yönünde uyarıda bulundu.

Benzer saldırılardan Adidas, Qantas, Allianz Life ve LVMH bünyesindeki Louis Vuitton, Dior ile Tiffany & Co. markalarının da etkilendiği biliniyor. Ancak, henüz kamuoyuna açıklanmayan başka şirketlerin de saldırıya uğradığı belirtiliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

BleepingComputer’ın edindiği bilgilere göre, sızan dosya karanlık ağ forumlarında değil, “PBS Kids” hayranlarının bulunduğu Discord topluluklarında paylaşıldı. Bu sunucularda genç yetişkinler, ergenler ve çocuklar favori televizyon programlarını konuşuyor. Kaynaklar, dosyanın bu gruplarda “merak, isyankâr heves veya arkadaş çevresinde dikkat çekme” amacıyla dolaştığını, ancak verilerin kötüye kullanılma ihtimalinin bulunduğunu aktardı.

Paylaşılan JSON formatındaki dosya, 3.997 PBS çalışanı ve bağlı kuruluş personeline ait isim, kurumsal e-posta adresi, görev unvanı, zaman dilimi, departman, lokasyon, iş fonksiyonları, hobiler ve amir isimlerini içeriyor.

PBS, olayın ardından etkilenen kullanıcılarla iletişime geçtiğini ve şu an için diğer sistemlerde bir güvenlik ihlali bulgusuna rastlanmadığını açıkladı. Şirketin açıklamasında, “MyPBS.org platformundan kullanıcı verilerinin yer aldığı dosyanın çevrimiçi olarak paylaşıldığı bilgisinin ardından kapsamlı bir soruşturma başlatıldı” denildi.

Verilerin şu ana kadar kötü amaçla kullanıldığına dair bir bulgu olmasa da, dosyanın bu hafta sonu bile Discord topluluklarında dolaşmaya devam ettiği belirtiliyor. Özellikle PBS ve NPR üzerindeki siyasi baskılar göz önünde bulundurulduğunda, bu verilerin taciz veya doxxing amacıyla kullanılabileceği endişesi dile getiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Adobe, Adobe Experience Manager (AEM) Forms on JEE için iki kritik sıfırıncı gün güvenlik açığını kapatan acil güncellemeler yayımladı. CVE-2025-54253 ve CVE-2025-54254 olarak izlenen açıklar, kimlik doğrulaması gerekmeksizin uzaktan kod çalıştırma ve yerel dosya okuma saldırılarına olanak tanıyor.

CVE-2025-54253, /adminui modülündeki kimlik doğrulama atlatma hatası ve yanlış yapılandırılmış geliştirici ayarından kaynaklanıyor. Struts2’nin geliştirme modunun açık bırakılması, saldırganların HTTP istekleriyle OGNL ifadeleri çalıştırmasına imkân veriyor. Bu açık, CVSS 8.6 “kritik” olarak derecelendirildi.

CVE-2025-54254 ise SOAP tabanlı kimlik doğrulama hizmetinde yer alan XML External Entity (XXE) zafiyetinden kaynaklanıyor. Özel hazırlanmış XML istekleriyle saldırganlar, kimlik doğrulama olmadan sunucu üzerindeki yerel dosyaları (örneğin win.ini) okuyabiliyor. Bu açık CVSS 10.0 ile “maksimum kritik” seviyede değerlendirildi.

Söz konusu güvenlik sorunlarını Shubham Shah ve Adam Kues (Searchlight Cyber) 28 Nisan 2025’te Adobe’a bildirdi. Üçüncü bir açık olan CVE-2025-49533 (Java deserialization yoluyla RCE) ise aynı güncelleme paketiyle giderildi. Araştırmacılar, 90 günlük bekleme süresi dolduktan sonra 29 Temmuz’da teknik ayrıntıları kamuya açıkladı.

Adobe, yöneticilere en kısa sürede en son güncellemeleri ve hotfix’leri yüklemelerini tavsiye etti. Güncelleme imkânı olmayan sistemlerde ise platform erişiminin internetten kısıtlanması önerildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Elde edilen veriler arasında kullanıcıların adları, çalıştıkları kurum isimleri, adresleri, Cisco tarafından atanmış kullanıcı kimlikleri, e-posta adresleri, telefon numaraları ve hesap oluşturma tarihleri gibi meta veriler yer alıyor. Cisco, olayda kurumsal müşterilere ait gizli bilgiler, parolalar veya hassas verilerin ele geçirilmediğini, ürün ve hizmetlerin etkilenmediğini vurguladı.

Şirket, saldırganın ilgili CRM sistemine erişiminin derhal sonlandırıldığını, veri koruma otoriteleriyle iletişime geçildiğini ve yasal gereklilikler doğrultusunda etkilenen kullanıcıların bilgilendirildiğini açıkladı. Cisco, benzer saldırıları önlemek için personeline vishing girişimlerini tanıma ve önleme konusunda ek eğitimler vereceğini duyurdu.

Olayın, ShinyHunters grubu ile ilişkilendirilen ve son haftalarda Adidas, Qantas, Allianz Life, LVMH markaları ile Chanel gibi büyük şirketleri etkileyen Salesforce tabanlı veri hırsızlığı saldırıları dalgasının bir parçası olabileceği değerlendiriliyor. Cisco, verilerin Salesforce ortamından mı çalındığını veya kaç kullanıcının etkilendiğini ise doğrulamadı.

Geçmişte de benzer güvenlik sorunları yaşayan şirket, Ekim ayında DevHub portalını, IntelBroker adlı tehdit aktörünün sızdırdığı “gizli” veriler sonrası çevrimdışına almış, Kasım ayında ise bunun hatalı yapılandırılmış herkese açık bir portal nedeniyle gerçekleştiğini açıklamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Arctic Wolf, saldırıların ilk erişim yönteminin henüz netleşmediğini, ancak kimlik bilgisi hırsızlığı, brute force, sözlük saldırıları ve kimlik bilgisi doldurma yöntemlerinin tüm vakalarda kesin olarak dışlanmadığını belirtti. Yine de sıfırıncı gün açığının varlığı “yüksek olasılıklı” olarak değerlendirildi.

Huntress tarafından yapılan ayrı bir analizde, SonicWall VPN’lerde çok faktörlü kimlik doğrulamayı atlatabilen ve fidye yazılımı dağıtabilen bir açığın aktif olarak istismar edildiği bildirildi. Huntress, VPN hizmetinin tamamen devre dışı bırakılmasını veya IP allow-listing yöntemiyle erişimin kısıtlanmasını önerdi. Şirket, saldırganların ilk ihlalin ardından saatler içinde etki alanı denetleyicilerine yöneldiğini vurguladı.

SonicWall, müşterilere şu önlemleri almalarını tavsiye etti:

• SSLVPN hizmetini mümkünse devre dışı bırakmak,
• Erişimi yalnızca güvenilir IP adresleriyle sınırlandırmak,
• Botnet Koruması ve Coğrafi IP Filtreleme gibi güvenlik servislerini etkinleştirmek,
• Tüm uzak erişimlerde MFA kullanmak,
• Kullanılmayan hesapları silmek.

Şirket, son 72 saatte SSLVPN açık olan Gen 7 güvenlik duvarlarını hedef alan vakalarda artış yaşandığını belirterek, olayların bilinen bir açıkla mı yoksa yeni bir güvenlik açığıyla mı bağlantılı olduğunun araştırıldığını duyurdu.

SonicWall, kısa süre önce SMA 100 cihazları için uzaktan kod çalıştırmaya yol açabilecek kritik bir güvenlik açığını (CVE-2025-40599) da yamalama uyarısı yapmıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

CVE-2025-21479, GPU micronode üzerinde yetkisiz komut çalıştırılması sonucu bellek bozulmasına yol açan bir yetkilendirme hatası olarak tanımlanıyor. CVE-2025-27038 ise Chrome tarayıcısında grafik işleme sırasında ortaya çıkan use-after-free hatasıyla bellek bozulmasına neden oluyor.

Qualcomm, bu açıklar için yamaları Mayıs ayında OEM üreticilerine sağlamış ve etkilenen cihazların en kısa sürede güncellenmesini tavsiye etmişti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da her iki açığı 3 Haziran’da “aktif olarak istismar edilen açıklar” listesine ekleyerek federal kurumlara 24 Haziran’a kadar sistemlerini koruma talimatı verdi.

Bu ayki Android güvenlik güncellemesinde ayrıca, sistem bileşeninde ayrıcalığı olmayan saldırganların, diğer güvenlik açıklarıyla zincirlenerek kullanıcı etkileşimi olmadan uzaktan kod çalıştırmasına imkân tanıyan kritik bir hata da giderildi.

Google, 2025-08-01 ve 2025-08-05 olmak üzere iki güvenlik yaması paketi sundu. İkinci paket, birincideki tüm düzeltmelerin yanı sıra kapalı kaynak üçüncü taraf bileşenleri ve çekirdek alt bileşenlerine yönelik yamaları da içeriyor. Google Pixel cihazları bu güncellemeleri anında alırken, diğer üreticiler test ve uyarlama sürecinden geçtiği için gecikmeli dağıtım yapabiliyor.

Geçmişte de benzer tehditlerle karşılaşan Android ekibi, Mart ayında Sırp yetkililerin el konulan cihazları açmak için kullandığı iki sıfırıncı gün açığını kapatmıştı. Kasım 2024’te ise NoviSpy casus yazılım saldırılarında kullanılan başka bir Android sıfırıncı gün açığı giderilmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Geçen yıl 4 milyon dolar ödül havuzuyla gerçekleştirilen yarışmada, bulut ve yapay zeka ürünlerindeki güvenlik açıklarını bulan araştırmacılara toplam 1,6 milyon dolar ödül dağıtılmış, 600’den fazla güvenlik açığı bildirimi alınmıştı.

Bu yıl 4 Ağustos - 4 Ekim 2025 tarihleri arasında başvurular kabul edilecek. Yarışma, tüm güvenlik araştırmacılarına açık olacak ve kritik açıklar ile yüksek etkili senaryolar için yüzde 50’ye kadar ödül çarpanı uygulanacak. Öncelikli ürünler arasında Microsoft Azure, Copilot, Dynamics 365, Power Platform, Identity ve M365 yer alıyor.

Başarılı araştırmacılar, 2026 baharında Microsoft’un Redmond kampüsünde düzenlenecek canlı hacking etkinliğine davet edilecek. Etkinlikte katılımcılar, Microsoft Security Response Center ve ürün ekipleriyle doğrudan çalışacak. Yarışma sürecinde Microsoft’un AI Red Team, MSRC ve Dynamics ekipleri, yapay zeka sistem testleri, bug bounty programları ve güvenlik araştırma yöntemleri konularında eğitimler verecek.

Zero Day Quest, Microsoft’un 2023’te başlattığı Secure Future Initiative (SFI) kapsamında düzenleniyor. SFI, şirketin güvenlik kültürünü geliştirmeyi ve “varsayılan olarak güvenli” yaklaşımını benimsemeyi hedefliyor. Microsoft, yarışmadan elde edilen bulguların bulut ve yapay zeka güvenliğini artırmak için şirket genelinde paylaşılacağını belirtti.

Şirket ayrıca .NET ve ASP.NET Core açıkları için maksimum ödülü 40 bin dolara çıkarırken, Power Platform ve Dynamics 365 AI açıkları ile Microsoft Copilot güvenlik hataları için de ödülleri artırdı. Copilot açıkları için tüm bildirimlerde yüzde 100 ödül çarpanı uygulanmaya başlandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Chanel’in açıklamasına göre, yalnızca müşteri hizmetleri merkeziyle iletişime geçen bazı kişilerin isim, e-posta adresi, posta adresi ve telefon numarası gibi bilgileri etkilendi. Şirket, başka hiçbir kişisel bilginin bu veritabanında bulunmadığını ve etkilenen müşterilerin bilgilendirildiğini belirtti.

BleepingComputer’ın edindiği bilgilere göre, veriler Chanel’in Salesforce ortamından çalındı. Bu olay, ShinyHunters adlı fidye ve veri hırsızlığı grubunun yürüttüğü geniş çaplı Salesforce veri hırsızlığı saldırılarının bir parçası. Mandiant’ın raporuna göre, saldırganlar vishing (telefonla kimlik avı) yöntemleriyle çalışanlardan giriş bilgilerini alıyor veya kötü amaçlı bir OAuth uygulamasına erişim izni verdirerek Salesforce hesaplarına sızıyor.

Erişim sağlandıktan sonra, saldırganlar müşteri veritabanlarını kopyalayıp şirketleri e-posta yoluyla fidye talepleriyle tehdit ediyor. Salesforce, kendi platformunda herhangi bir güvenlik açığı bulunmadığını ve ihlallerin tamamen sosyal mühendislik yoluyla müşteri hesaplarının ele geçirilmesinden kaynaklandığını vurguladı. Şirket, tüm kullanıcıları çok faktörlü kimlik doğrulama (MFA) kullanmaya, en az ayrıcalık ilkesini uygulamaya ve bağlı uygulamaları dikkatle yönetmeye çağırdı.

ShinyHunters grubunun saldırılarından etkilenen diğer markalar arasında Adidas, Qantas, Allianz Life ve LVMH bünyesindeki Louis Vuitton, Dior ile Tiffany & Co. yer alıyor. Şu ana kadar çalınan verilerin kamuya sızdırılmadığı, şirketlerin e-posta ile tehdit edildiği bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Proton Authenticator, Windows, macOS, Linux, Android ve iOS’ta çalışan, ücretsiz ve bağımsız bir iki faktörlü kimlik doğrulama uygulaması olarak tasarlandı. Uygulama, web siteleri ve uygulamalara girişte tek kullanımlık kodlar üretmek için gerekli TOTP sırlarını saklıyor.

Sorun, bir kullanıcının Reddit’te (daha sonra silinen) paylaşımıyla gündeme geldi. Kullanıcı, bazı 2FA girişlerinin kaybolduğunu fark edip hata raporu hazırlarken uygulama günlüklerinde tüm TOTP sırlarının açıkça göründüğünü keşfetti. Hatanın, iOS sürümünde TOTP girişine ait bilgilerin bir params değişkenine eklenmesi ve bu verilerin günlük kayıtlarına dahil edilmesinden kaynaklandığı belirlendi.

Proton, hatayı doğrulayarak iOS uygulamasının 1.1.1 sürümüyle App Store’da yayımlanan güncellemede düzeltildiğini açıkladı. Şirket, sırların hiçbir zaman sunucuya şifrelenmemiş olarak iletilmediğini, tüm senkronizasyonun uçtan uca şifrelemeyle yapıldığını ve günlüklerin yalnızca cihazda tutulduğunu belirtti.

Proton ayrıca, cihaz erişimi olan bir kişinin bu günlükleri görmese bile sırları elde edebileceğini, bu nedenle cihaz güvenliğinin kullanıcı sorumluluğunda olduğunu vurguladı. Uzaktan sömürülemeyen bu hata, günlük dosyalarının paylaşılması durumunda üçüncü taraflara erişim riski oluşturuyordu. Bu veriler başka bir kimlik doğrulayıcıya aktarılarak ilgili hesaplara giriş kodu üretilebilirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Plague, analiz ve tersine mühendislik girişimlerini engellemek için anti-debugging yeteneklerine sahip. Yazılım ayrıca sabitlenmiş parolalar üzerinden gizli erişim sağlıyor, saldırgan oturumlarının izlerini gizliyor, komut geçmişini /dev/null dizinine yönlendirerek kayıtların tutulmasını engelliyor ve SSH bağlantı bilgilerini sistem ortam değişkenlerinden siliyor.

Araştırmacı Pierre-Henri Pezier, zararlı yazılımın kimlik doğrulama katmanına derinlemesine entegre olduğunu, sistem güncellemelerinden etkilenmediğini ve adli izler bırakmadığını belirtti. Çeşitli Linux dağıtımlarında farklı GCC sürümleriyle derlenmiş örnekler, yazılımın uzun süredir aktif olarak geliştirildiğini gösteriyor.

Nextron Systems, son bir yılda VirusTotal’a yüklenen çok sayıda varyantın hiçbir antivirüs yazılımı tarafından zararlı olarak işaretlenmediğini, bu durumun saldırganların faaliyetlerini tespit edilmeden sürdürebildiğini ortaya koyduğunu bildirdi.

Mayıs ayında aynı şirket, PAM altyapısını kötüye kullanarak kimlik bilgilerini çalabilen, kimlik doğrulamayı atlayabilen ve kalıcı erişim sağlayabilen başka bir zararlı yazılım keşfetmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

4L4MD4R, 27 Temmuz’da bir zararlı yazılım yükleyicisinin tespit edilmesiyle ortaya çıktı. Bu yükleyici, fidye yazılımını theinnovationfactory[.]it alan adından indirerek çalıştırıyor. Yükleyicinin, hedef cihazlarda güvenlik izleme işlevlerini devre dışı bırakmak için tasarlanmış PowerShell komutları kullandığı belirlendi.

Araştırmalara göre 4L4MD4R, GoLang ile yazılmış ve UPX ile paketlenmiş durumda. Çalıştırıldığında AES şifreli yükünü bellekte çözüyor, ayrılmış belleğe yüklüyor ve yeni bir iş parçacığında çalıştırıyor. Saldırı sonrası dosyaları şifreleyen zararlı yazılım, 0,005 Bitcoin fidye talep ediyor ve şifrelenmiş dosyaların listesi ile fidye notlarını sistemde bırakıyor.

Microsoft ve Google, ToolShell saldırılarını Çin merkezli tehdit aktörleriyle ilişkilendirdi. Microsoft, Linen Typhoon, Violet Typhoon ve Storm-2603 olarak izlenen üç devlet destekli grubun güvenlik açıklarını istismar ettiğini açıkladı.

Şimdiye kadar ABD Ulusal Nükleer Güvenlik İdaresi, Eğitim Bakanlığı, Florida Gelir İdaresi, Rhode Island Genel Kurulu ve Avrupa ile Orta Doğu’daki bazı devlet kurumlarının bu saldırılardan etkilendiği bildirildi.

ToolShell saldırıları ilk olarak Hollanda merkezli Eye Security tarafından tespit edildi. Sıfırıncı gün açıkları CVE-2025-49706 ve CVE-2025-49704 üzerinden yürütülen saldırılar, 7 Temmuz’dan itibaren hükümet, telekom ve teknoloji kuruluşlarını hedef aldı. Microsoft, Temmuz 2025 güvenlik güncellemeleriyle bu açıkları kapattığını, ayrıca yamalanmış SharePoint sunucularını etkileyen iki yeni sıfırıncı gün açığı için CVE-2025-53770 ve CVE-2025-53771 kimliklerini atadığını duyurdu.

Eye Security CTO’su Piet Kerkhofs, gerçek etkinin açıklanan rakamların üzerinde olduğunu, en az 400 sunucunun zararlı yazılımla enfekte edildiğini ve 148 kurumun uzun süreli olarak ihlal altında kalmış olabileceğini belirtti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-53770 güvenlik açığını istismar edilen açıklar listesine ekleyerek federal kurumlara 24 saat içinde sistemlerini güvenceye almaları talimatını verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Şirketin açıklamasına göre saldırganlar, AMO ekibi adına sahte e-postalar göndererek geliştirici hesaplarının erişim haklarını korumak için güncelleme yapılması gerektiğini iddia ediyor. E-postalarda genellikle “Mozilla Eklenti hesabınızın geliştirici özelliklerine erişmeye devam etmesi için güncelleme gereklidir” şeklinde ifadeler yer alıyor.

Mozilla, geliştiricilerin gelen e-postaların mozilla.org, firefox.com, mozilla.com veya bunların alt alan adlarından geldiğini doğrulamaları gerektiğini, SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama kontrollerinin geçerli olup olmadığını kontrol etmelerini tavsiye etti. Şirket ayrıca, şüpheli e-postalardaki bağlantılara tıklanmaması ve giriş bilgilerinin yalnızca resmi Mozilla veya Firefox alan adlarında girilmesi gerektiğini vurguladı.

Saldırıların ölçeği ve herhangi bir geliştirici hesabının ele geçirilip geçirilmediği henüz açıklanmadı. Ancak en az bir geliştiricinin saldırıya maruz kaldığını bildirdiği öğrenildi. Mozilla, yeni bilgiler ortaya çıktıkça güncelleme yapacağını belirtti.

Bu uyarı, geçen ay Mozilla Add-ons Operasyon ekibinin kripto para cüzdanlarını boşaltmaya yönelik kötü amaçlı Firefox uzantılarını engellemeyi hedefleyen yeni bir güvenlik özelliğini duyurmasının ardından geldi. Mozilla Add-ons Operasyon Müdürü Andreas Wagner, son yıllarda yüzlerce kötü amaçlı eklentiyi kaldırdıklarını ve siber saldırganların geçen yıl bu yöntemle 494 milyon dolar değerinde kripto para çaldığını açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Cloudflare Email Security ekibinin tespitlerine göre, saldırganlar Proofpoint ve Intermedia tarafından korunan e-posta hesaplarını ele geçirerek, zararlı bağlantıları bu hizmetlerin güvenli görünen URL’leri aracılığıyla iletti. Bağlantılar, zincirleme yönlendirmeler ve URL kısaltma servisleriyle gizlenerek kullanıcıların oltalama sitelerine ulaşması sağlandı.

Araştırmacılar, saldırıların sahte sesli mesaj bildirimleri veya Microsoft Teams üzerinde paylaşılan belgeler gibi görünümlerle yürütüldüğünü aktardı. Yönlendirme zincirinin sonunda, kullanıcıların giriş bilgilerini ele geçirmek için tasarlanmış Microsoft Office 365 oltalama sayfaları yer aldı.

Intermedia hizmetinin kötüye kullanıldığı vakalarda ise saldırganlar, “Zix” güvenli mesaj bildirimleri veya yeni bir Teams mesajı bildirimi gibi e-postalar gönderdi. Bu e-postalarda yer alan ve Intermedia tarafından sarılmış görünen bağlantılar, Constant Contact platformu üzerinden barındırılan oltalama sayfalarına yönlendirdi.

Cloudflare, meşru görünen bağlantıların saldırı başarısını artırdığını, link-wrapping özelliğinin bu şekilde istismar edilmesinin ise oltalama yöntemlerinde yeni bir gelişme olduğunu vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açıklamaya göre, bazı art niyetli kişilerin yardım başvurusu bahanesiyle vatandaşlardan kimlik ve banka bilgileri talep ettiği, sahte formlar aracılığıyla hesap açtırmaya çalıştıkları belirlendi. Bu girişimlerin dolandırıcılık amacı taşıdığı ve resmi kurumlarla hiçbir bağlantısının olmadığı ifade edildi.

Başvuruların sadece www.kayseri.bel.tr adresi üzerinden yapılabileceği hatırlatıldı. İhtiyaç sahibi vatandaşlar, internet sitesindeki “Online Hizmetler” menüsünde yer alan “Kırtasiye Yardımı” bölümü üzerinden 1 Ağustos – 17 Ağustos 2025 tarihleri arasında başvuru gerçekleştirebilecek.

Belediye, vatandaşların telefon, kısa mesaj veya sosyal medya yoluyla yapılan yönlendirmelere itibar etmemeleri gerektiğini belirtti. Şüpheli durumlarla karşılaşılması halinde ise vakit kaybetmeden emniyet birimlerine başvurulması çağrısı yapıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Lenovo, belirli hepsi bir arada (All-in-One) masaüstü bilgisayar modellerinde bulunan ve Secure Boot mekanizmasını aşmaya imkân tanıyan altı yüksek önem derecesine sahip BIOS açığını kapatmak amacıyla yeni firmware güncellemeleri yayımladı.

Güvenlik Açıklarının Kaynağı ve Etkisi

Açıklar, Lenovo için Insyde tarafından özelleştirilen InsydeH2O UEFI firmware kodlarında bulunuyor. Saldırganlar için büyük tehlike arz eden bu açıklar, işletim sistemi yüklenmeden önce çalışan ve yüksek kalıcılığa sahip System Management Mode (SMM) katmanında yer alıyor. Bu sayede, kötü niyetli kişiler sisteme derinlemesine erişim sağlayabiliyor.

Etkilenen Modeller

• IdeaCentre AIO 3 24ARR9
• IdeaCentre AIO 3 27ARR9
• Yoga AIO 27IAH10
• Yoga AIO 32ILL10
• Yoga AIO 32IRH8

Tespit Edilen Güvenlik Açıkları ve CVSS Puanları

• CVE-2025-4421: Doğrulanmamış RSI kaydı ile SMRAM belleğe yazım yapılabiliyor. (CVSS: 8.2)
• CVE-2025-4422: SMM bellekte bozulmaya yol açan işleyici açığı. (CVSS: 8.2)
• CVE-2025-4423: SMM içerisinde keyfi bellek yazımı ile kod çalıştırma. (CVSS: 8.2)
• CVE-2025-4424: Yanıltıcı girişlerle firmware ayarlarının değiştirilmesi. (CVSS: 6.0)
• CVE-2025-4425: Stack buffer overflow ile SMM yetki yükselmesi ve kod çalıştırma. (CVSS: 8.2)
• CVE-2025-4426: SMRAM içeriğinin sızdırılması yoluyla hassas veri açığa çıkması. (CVSS: 6.0)

Bildirim ve Koordinasyon Süreci

Binarly güvenlik araştırma firması, bu açıkları 8 Nisan 2025 tarihinde Lenovo’ya bildirdi. Lenovo, 16 Haziran’da durumu doğruladı ve 90 günlük koordineli açıklama sürecinin ardından 29 Temmuz 2025’te kamuoyuna duyurdu.

Güncellemeler ve Tavsiyeler

IdeaCentre AIO 3 modelleri için O6BKT1AA firmware sürümü yayımlandı ve kullanıcılara en kısa sürede güncelleme yapmaları öneriliyor. Yoga AIO modelleri için güncellemeler henüz yayımlanmadı; Lenovo, bu yamaların 30 Eylül – 30 Kasım 2025 tarihleri arasında sunulacağını bildirdi.

Insyde tarafından yapılan açıklamada, bu açıkların sadece Lenovo için geliştirilmiş özelleştirilmiş InsydeH2O firmware sürümlerinde bulunduğu, tüm InsydeH2O kullanan sistemlerin etkilenmediği vurgulandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Apple, Chrome kullanıcılarını hedef alan ve CVE-2025-6558 numarasıyla izlenen yüksek riskli sıfır gün güvenlik açığını düzeltmek amacıyla kapsamlı güncellemeler yayımladı. Bu açık, Apple’ın çoğu platformunu etkileyen ANGLE (Almost Native Graphics Layer Engine) adlı grafik soyutlama katmanında tespit edildi.

Açığın Detayları ve Riskleri

ANGLE bileşeni, OpenGL ES API çağrılarını Direct3D, Metal, Vulkan ve OpenGL gibi grafik API’lerine dönüştürür. CVE-2025-6558, özel hazırlanmış HTML sayfaları aracılığıyla tarayıcının GPU sürecinde rastgele kod çalıştırılmasına imkân veriyor. Bu da tarayıcı sandbox güvenlik sınırlarının aşılmasına ve sistem üzerinde potansiyel tam kontrol sağlanmasına yol açabiliyor.

Keşif ve Yama Süreci

Google Tehdit Analiz Grubu (TAG) araştırmacıları Vlad Stolyarov ve Clément Lecigne tarafından Haziran 2025’te keşfedilen açık, 15 Temmuz’da Chrome ekibine bildirildi ve hızla yamalandı. Google, bu açığın devlet destekli tehdit aktörleri tarafından aktif şekilde kullanıldığını doğruladı.

Apple’ın Güncellemeleri

• iOS 18.6 ve iPadOS 18.6: iPhone XS ve sonrası, çeşitli iPad Pro, iPad Air ve iPad mini modelleri
• macOS Sequoia 15.6
• iPadOS 17.7.9: iPad Pro 12.9 inç 2. nesil, 10.5 inç modeli ve iPad 6. nesil
• tvOS 18.6: Apple TV HD ve tüm Apple TV 4K modelleri
• visionOS 2.6: Apple Vision Pro
• watchOS 11.6: Apple Watch Series 6 ve sonrası

Apple, güncellemeye ilişkin açıklamasında “Kötü amaçlı web içeriğinin işlenmesi, Safari’nin beklenmedik şekilde çökmesine neden olabilir” ifadelerini kullandı ve açığın yalnızca Apple yazılımlarında değil, aynı zamanda açık kaynak projelerde de bulunduğunu belirtti.

CISA’dan Zorunlu Güncelleme Talimatı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-6558 açığını aktif olarak istismar edilen güvenlik açıkları listesine ekleyerek federal kurumlara 12 Ağustos 2025’e kadar yama uygulamalarını zorunlu kıldı. Ayrıca, tüm sistem yöneticilerine de öncelikli olarak bu açığın kapatılması çağrısı yapıldı.

Apple’ın 2025’te Düzeltmediği Diğer Sıfır Gün Açıkları

2025 yılı başından itibaren Apple tarafından halen yamalanmamış olan diğer kritik sıfır gün açıkları şunlardır:

• CVE-2025-24085 (Ocak 2025)
• CVE-2025-24200 (Şubat 2025)
• CVE-2025-24201 (Mart 2025)
• CVE-2025-31200 ve CVE-2025-31201 (Nisan 2025)

Kaynak: CUMHA - CUMHUR HABER AJANSI

Uluslararası düzeyde bankacılık sistemlerine yönelik siber saldırılarıyla tanınan LightBasin (UNC2891) grubu, fiziksel erişim sağladığı bir bankada sofistike bir hibrit saldırı gerçekleştirdi. Grup, ATM ağına bağlı bir ağ anahtarına 4G modemli Raspberry Pi cihazı yerleştirerek güvenlik duvarlarını aşmayı ve iç ağa kalıcı uzaktan erişim sağlamayı başardı.

Saldırı Tespiti ve Amaç

Group-IB güvenlik firması, bankanın ağında tespit ettiği şüpheli trafik üzerine yaptığı incelemede bu saldırıyı ortaya çıkardı. Saldırının hedefi, ATM işlemlerini taklit ederek haksız nakit para çekimi gerçekleştirmekti.

TinyShell ile Gizli Komuta Kontrol (C2) Bağlantısı

Saldırganlar, Raspberry Pi cihazını TinyShell adlı açık kaynaklı arka kapı yazılımı ile komuta ve kontrol (C2) merkezi olarak yapılandırdı. Cihaz, 4G bağlantısıyla dış dünya ile gizli iletişim kurdu.

Ağda yatay hareketler gerçekleştirilerek Banka'nın Ağ İzleme Sunucusu’na ve ardından doğrudan internet erişimi bulunan E-posta Sunucusu’na erişildi. Böylece saldırganlar iç ağda kalıcı ve geniş kapsamlı erişim sağladı.

İleri Teknikler ve Gizlenme Yöntemleri

Zararlı yazılımlar, Linux sistemlerinde yaygın olan “LightDM” ekran yöneticisine benzer şekilde “lightdm” ismiyle kaydedilerek tespit edilmekten kaçınıldı. Ayrıca tmpfs ve ext4 dosya sistemleri kullanılarak zararlı süreçlerin /proc/[pid] yollarına bağlanması sağlandı; bu teknik adli analiz araçlarının işlem geçmişini görmesini engelledi.

Son Hedef: Caketap Rootkit

LightBasin’in nihai hedefi, Oracle Solaris tabanlı sistemlere Caketap adlı özel rootkit’i kurmaktı. Bu rootkit, ödeme sistemlerindeki HSM (Hardware Security Module) yanıtlarını manipüle ederek reddedilen işlemlerin onaylanmış gibi görünmesini sağlıyordu.

Ancak saldırganlar bu amaca ulaşamadan tespit edildi. Group-IB uzmanları, başarılı olsaydı büyük maddi kayıplar ve ciddi güvenlik ihlalleri yaşanabileceğini vurguladı.

Fiziksel Sızma Şüpheleri ve Ağ İletişimi

Saldırganların bankanın şubesine fiziksel erişim sağlayıp sağlamadığı veya bir içeriden destek alıp almadığı henüz kesinleşmedi. Ağ izleme sunucusunun her 600 saniyede bir, Raspberry Pi cihazına 929 numaralı port üzerinden veri gönderdiği belirlendi; bu da cihazın ağda pivot noktası olarak kullanıldığını gösteriyor.

LightBasin Grubunun Geçmişi

2016’dan beri finans ve telekom sektörlerine yönelik karmaşık siber operasyonlar yürüten LightBasin, Unix sistemleri ve mobil ağ altyapılarına yönelik çok sayıda saldırı gerçekleştirmiş gelişmiş bir tehdit aktörüdür.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber saldırganlar, WordPress’in yaygın kullanılan Alone temasında tespit edilen CVE-2025-5394 kodlu kritik açığı aktif şekilde istismar ediyor. Bu zafiyet, uzaktan kimlik doğrulaması olmadan rastgele dosya yüklenmesine ve siteye tam erişim sağlanmasına yol açıyor.

Saldırı Yöntemi ve Etkileri

Wordfence tarafından tespit edilen saldırılar, Alone temasının alone_import_pack_install_plugin() işlevindeki güvenlik kontrol eksikliğinden kaynaklanıyor. Bu işlev, WordPress’teki wp_ajax_nopriv_ kancası aracılığıyla yetkisiz kullanıcıların dış URL’lerden eklenti kurmasına izin veriyor.

Saldırganlar, bu açığı kullanarak şifre korumalı PHP arka kapılar, ZIP arşivlerine gizlenmiş web shell’ler veya veritabanına erişim sağlayan dosya yöneticileri yüklüyor. Ayrıca, gizli yönetici hesapları oluşturularak kalıcı erişim sağlanıyor.

İstatistikler ve Tespit Edilen Saldırılar

Wordfence, açığın kamuya açıklanmasından önce saldırıların başladığını ve şu ana kadar 120 binden fazla istismar girişiminin engellendiğini açıkladı. Saldırı belirtileri arasında yeni yönetici kullanıcıların oluşması, şüpheli ZIP dosyaları ve olağandışı admin-ajax.php?action=alone_import_pack_install_plugin HTTP istekleri yer alıyor.

Engellenmesi Önerilen IP Adresleri

• 193.84.71.244
• 87.120.92.24
• 146.19.213.18
• 2a0b:4141:820:752::2

Sistem yöneticilerinin bu IP adreslerini engellemesi öneriliyor.

Yama ve İletişim Problemi

Alone temasının 7.8.3 ve önceki sürümleri saldırıya açık durumda. Geliştirici Bearsthemes, 16 Haziran 2025’te 7.8.5 sürümüyle açığı yamaladı. Ancak Wordfence, ilk bildirimi 30 Mayıs’ta yapmasına rağmen geliştiriciden yanıt alamadığı için durumu 12 Haziran’da Envato Market ekibine iletmek zorunda kaldı.

Temanın Kullanım Alanları ve Benzer Olaylar

Alone teması, Envato pazarında yaklaşık 10 bin satışa sahip olup, özellikle yardım kuruluşları, sivil toplum örgütleri ve bağış platformları tarafından tercih ediliyor.

Geçen ay, Motors adlı başka bir popüler WordPress temasında da kullanıcı doğrulama açığı kullanılarak site yöneticisi hesapları ele geçirilmişti.

Uzmanlar, WordPress kullanıcılarını temaların yanı sıra eklenti ve çekirdek bileşenleri düzenli olarak güncellemeleri konusunda uyarıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

SafePay adlı fidye yazılımı grubu, küresel bilgi teknolojileri distribütörü Ingram Micro’nun sistemlerinden ele geçirildiği iddia edilen 3,5 terabaytlık veriyi sızdırma tehdidinde bulundu. Grup, şirket verilerini karanlık ağdaki sızıntı portalında yayımlamayı planladığını açıkladı.

Ingram Micro; donanım, yazılım, bulut hizmetleri, lojistik ve eğitim alanlarında dünya çapında bayilere ve yönetilen hizmet sağlayıcılarına çözümler sunan çok uluslu bir teknoloji şirketidir.

Olayın Gelişimi

İlk bildirim 5 Temmuz’da yapılmış, SafePay grubunun saldırının arkasında olduğu bilgisi paylaşılmıştı. Ancak saldırı grubu, taahhüdünü resmi olarak bu hafta başında doğruladı.

SafePay, kurban sistemleri şifrelemeden önce hassas verileri ele geçirip ödeme alınmadığı takdirde bunları yayımlamakla bilinen bir fidye grubu. 2024 Eylül’den beri 260’tan fazla kurbanı karanlık ağda listeliyor.

Etkiler ve Şirketin Yanıtı