Sosyal medya ve teknoloji platformlarında paylaşılan örneklerde, Tesla’nın araçları uzaktan uyandırabildiği, yazılım yükleyebildiği ve bazı özellikleri devre dışı bırakabildiği öne sürüldü. Bu müdahalelerin, özellikle yetkisiz yazılım kullanımı veya güvenlik gerekçeleriyle yapıldığı ifade edildi.

“Haklı gerekçelerle müdahale edildi” değerlendirmesi
Paylaşımlarda, Tesla’nın bazı durumlarda güvenlik veya kullanım ihlalleri nedeniyle uzaktan işlem yaptığı belirtildi. Daha önce ikinci el bir Tesla aracında aktif olan sürüş destek özelliklerinin şirket tarafından devre dışı bırakıldığı iddiası, bu tartışmalara örnek olarak gösterildi.

Benzer şekilde, Powerwall batarya sistemleriyle ilgili bir davada, şirketin bazı cihazlara uzaktan erişerek batarya seviyesini düşürdüğü iddiası da gündeme geldi. Konuya ilişkin dava dosyasında bu müdahalelerin yer aldığı ifade edildi.

Kadırov iddiası dikkat çekti
Çeçen lider Ramzan Kadırov’un, silah monte edildiğini belirttiği Cybertruck aracının Tesla tarafından uzaktan devre dışı bırakıldığını iddia etmesi de tartışmaları büyüttü. Bu iddia bağımsız kaynaklarca doğrulanmazken, olay yazılım tabanlı araçların kontrol yetkileri açısından örnek gösterildi.

“Yazılım tanımlı araç” kavramı tartışılıyor
Uzmanlar, Tesla gibi üreticilerin geliştirdiği “yazılım tanımlı araç” modelinin, araç üzerindeki kontrolün kısmen üreticide kalmasına yol açtığını belirtti. OTA altyapısının sürekli aktif olması nedeniyle, araçların sensör, batarya ve sürüş sistemlerinin uzaktan güncellenebildiği ifade edildi.

Batarya yönetim sistemlerinin de yazılım kontrollü olduğuna dikkat çeken bazı değerlendirmelerde, teorik olarak kötü niyetli müdahalelerin risk oluşturabileceği öne sürüldü. Ancak bu tür senaryoların gerçekleştiğine dair doğrulanmış bir vaka bulunmadığı da vurgulandı.

Güvenlik ve etik tartışması büyüyor
Uzaktan müdahale yetkisi, bir yandan güvenlik açıklarını kapatma ve yasa dışı kullanımı önleme avantajı sağlarken, diğer yandan kullanıcı hakları ve kontrol sınırları konusunda soru işaretleri doğuruyor. Uzmanlar, bu tür sistemlerin daha şeffaf ve denetlenebilir olması gerektiğini ifade etti.

Ajans Expres Gazetesi

Polis tarafından yapılan açıklamada, saldırının kurumun Güvenlik Operasyon Merkezi (SOC) tarafından kısa sürede tespit edildiği ve gerekli önlemlerin hızla alındığı ifade edildi. Açıklamada,
“Polis bir kimlik avı saldırısının hedefi oldu. Olay çok hızlı şekilde tespit edildi ve erişim derhal engellendi.” denildi.

“Vatandaş verilerine erişim yok”

Yetkililer, olayın etkilerine ilişkin değerlendirmede bulunarak,
“Etkiler hâlen inceleniyor ancak sınırlı görünüyor. Vatandaş verileri ve soruşturma bilgilerine erişilmedi.” açıklamasını yaptı.

Polis ayrıca olayla ilgili cezai soruşturma başlatıldığını ve teknik incelemelerin sürdüğünü duyurdu.

Detaylar henüz paylaşılmadı

Yetkililer, saldırının hangi sistemleri hedef aldığı, olayın tam olarak ne zaman gerçekleştiği ve herhangi bir personel verisinin etkilenip etkilenmediği konusunda henüz detay paylaşmadı.

Basın tarafından yöneltilen sorulara da ek bilgi verilmediği bildirildi.

Önceki saldırılar dikkat çekiyor

Hollanda polisi, daha önce de Eylül 2024’te devlet destekli olduğu değerlendirilen bir siber saldırıyla gündeme gelmişti. Bu olayda, çok sayıda polis personeline ait isim, e-posta, telefon ve bazı özel bilgilerin sızdırıldığı açıklanmıştı.

Söz konusu veri ihlaline ilişkin yürütülen kapsamlı incelemenin hâlen devam ettiği ve saldırının yöntemi ya da sorumlularına ilişkin resmi bir açıklama yapılmadığı belirtildi.

Güvenlik önlemleri artırıldı

Önceki saldırıların ardından kurumun, sistemlerini daha güvenli hale getirmek için yeni önlemler aldığı aktarıldı. Bu kapsamda:

• Sistemlerin sürekli izlenmesi

• Şüpheli aktivitelerin anlık takibi

• Personel hesaplarında daha sık iki faktörlü kimlik doğrulama uygulanması

gibi adımların devreye alındığı ifade edildi.

Yetkililer, son olayın ardından da benzer güvenlik tedbirlerinin gözden geçirildiğini ve sürecin yakından takip edildiğini vurguladı.

Ajans Expres Gazetesi

Konuya ilişkin açıklama yapan bir AWS sözcüsü,
“AWS herhangi bir güvenlik olayı yaşamadı ve hizmetlerimiz tasarlandığı şekilde çalıştı.” ifadelerini kullandı.

Kaynaklar, saldırının kısa sürede tespit edildiğini ve Komisyonun siber olay müdahale ekibinin inceleme başlattığını aktardı.

“350 GB’tan fazla veri ele geçirildi”

Saldırıyı üstlenen tehdit aktörü, ele geçirdiğini iddia ettiği verilere ilişkin şu bilgileri paylaştı:
“350 GB’tan fazla veri elde edildi ve bu veriler arasında çok sayıda veritabanı bulunuyor.”

Saldırganın, Avrupa Komisyonu çalışanlarına ait bilgiler ve bir e-posta sunucusuna erişimi gösteren ekran görüntülerini kanıt olarak sunduğu belirtildi.

Aynı kişi, elde edilen veriler üzerinden fidye talebinde bulunmayacağını, ancak verileri ilerleyen süreçte internet üzerinden yayımlamayı planladığını ifade etti.

Saldırı yöntemi belirsizliğini koruyor

Yetkililer, saldırının nasıl gerçekleştirildiğine dair henüz teknik detay paylaşmadı. Olayın, doğrudan AWS altyapısından kaynaklanmadığı, daha çok hesap erişim bilgilerinin ele geçirilmesi ihtimali üzerinde durulduğu değerlendirildi.

Avrupa kurumları art arda hedef alınıyor

Avrupa Komisyonu, Şubat ayında da bir güvenlik ihlalini kamuoyuna açıklamıştı. 30 Ocak’ta tespit edilen olayda, çalışan cihazlarının yönetildiği platformun hacklendiği duyurulmuştu.

Söz konusu saldırının, Ivanti Endpoint Manager Mobile (EPMM) yazılımındaki açıkları hedef alan ve Hollanda Veri Koruma Kurumu ile Finlandiya Maliye Bakanlığına bağlı Valtori gibi kurumları da etkileyen saldırılarla bağlantılı olabileceği belirtilmişti.

Yeni düzenlemeler gündemde

Yaşanan son gelişmeler, Avrupa Komisyonu’nun 20 Ocak’ta sunduğu yeni siber güvenlik yasa teklifi ile aynı döneme denk geldi. Söz konusu düzenlemenin, devlet destekli saldırılar ve siber suç gruplarına karşı Avrupa’nın kritik altyapılarını güçlendirmeyi hedeflediği ifade edildi.

Öte yandan, Avrupa Birliği Konseyi’nin geçtiğimiz hafta kritik altyapılara yönelik siber saldırılar nedeniyle Çin ve İran merkezli üç şirkete yaptırım uyguladığı hatırlatıldı.

Ajans Expres Gazetesi

Application security firması Socket tarafından yayımlanan raporda, saldırının organize ve otomatik bir operasyon olduğu vurgulandı. Sahte içeriklerin, GitHub’daki “Discussions” (Tartışmalar) bölümüne kısa sürede binlerce depo üzerinde yayıldığı belirtildi.

“Gerçek uyarı gibi görünüyor”

Araştırmacılar, saldırganların paylaşımlarında şu tür başlıklar kullandığını aktardı:
“Severe Vulnerability - Immediate Update Required.”

Bu paylaşımlarda sahte CVE numaraları, aciliyet vurgusu ve bazı durumlarda gerçek geliştiricilerin kimliğine bürünme gibi yöntemlerle güven oluşturulmaya çalışıldığı ifade edildi.

Socket araştırmacıları, kampanyanın boyutuna dikkat çekerek,
“Binlerce depoda neredeyse aynı içeriklerin paylaşılması, bunun izole bir olay değil, koordineli bir spam ve zararlı yazılım dağıtım operasyonu olduğunu gösteriyor.” değerlendirmesinde bulundu.

E-posta bildirimleri üzerinden yayılıyor

GitHub Discussions özelliğinin, takipçilere ve katılımcılara otomatik e-posta bildirimleri göndermesi, saldırının etkisini artıran önemli bir unsur olarak öne çıktı. Bu sayede sahte uyarıların doğrudan geliştiricilerin e-posta kutularına ulaştığı belirtildi.

Paylaşımlarda, sözde güncellenmiş VS Code eklentileri için Google Drive bağlantıları yer aldı. Uzmanlar, bu durumun kullanıcılar için yanıltıcı olabileceğini belirterek,
“Google Drive güvenilir bir platform olarak bilinse de resmi yazılım dağıtım kanalı değildir.” uyarısını yaptı.

Çok aşamalı saldırı zinciri

Zararlı bağlantıya tıklayan kullanıcıların, çerez tabanlı yönlendirme ile drnatashachinn[.]com adresine yönlendirildiği tespit edildi. Burada çalışan JavaScript kodunun:

• Zaman dilimi

• Dil ayarları

• İşletim sistemi bilgisi

• Tarayıcı verileri

gibi bilgileri topladığı ve saldırgan sunucularına gönderdiği aktarıldı.

Araştırmacılar, bu aşamanın bir trafik yönlendirme sistemi (TDS) olarak kullanıldığını ve yalnızca gerçek hedeflere ikinci aşama zararlı yükün iletildiğini belirtti.

“Resmî kaynaklardan doğrulama şart”

Uzmanlar, benzer saldırıların daha önce de GitHub üzerinden gerçekleştirildiğini hatırlatarak, geliştiricilere şu uyarıda bulundu:
“Güvenlik uyarılarıyla karşılaşıldığında, CVE kayıtları mutlaka NVD, CISA veya MITRE gibi resmî kaynaklardan doğrulanmalıdır.”

Araştırmacılar ayrıca, harici indirme bağlantıları, doğrulanamayan açık numaraları ve toplu etiketlemeler gibi işaretlerin dikkatle incelenmesi gerektiğini vurguladı.

Ajans Expres Gazetesi

Aikido, Socket ve Endor Labs araştırmacıları, saldırganların Telnyx paketinin 4.87.1 ve 4.87.2 sürümlerine arka kapı yerleştirdiğini tespit etti. Söz konusu paketin, aylık 740 binden fazla indirme sayısına sahip olması, tehdidin geniş bir geliştirici kitlesini etkileyebileceğine işaret etti.

“Zararlı kod ses dosyasına gizlendi”

Araştırmacılar, saldırının teknik detaylarına ilişkin şu bilgileri paylaştı:
“Zararlı yük, WAV dosyasının veri çerçeveleri içine steganografi yöntemiyle gizlendi. Ses dosyasının yapısı bozulmadan, kötü amaçlı kod sistemde çalıştırılabiliyor.”

Uzmanlar, bu yöntemin tespit edilmesini zorlaştırdığına dikkat çekerek, zararlı kodun XOR tabanlı bir çözme tekniğiyle bellek içinde çalıştırıldığını ifade etti.

Geliştirici ortamları hedef alındı

Saldırı kapsamında, zararlı kodun ‘telnyx/_client.py’ dosyası üzerinden otomatik olarak tetiklendiği ve kütüphane içe aktarıldığında devreye girdiği belirtildi. Bu sayede, uygulama normal şekilde çalışmaya devam ederken arka planda veri sızıntısı gerçekleşti.

Linux ve macOS sistemlerde zararlı yazılımın:

• SSH anahtarlarını

• Kimlik bilgilerini

• Bulut erişim token’larını

• Kripto para cüzdanlarını

• Ortam değişkenlerini

topladığı bildirildi.

Windows sistemlerde ise farklı bir yükün indirilerek başlangıç klasörüne yerleştirildiği ve kalıcılık sağladığı kaydedildi.

Kubernetes sistemlerine sızma girişimi

Araştırmada, zararlı yazılımın Kubernetes ortamlarını da hedef aldığı belirtildi. Buna göre zararlı kodun,
“Kubernetes küme gizli verilerini tespit ederek ayrıcalıklı pod’lar dağıttığı ve ana sistemlere erişim sağlamaya çalıştığı.” aktarıldı.

Hesap ele geçirilmiş olabilir

Uzmanlar, saldırının büyük olasılıkla PyPI üzerindeki yayıncı hesabının ele geçirilmesiyle gerçekleştirildiğini değerlendirdi. İlk olarak yayımlanan 4.87.1 sürümünün hatalı olduğu, saldırganların kısa süre içinde 4.87.2 sürümüyle zararlı yükü düzelttiği ifade edildi.

Güvenlik araştırmacıları, 4.87.0 sürümünün güvenli olduğunu vurgulayarak geliştiricilere şu uyarıyı yaptı:
“Eğer sistemlerinizde zararlı sürümler çalıştırıldıysa, bu sistemler tamamen ele geçirilmiş kabul edilmelidir. Tüm kimlik bilgileri ve erişim anahtarları derhal değiştirilmelidir.”

Ajans Expres Gazetesi

Malwarebytes araştırmacıları tarafından analiz edilen saldırının, ClickFix adı verilen sosyal mühendislik tekniğiyle gerçekleştirildiği belirtildi. Söz konusu yöntemde, kullanıcıya Cloudflare insan doğrulaması taklit edilerek sahte bir CAPTCHA ekranı gösteriliyor ve Terminal’e komut yapıştırması isteniyor.

“Gerçek bir macOS uygulaması gibi çalışıyor”

Araştırmacılar, zararlı yazılımın teknik yapısına ilişkin şu bilgileri paylaştı:
“Nihai yük Python ile yazılıyor ve Nuitka kullanılarak derlenerek yerel bir macOS ikili dosyasına dönüştürülüyor. Bu durum, analiz edilmesini ve tespit edilmesini zorlaştırıyor.”

Nuitka’nın Python kodunu C diline çevirerek gerçek bir yerel uygulama oluşturduğu, bu sayede klasik yöntemlere göre tersine mühendisliğin daha zor hale geldiği ifade edildi.

Saldırı zinciri nasıl işliyor

Saldırının, update-check[.]com alan adı üzerinden başlatıldığı ve kullanıcıya sahte bir doğrulama adımı sunulduğu belirtildi. Kullanıcıdan, base64 ile gizlenmiş bir curl komutunu Terminal’e yapıştırması isteniyor.

Bu komutun çalıştırılmasıyla birlikte:

• İkinci aşama zararlı yük sistemin geçici dizinine yazılıyor

• Karantina bayrağı kaldırılıyor

• Zararlı yazılım arka planda çalıştırılıyor

• Komuta kontrol (C2) bilgileri iletiliyor

• İzleri silmek için Terminal kapatılıyor

Son aşamada çalışan Infinity Stealer, sistemde veri toplamaya başlamadan önce sanal ortam ve analiz araçlarını tespit etmeye yönelik kontroller gerçekleştiriyor.

Kritik verileri hedef alıyor

Zararlı yazılımın, kullanıcı sisteminden çok sayıda hassas veriyi toplayabildiği tespit edildi. Bunlar arasında:

• Chromium tabanlı tarayıcılar ve Firefox’tan kimlik bilgileri

• macOS Keychain verileri

• Kripto para cüzdanları

• Geliştirici dosyalarındaki (.env) açık metin bilgiler

Toplanan verilerin HTTP POST istekleriyle saldırgan sunucularına gönderildiği, ayrıca işlem tamamlandığında saldırganlara Telegram üzerinden bildirim iletildiği aktarıldı.

“Terminal komutlarına dikkat”

Malwarebytes uzmanları, macOS platformuna yönelik tehditlerin giderek daha karmaşık hale geldiğine dikkat çekerek,
“Kullanıcılar, internetten gördükleri ve tam olarak anlamadıkları komutları Terminal’e yapıştırmamalıdır.” uyarısında bulundu.

Araştırmacılar, bu tür saldırıların artmasının, macOS sistemlerin de artık daha yoğun ve hedefli siber tehditlerle karşı karşıya olduğunu gösterdiğini vurguladı.

Ajans Expres Gazetesi

Güvenlik araştırmacısı Dmitrii Ignatyev tarafından keşfedilen açık, eklentinin 3.5.1.33 ve önceki tüm sürümlerini kapsıyor. Açığın, eklentideki AJAX tabanlı dışa aktarma işlemlerinde yetki kontrolünün eksik olmasından kaynaklandığı ifade edildi.

“Herhangi bir dosya türü okunabiliyor”

WordPress güvenlik firması Defiant bünyesinde görev yapan araştırmacı István Márton, açığın teknik boyutuna ilişkin şu değerlendirmeyi yaptı:
“Bu fonksiyon, güvenlik açığı bulunan sürümde herhangi bir dosya türü ya da kaynak kontrolü içermiyor. Bu durum yalnızca görsellerin değil, .php dosyalarının da dışa aktarılabilmesine neden oluyor.”

Márton, bu zafiyetin sonuçlarına dikkat çekerek,
“Bu açık, düşük yetkili kullanıcıların bile sunucudaki herhangi bir dosyayı okuyabilmesini mümkün kılıyor. Özellikle wp-config.php dosyasına erişim, veritabanı kimlik bilgileri ve kriptografik anahtarların ele geçirilmesi anlamına geliyor.” ifadelerini kullandı.

500 binden fazla site risk altında

Smart Slider 3 eklentisinin dünya genelinde 800 binden fazla aktif kurulumda kullanıldığı belirtilirken, WordPress istatistiklerine göre en az 500 bin sitenin hâlâ güncellenmemiş ve savunmasız olduğu kaydedildi.

Açık, 23 Şubat’ta raporlanmasının ardından geliştirici firma Nextendweb tarafından 2 Mart’ta doğrulandı. Soruna yönelik düzeltme ise 24 Mart’ta yayımlanan 3.5.1.34 sürümüyle kullanıma sunuldu.

Uzmanlar, açığın henüz aktif olarak istismar edildiğine dair bir bulgu olmadığını ancak durumun hızla değişebileceğini vurguladı. Güvenlik araştırmacıları, site yöneticilerine yönelik olarak
“Güncellemelerin geciktirilmesi, veri ihlali ve site ele geçirilmesi riskini artırır.” uyarısında bulundu.

Ajans Expres Gazetesi

Kurbanların bilgisayarına erişim sağlamak için saldırganlar Quick Assist uzaktan erişim aracını kullanıyor ve bu oturum üzerinden dijital olarak imzalanmış MSI yükleyiciler aracılığıyla A0Backdoor malware paketini kuruyor. Bu yükleyiciler, Microsoft Teams bileşenleri ve Phone Link uygulamasının CrossDeviceService aracı olarak maskeleniyor.

DLL Sideloading ve Shellcode Kullanımı

Kötü amaçlı kütüphane hostfxr.dll, meşru Microsoft ikili dosyalarıyla birlikte yüklenerek DLL sideloading yöntemiyle çalıştırılıyor. Belleğe yüklendiğinde, kütüphane şifrelenmiş veya sıkıştırılmış veriyi çözüp shellcode yürütüyor. Shellcode, sanal ortam ve sandbox kontrolleri yapıyor, ardından SHA-256 tabanlı bir anahtar oluşturup AES ile şifrelenmiş A0Backdoor’u belleğe çıkarıyor.

Malware, çekirdek rutinlerini çözüp Windows API çağrıları (DeviceIoControl, GetUserNameExW, GetComputerNameW) kullanarak sistem bilgisini topluyor ve hedef cihazı tanımlıyor.

Komut ve Kontrol İletişimi DNS Üzerinden Gizleniyor

A0Backdoor, C2 (Command-and-Control) iletişimini DNS MX kayıtları üzerinden gerçekleştiriyor. Kötü amaçlı yazılım, yüksek entropili alt alan adlarıyla şifrelenmiş meta veriyi genel recursive DNS sunucularına gönderiyor. Sunucular, MX kayıtlarıyla şifrelenmiş komut verilerini geri iletiyor. BlueVoyant, bu yöntemin TXT tabanlı DNS tünelleme kontrollerinden kaçınmak için kullanıldığını belirtiyor.

Hedefler ve Bağlantılar

Araştırmacılar, kampanyanın hedefleri arasında Kanada’daki bir finans kuruluşu ve uluslararası bir sağlık kuruluşu olduğunu açıkladı. Rapor, kampanyanın BlackBasta fidye yazılım grubunun taktik ve tekniklerinin evrimleşmiş bir versiyonu olabileceğini öne sürüyor. Daha önce BlackBasta grubu iç sohbet kayıtlarının sızdırılması sonrası dağılmıştı.

BlueVoyant, imzalı MSI’ler, kötü amaçlı DLL’ler, A0Backdoor payload’u ve DNS MX tabanlı C2 iletişiminin bu kampanyada yeni öğeler olduğunu vurguladı.

Ajans Expres Gazetesi

Hollandalı yetkililer, saldırıların büyük ölçüde kimlik avı (phishing) ve sosyal mühendislik tekniklerine dayandığını ve uygulamaların meşru kimlik doğrulama özelliklerinin kötüye kullanıldığını belirtti. Bu yöntemle saldırganların hedef hesaplara erişim sağlayarak yeni mesajları gizlice takip edebildiği kaydedildi.

Signal tarafından yapılan açıklamada ise platformun altyapısı veya uçtan uca şifreleme sisteminin ihlal edilmediği vurgulandı. Signal açıklamasında, “Hedefli kimlik avı saldırıları sonucu bazı kullanıcı hesaplarının ele geçirildiğine dair raporların farkındayız. Signal’in şifreleme altyapısı etkilenmemiştir.” ifadeleri kullanıldı.

Sahte Signal Destek Mesajları Kullanılıyor

Yetkililere göre saldırganların kullandığı yöntemlerden biri, kullanıcıları sahte bir “Signal Security Support Chatbot” hesabı üzerinden kandırmak. Bu mesajlarda kullanıcılara cihazlarında şüpheli etkinlik tespit edildiği iddia edilerek doğrulama işlemi yapmaları gerektiği bildiriliyor.

Sahte mesajda kullanıcıdan telefonuna gönderilen SMS doğrulama kodu veya Signal PIN bilgisini paylaşması isteniyor. Bu bilgilerin paylaşılması durumunda saldırganların hesabı kendi cihazlarına kaydedebildiği ve hesabın kontrolünü ele geçirebildiği belirtildi.

Hollanda istihbarat birimleri, saldırganların hesabı ele geçirdikten sonra telefon numarasını değiştirebildiğini, böylece kullanıcının kişiler listesine ve gelen mesajlarına erişim sağlayabildiğini açıkladı. Ayrıca ele geçirilen hesap üzerinden başka kişilere mesaj gönderilerek kullanıcının kimliğine bürünülmesinin de mümkün olduğu ifade edildi.

QR Kod ve Cihaz Bağlama Özelliği de Kullanılıyor

Yetkililer ikinci saldırı yönteminde ise Signal ve WhatsApp’ın cihaz bağlama (device linking) özelliğinin kötüye kullanıldığını belirtti. Saldırganlar hedef kişilere sahte bir sohbet daveti veya bağlantı gibi görünen zararlı QR kodları veya bağlantılar gönderiyor.

Kullanıcı bu QR kodunu taradığında veya bağlantıyı açtığında, saldırganın cihazı kurbanın hesabına bağlı bir cihaz olarak eklenebiliyor. Bu sayede saldırganların mesaj geçmişini okuyabildiği, sohbetleri gerçek zamanlı takip edebildiği ve kullanıcının adına mesaj gönderebildiği bildirildi.

Uzmanlar, bu yöntemde hesap sahibinin erişiminin çoğu zaman devam ettiğini ve bu nedenle ihlalin fark edilmesinin daha zor olabildiğini vurguladı.

İstihbarat Kurumlarından Güvenlik Tavsiyesi

Hollanda istihbarat kurumları, kullanıcıların mesajlaşma uygulamalarında hassas veya gizli bilgileri paylaşmadan önce kurum politikalarını kontrol etmeleri gerektiğini belirtti. Ayrıca Signal ve WhatsApp hesaplarında bağlı cihazların düzenli olarak kontrol edilmesi ve bilinmeyen cihazların derhal kaldırılması tavsiye edildi.

Yetkililer ayrıca doğrulanmamış bağlantılar, QR kodları veya davet mesajlarına karşı dikkatli olunması gerektiğini belirterek bu tür mesajların mümkünse farklı bir güvenilir iletişim kanalı üzerinden doğrulanmasını önerdi.

Ajans Expres Gazetesi

Merkezi İsveç’in Stockholm kentinde bulunan ve 1876 yılında kurulan Ericsson’un dünya genelinde yaklaşık 90 bin çalışanı bulunuyor. Şirket, küresel iletişim teknolojileri sektörünün önde gelen aktörleri arasında yer alıyor.

Saldırı Hizmet Sağlayıcı Üzerinden Gerçekleşti

Ericsson tarafından yapılan açıklamada, çalışan ve müşteri verilerini depolayan bir hizmet sağlayıcısının 28 Nisan 2025’te sistemlerinde bir ihlal tespit ettiği bildirildi. İhlalin tespit edilmesinin ardından ilgili sağlayıcının olayı ABD Federal Soruşturma Bürosu’na (FBI) bildirdiği ve olayın kapsamını belirlemek için harici siber güvenlik uzmanlarıyla çalıştığı ifade edildi.

Yürütülen inceleme sonucunda, bazı dosyalara 17 Nisan 2025 ile 22 Nisan 2025 tarihleri arasında yetkisiz erişim sağlanmış olabileceği tespit edildi. Ericsson açıklamasında, “Yapılan araştırma sonucunda hizmet sağlayıcımız, sınırlı sayıdaki bazı dosyalara yetkisiz erişim sağlanmış veya bu dosyaların ele geçirilmiş olabileceğini belirledi.” ifadelerine yer verildi.

Binlerce Kişinin Verisi Etkilenmiş Olabilir

Teksas Başsavcılığı’na yapılan ayrı bir bildirimde ise veri ihlalinin yalnızca Teksas eyaletinde 4 bin 377 kişiyi etkilediği belirtildi. Olayın toplamda kaç kişiyi etkilediğine ilişkin ise resmi bir rakam paylaşılmadı.

Yetkililer, ihlal kapsamında açığa çıkmış olabilecek bilgiler arasında isim, adres, Sosyal Güvenlik numarası, ehliyet numarası, devlet tarafından verilen kimlik numaraları, finansal hesap bilgileri, kredi veya banka kartı numaraları, tıbbi bilgiler ve doğum tarihleri gibi hassas verilerin bulunabileceğini bildirdi.

Kimlik Koruma Hizmeti Sunulacak

Ericsson, olaydan etkilenmiş olabilecek kişilere IDX kimlik koruma hizmeti sağlayacağını açıkladı. Bu kapsamda ücretsiz kredi izleme, karanlık web izleme, kimlik hırsızlığı kurtarma desteği ve 1 milyon dolara kadar kimlik dolandırıcılığı zarar sigortası sunulacağı bildirildi.

Şirket, söz konusu hizmetten yararlanmak isteyen kişilerin 9 Haziran 2026 tarihine kadar kayıt yaptırabileceğini duyurdu.

Saldırının Arkasında Kim Var Belirsiz

Ericsson, olayı veri hırsızlığı saldırısı olarak nitelendirirken saldırının arkasındaki siber suç grubuna ilişkin herhangi bir açıklama yapılmadı. Olayın ardından henüz hiçbir siber suç grubunun saldırıyı üstlenmediği belirtildi.

Konuyla ilgili ek bilgi talebine yanıt veren Ericsson sözcüsü ise şirketin şu aşamada bildirim mektuplarında yer alan bilgiler dışında paylaşılacak ek bir detay bulunmadığını ifade etti.

Ajans Expres Gazetesi

Güvenlik analizlerine göre açık, V8 motorunda meydana gelen bir integer overflow hatasından kaynaklanıyor. JavaScript kodlarının çalıştırılmasından sorumlu olan motorun, belirli sayısal değerlerin beklenen sınırları aşması durumunda hatalı bellek işlemleri gerçekleştirebildiği belirtildi.

Uzmanlar, saldırganların özel olarak hazırlanmış içerikleri hedef sistemlere göndererek heap memory corruption oluşturabileceğini ifade etti. Resmî güvenlik duyurularında açık doğrudan uzaktan kod çalıştırma (RCE) olarak sınıflandırılmasa da, bellek bozulmasının bazı saldırı senaryolarında daha ileri düzey istismarların önünü açabileceği kaydedildi.

Chromium Tabanlı Tarayıcılar Etkileniyor

Güvenlik açığının Google Chrome, Microsoft Edge, Brave ve diğer Chromium tabanlı tarayıcıların 140.0.7339.207 sürümünden önceki versiyonlarını etkilediği bildirildi. Uzmanlar, PoC kodunun kamuya açık hâle gelmesinin saldırı riskini artırabileceğine dikkat çekti.

Yayımlanan PoC’nin, güvenlik araştırmacılarının açığın teknik etkilerini analiz edebilmesine olanak sağladığı ancak aynı zamanda kötü niyetli aktörler tarafından da incelenebileceği belirtildi.

Güncelleme Yayımlandı

Google tarafından yayımlanan güvenlik güncellemesi ile söz konusu açığın Chrome 140.0.7339.207 ve 140.0.7339.208 sürümlerinde giderildiği açıklandı. Kullanıcılara tarayıcılarını en kısa sürede güncellemeleri çağrısı yapıldı.

Uzmanlar, güncelleme yapılmadığı sürece eski sürümlerin saldırılara açık kalabileceğini belirterek kullanıcıların Ayarlar → Chrome Hakkında → Güncelle → Yeniden Başlat adımlarını izleyerek tarayıcılarını güncellemesi gerektiğini vurguladı.

Ajans Expres Gazetesi

Geliştirici, API anahtarının nasıl sızdırıldığını henüz kesin olarak tespit edemediğini belirtirken saldırganların ele geçirilen anahtarı kullanarak büyük ölçekli yapay zekâ istekleri oluşturduğu ifade edildi.

Binlerce Açık API Anahtarı Tespit Edildi

Siber güvenlik firması Truffle Security tarafından yapılan araştırmada, kamuya açık internet sitelerinde 2 bin 863 adet Google API anahtarının erişilebilir durumda olduğu tespit edildi. Araştırmacılar, ilgili projelerde Gemini API etkinleştirildiğinde bu anahtarların doğrulama için kullanılabildiğini açıkladı.

Araştırma raporunda Google’ın söz konusu durumu başlangıçta “beklenen davranış” (intended behavior) olarak değerlendirdiği ifade edildi. Ancak uzmanlar, kamuya açık API anahtarlarının ciddi güvenlik ve maliyet riskleri oluşturduğunu vurguladı.

Tek Bir Anahtar Büyük Maliyetlere Yol Açabiliyor

Siber güvenlik uzmanları, saldırganların çoğu zaman doğrudan sunuculara saldırmak yerine sızdırılmış API anahtarlarını hedef aldığını belirtti. Bu anahtarlar ele geçirildiğinde saldırganların yüksek hacimli yapay zekâ işlemleri çalıştırabildiği, bulut servislerini kötüye kullanabildiği ve kısa sürede yüksek maliyetli işlem yükleri oluşturabildiği aktarıldı.

Uzmanlar, “Sızdırılmış bir API anahtarı saldırganlara kontrolsüz erişim sağlayabilir ve bu durum binlerce dolarlık işlem maliyetinin kullanıcıya yansımasına neden olabilir.” değerlendirmesinde bulundu.

Güvenlik Uzmanlarından Temel Önlem Uyarısı

Uzmanlar, bu tür olayların önlenmesi için API anahtarlarının ön uç (frontend) kodlarında veya herkese açık depolarda paylaşılmaması gerektiğini belirtti. Ayrıca doğrudan API erişimi yerine sunucu taraflı proxy kullanılması, anahtarların IP veya alan adı kısıtlamalarıyla sınırlandırılması ve kullanım kotaları ile faturalandırma uyarılarının aktif edilmesi önerildi.

Güvenlik ekipleri ayrıca API anahtarlarının düzenli olarak yenilenmesi ve API kullanımında olağan dışı artışların sürekli izlenmesi gerektiğini vurguladı.

Ajans Expres Gazetesi

Siber güvenlik araştırmacıları tarafından paylaşılan bilgilere göre saldırganlar, özel olarak hazırlanmış istekler göndererek kimlik doğrulama sürecini tamamen atlayabiliyor. Bu sayede sisteme giriş yapmadan yetkili erişim elde edilebildiği ifade edildi.

PoC Kodları Uzaktan Kod Çalıştırmayı Hedefliyor

Yayımlanan PoC paketinin Python betikleri ve JSP tabanlı webshell dosyaları içerdiği bildirildi. Bu araçların kimlik doğrulama öncesi uzaktan kod çalıştırma (pre-authentication remote code execution) saldırıları için kullanılabileceği aktarıldı.

Siber güvenlik analizlerinde, saldırının başarılı olması durumunda saldırganların NETCONF protokolü üzerinden 830 numaralı port aracılığıyla SD-WAN altyapı yapılandırmalarını okuyabildiği ve değiştirebildiği belirtildi. Ayrıca saldırganların kontrol veya yönetim düzlemine sahte eşler (rogue peers) ekleyebildiği kaydedildi.

Birden Fazla Sürüm Etkileniyor

Açığın 20.6 ile 20.18.x arasındaki birçok SD-WAN sürümünü etkilediği bildirildi. Güvenlik güncellemesi yayımlanan sürümler arasında 20.9.8.2 ve 20.18.2.1 gibi yamalı versiyonların yer aldığı açıklandı.

Araştırmacılar ayrıca saldırganların sistemi daha eski bir sürüme düşürerek CVE-2022-20775 güvenlik açığını kullanabildiğini belirtti. Bu yöntemle kök (root) seviyesinde yetki yükseltmesi sağlanabildiği, ardından sistemin tekrar güncel sürüme döndürülerek izlerin gizlenebildiği ifade edildi.

Ağ İçinde Yatay Hareket Riski

Uzmanlar, sistem kontrolünün ele geçirilmesi durumunda saldırganların sisteme SSH anahtarları ekleyebileceğini, meşru kullanıcıları taklit edebileceğini ve günlük kayıtlarını silebileceğini bildirdi. Özellikle /var/log dizinindeki logların silinmesi ve komut geçmişinin temizlenmesi gibi iz gizleme yöntemlerinin kullanılabileceği vurgulandı.

Saldırganların NETCONF veya SSH üzerinden ağ içinde yatay hareket ederek farklı sistemlere erişim sağlayabileceği de kaydedildi.

Cisco’dan Güncelleme ve Güvenlik Uyarısı

Cisco tarafından yayımlanan güvenlik duyurusunda sistem yöneticilerine etkilenen sürümlerin acilen güncellenmesi çağrısı yapıldı. Ayrıca kullanılmayan peering bağlantılarının devre dışı bırakılması ve şüpheli kullanıcı hesapları, boş log kayıtları veya sürüm düşürme izleri gibi göstergelerin yakından izlenmesi gerektiği belirtildi.

Ajans Expres Gazetesi

Signal tarafından paylaşılan güvenlik bilgilendirmesinde, saldırganların kullanıcılara “cihazınızda şüpheli etkinlik tespit edildi” şeklinde mesajlar gönderdiği belirtildi. Mesajlarda hesap güvenliğini sağlama bahanesiyle SMS doğrulama kodunun paylaşılmasının istendiği aktarıldı.

Şirket, bu kodun paylaşılması durumunda saldırganların kullanıcının Signal hesabını ele geçirebileceğine dikkat çekti. Signal tarafından yapılan bilgilendirmede, “Doğrulama kodunun üçüncü kişilerle paylaşılması, hesabın kontrolünün kaybedilmesine yol açabilir.” ifadelerine yer verildi.

Sosyal Mühendislik Yöntemi Kullanılıyor

Signal güvenlik rehberinde, saldırıların teknik bir açık yerine kullanıcıların güvenini hedef alan sosyal mühendislik yöntemleriyle gerçekleştirildiği vurgulandı. Sahte destek hesaplarının genellikle hızlı hareket edilmesi gerektiğini belirten mesajlar göndererek kullanıcıları baskı altına almaya çalıştığı ifade edildi.

Şirket, kullanıcıların özellikle doğrulanmamış hesaplardan gelen mesajlara karşı dikkatli olması gerektiğini belirtti. Açıklamada, “Signal hiçbir zaman kullanıcılardan doğrulama kodu veya giriş bilgilerini talep etmez.” uyarısı yapıldı.

Kullanıcılara Güvenlik Tavsiyeleri

Signal, olası hesap ele geçirme girişimlerine karşı bazı temel güvenlik önlemlerini de paylaştı. Buna göre kullanıcıların SMS doğrulama kodlarını hiçbir kişi veya bot ile paylaşmaması, şüpheli bağlantılara tıklamaması ve güvenilir olmayan mesajlara karşı dikkatli olması gerektiği belirtildi.

Şirket, güvenlik farkındalığının artırılmasının bu tür saldırıların önlenmesinde kritik rol oynadığını kaydetti.

Ajans Expres Gazetesi

Gazeteciler ve Dijital Güvenlik

İsrail’de gözaltına alınan Türk gazeteci Emrah Çakmak, iPhone telefonunun şifresini paylaşmamasına rağmen cihazın açıldığını açıkladı. Bu olay, gazetecilerin dijital güvenliğinin ne kadar hassas bir konu olduğunu bir kez daha gösterdi. Söz konusu durum, yalnızca bireysel bir ihlal değil; devletlerin dijital cihazlara erişim kapasitesi ve sınırları hakkında daha geniş bir tartışmayı da tetikledi.

Benzer şekilde geçmişte Amerika Birleşik Devletleri'nde bazı basın mensuplarının telefonlarının hedefli siber saldırılarla ele geçirildiği ortaya çıkmıştır. Bu tür olaylar, gazetecilerin ve aktivistlerin gelişmiş gözetim teknolojilerinin hedefi olabileceğini göstermektedir.

Apple Ekosistemi ve İsrail Bağlantısı

Apple, yalnızca ABD merkezli bir şirket değildir; dünya genelinde önemli Ar-Ge merkezlerine sahiptir. İsrail’de özellikle Tel Aviv ve Hayfa gibi şehirlerde Apple mühendislik ve güvenlik araştırma merkezleri bulunmaktadır. Bu merkezler, işlemci tasarımı, güvenlik mimarileri ve donanım optimizasyonu gibi kritik alanlarda faaliyet göstermektedir.

Apple’ın İsrail’de yüzlerce mühendisi ve Ar-Ge personeli istihdam ettiği bilinmektedir. Özellikle güvenlik ve biyometrik sistemler üzerinde çalışan bu ekipler, iPhone ve diğer Apple cihazlarının donanım ve yazılım güvenliğini geliştirmede kilit rol oynar.

Apple’ın Satın Aldığı İsrailli Startup’lar

Apple, İsrail merkezli birçok startup’ı bünyesine katmıştır:

• PrimeSense – 3D sensör teknolojileri, Face ID altyapısının temeli

• Anobit – Flash depolama çözümleri, iPhone veri saklama performansı

• LinX Imaging – Çok lensli kamera sistemleri, iPhone kamera gelişimi

• RealFace – Yüz tanıma teknolojileri, biyometrik güvenlik

Bu startup’lar, doğrudan hackleme için değil, cihaz performansı ve kullanıcı deneyimi odaklı çalışmaktadır.

İsrailli Siber Güvenlik Firmaları ve Küresel Etkileri

İsrail, dünya çapında önde gelen bir siber güvenlik ekosistemine sahiptir. Birçok büyük teknoloji şirketi, İsrail merkezli firmaları veya Ar-Ge merkezlerini bünyesine katmıştır:

Örnek Alımları ve Bağlantıları:

• Alphabet (Google) – Wiz

• Palo Alto Networks – CyberArk, Talon Cyber Security, Dig Security

• Zscaler – Avalor

• Microsoft – Adallom

• Armis – Otorio

• Bitsight – Cybersixgill

• Cato Networks – Aim Security

• Continental AG – Argus Cyber Security (PlaxidityX)

• Okta – Axiom

Diğer İsrailli Şirketler ve Araştırma Merkezleri:

• 1Touch.io, AccSenSe, ACID Technologies, Actifile, CyberDB, L7 Defense, Deep Instinct, Certora, Beyond, Skybox Security, Valid Network, CrowdStrike, Coro, Silverfort, BioCatch, Riskified, Torq Built In, Claroty, CyberX Labs, Perception Point, Xinnor, Storm, Cyber DriveWare, Upstream-Security, Cyabra, Babacode, Dome9 Security, CYREBRO (platform), Cyber 72, Citadel Cyber Security, HUB Security, CyberSafe, Javelin Networks, NSO Group

İsrailli Siber Güvenlik Şirketleri (Genel Liste):

CyberArk, Wiz, Hudson Rock, Sasa Software, Perimeter 81, odix, C2A Security, Check Point Software Technologies, Cato Networks, Radware, Qualysec, Orca Security, Aqua, Transmit, Forter, Pentera, CyCognito, Hunters, torq, CYE, Cyera, BigID, Deep Instinct, Island, Axonius, Wing Security, Noma Security, Token Security, Gomboc, Descope, Astrix Security, Reco

Bu firmalar, hem ticari hem de devlet destekli siber güvenlik çözümleri geliştirmekte; özellikle zero-click ve hedefli saldırı araçları ile gündeme gelmektedir.

İsrailli Mühendislerin ve Eski Askerlerin Küresel Rolü

İsrail vatandaşları, özellikle askeri geçmişe sahip (Unit 8200, IDF Siber Savunma Müdürlüğü) kişiler, dünya çapındaki büyük teknoloji ve siber güvenlik firmalarında önemli roller üstlenmektedir:

• Microsoft, Palo Alto Networks, VMware: 1.400+ eski IDF mensubu, güvenlik ve mühendislik pozisyonları

• Meta (Facebook): Yüzlerce eski IDF subayı ve istihbarat mensubu, AI politika ve güvenlik pozisyonları

• Google, Microsoft: Eski istihbaratçılar üst düzey pozisyonlarda politika, güvenlik ve altyapı stratejilerini şekillendiriyor

Bu durum, İsrail’in siber yeteneklerinin küresel teknoloji ekosistemine entegrasyonunu gösterir.

Zero-Click Saldırılar ve Güvenlik Perspektifi

“Zero-click” saldırılar, hedef cihazın kullanıcının herhangi bir eylemine gerek kalmadan ele geçirilmesini sağlayan gelişmiş yöntemlerdir. Örnekler:

• NSO Group – Pegasus

• Candiru

• Diğer gelişmiş siber istihbarat araçları

Bu araçlar, yüksek maliyetli ve devlet destekli operasyonlar için tasarlanmıştır. Sıradan kullanıcıların kitlesel şekilde risk altında olması oldukça düşüktür.

Teknoloji, Güvenlik ve Algı

• iPhone’lar güçlü güvenlik sistemlerine sahiptir, ancak hedefli operasyonlarda zafiyetler kullanılabilir

• İsrail, hem teknoloji hem de siber güvenlik alanında global bir merkezdir

• Devlet destekli firmalar, istihbarat ve gözetim teknolojilerini geliştirir

• Eski asker ve istihbaratçılar, küresel teknoloji şirketlerinde kritik roller üstlenmektedir

Dolayısıyla, mesele cihazların tek başına kırılabilirliği değil; küresel teknoloji, siber güvenlik ve istihbarat dengelerinin kesişimidir.

Ajans Expres Gazetesi

TPM ve SPI Yapısı
Cihazda kullanılan Infineon SLB9670 TPM 2.0, cihaz şifreleme anahtarlarını NV (Non-Volatile) alanında saklıyor. Önyükleme sırasında SoC, TPM2_NV_Read komutu ile NV indeksinden anahtarı talep ediyor. Yanıt, SPI hattı üzerinden okunabilir şekilde iletiliyor ve fiziksel erişime sahip bir saldırgan tarafından ele geçirilebiliyor.

Donanım ve Yazılım Analizi
Çalışmada, Logic 8 Saleae 8 kanallı mantık analizörü kullanılarak SPI hattı pasif olarak izlendi. Firmware içinde tespit edilen generate-keys betiği, tpm2_nvread komutunu çalıştırarak LUKS anahtarını NV indeksinden çekiyor. Analiz sırasında alınan MISO/MOSI verileri işlenerek anahtar binary olarak çıkarıldı ve doğruluğu eMMC chipinden yapılan testlerle doğrulandı.

Tespit Edilen Riskler ve Önlemler
Fiziksel erişimi olan bir saldırgan, TPM 2.0 çip ile SoC arasındaki SPI hattını izleyerek disk şifre anahtarını ele geçirebilir. Trusted Computing Group (TCG) tarafından önerilen mitigasyonlar arasında, komut ve yanıt parametrelerinin şifrelenmesi için yetkilendirme oturumları (bound/salted sessions) kullanılması yer alıyor. Salted session kullanımı, kullanıcı girişi olmadan da parametre güvenliği sağlarken, bound session yalnızca yüksek entropili authValue ile koruma sunuyor.

Sonuç ve Öneriler
Araştırma, TPM tabanlı korumanın yalnızca masaüstü veya dizüstü bilgisayarlara özgü olmadığını, gömülü ve endüstriyel cihazlarda da TPM bus sniffing riskinin bulunduğunu ortaya koyuyor. Moxa, güvenlik açığını CVE-2026-0714 olarak kaydetti ve kullanıcıların TPM bus korumasını sağlamak için TCG kılavuzlarına uyması öneriliyor.

Ajans Expres Gazetesi

Uzmanlar, açığın etkilerini şöyle özetledi:

• Saldırganlar SIP kimlik bilgilerini ve yerel cihaz hesap verilerini elde edebiliyor.

• Cihazın SIP ayarlarını yeniden yapılandırabiliyor ve çağrıları kötü niyetli bir SIP proxy üzerinden yönlendirebiliyor.

• Telefon normal şekilde çalmaya devam ediyor, kullanıcılar herhangi bir anormallik fark etmiyor, fakat tüm görüşmeler saldırganın kontrolündeki altyapıdan geçiyor.

Açığın hedef kitlesi arasında küçük ve orta ölçekli işletmeler, hukuk firmaları, satış ekipleri ve finans departmanları bulunuyor.

Grandstream, güvenlik açığını Ocak ayında sorumlu bir şekilde bildirdi. Firma, kullanıcıları uyarmak ve cihazlarını korumak amacıyla 1.0.7.81 sürümlü güvenlik güncellemesini yayımladı. Güncelleme cihazların güvenliğini sağlamak için kritik önem taşıyor.

Ajans Expres Gazetesi

“Dahili Kimlik Bilgileri Açığa Çıkabiliyordu”
Araştırmacı, YouTube üzerindeki belirli işlemler sırasında Google hesaplarına ait “Gaia ID” olarak bilinen dahili tanımlayıcıların elde edilebildiğini belirtti. Raporda, bu kimliklerin tek başına doğrudan hassas veri içermediği ancak farklı servislerle birleştirildiğinde risk oluşturabileceği vurgulandı.

Farklı Servisler Arasındaki Zincirleme Etki
Çalışmada, Google’ın farklı ürünleri arasında yer alan veri paylaşım mekanizmalarının, belirli senaryolarda beklenmeyen veri eşleşmelerine yol açabildiği ifade edildi. Araştırmacı, “Farklı sistemlerin birlikte değerlendirilmesi, tek başına kritik görünmeyen açıkların birleşerek daha büyük bir riske dönüşmesine neden olabilir.” değerlendirmesinde bulundu.

Sorumlu Bildirim Süreci İşletildi
Araştırmanın 2024 yılı Eylül ayında Google’a iletildiği, şirketin kısa sürede durumu incelemeye aldığı aktarıldı. Güvenlik paneli tarafından yapılan değerlendirmede açığın yüksek etkili ancak belirli bir teknik karmaşıklık gerektirdiği ifade edildi.

Google yetkililerinin, bildirimin ardından ilgili sistemlerde güncellemeler yaptığı ve tespit edilen açıkların kapatıldığı bildirildi. Sürecin tamamlanmasının ardından rapor, 2025 yılı Şubat ayında kamuoyuyla paylaşıldı.

Ödül ve Değerlendirme Süreci
Güvenlik açığını bildiren araştırmacıya, Google’ın hata ödül programı kapsamında toplamda 10 bin doların üzerinde ödül verildiği açıklandı. Panel değerlendirmesinde, açığın “yüksek etki” kategorisinde olduğu ancak belirli bir saldırı zinciri gerektirdiği için derecelendirmede bir kademe düşürüldüğü kaydedildi.

Uzmanlardan Uyarı
Siber güvenlik uzmanları, bu tür olayların büyük teknoloji platformlarında bile sistemler arası etkileşimlerin dikkatle denetlenmesi gerektiğini ortaya koyduğunu belirtti. Uzmanlar, kullanıcıların da hesap güvenliği için iki faktörlü doğrulama gibi önlemleri aktif kullanmasının önemine dikkat çekti.

Ajans Expres Gazetesi

Stratejik Kurumlar Hedefte
Onur Oktay, grubun saldırı profilinin özellikle Savunma, Dışişleri, Maliye, Ticaret ve Enerji bakanlıkları üzerinde yoğunlaştığını ifade ederek, “Parlamentolar, emniyet teşkilatları, sınır kontrol birimleri ve ulusal telekomünikasyon şirketleri de hedef alınan yapılar arasında yer alıyor.” dedi.

Aktif Keşif ve Ülkeye Özel Saldırı Planları
Grubu diğer APT yapılanmalarından ayıran iki temel noktaya dikkat çeken Oktay, “Bu yapı sadece sızmakla yetinmiyor, ülkelerin kritik altyapılarına yönelik aktif keşif ve istihbarat toplama faaliyetleri yürütüyor.” ifadelerini kullandı. Oktay, her ülke ve sisteme özel saldırı senaryoları oluşturulmasının, kalıcı bir tespit mekanizması geliştirilmesini zorlaştırdığını vurguladı.

ShadowGuard Rootkit ve Yaygın Zafiyetler
Saldırılarda kullanılan yöntemlere de değinen Oktay, “Grup, daha önce belgelenmemiş ShadowGuard adlı bir Linux rootkit’i kullanarak sistemlerde uzun süre fark edilmeden kalabiliyor.” dedi. Microsoft Exchange, SAP ve Atlassian ürünlerindeki yamalanmamış veya keşfedilmemiş açıkların da sıkça istismar edildiğini kaydetti.

Çin Bağlantısı İddiası
Grubun faaliyet zamanlarının GMT+8 saat dilimi ile örtüştüğünü belirten Onur Oktay, “Bu durum, grubun Çin istihbaratı ile bağlantılı olabileceği yönündeki değerlendirmeleri güçlendiriyor.” şeklinde konuştu.

Türkiye De Hedefte
Türkiye’ye yönelik tehdit boyutuna ilişkin değerlendirmesinde Oktay, “Unit42 raporlarına göre grup, Kasım-Aralık 2025 döneminde Türkiye dahil birçok ülkenin hükümet altyapılarına yönelik aktif keşif faaliyetleri yürüttü.” ifadelerini kullandı. Türkiye’nin doğrudan sızma yapılan 37 ülke arasında ismen yer almadığını, ancak geniş kapsamlı tarama operasyonlarının menzilinde bulunduğunu söyledi.

Davranışsal Tespit Öne Çıkıyor
IOC bilgilerinin sınırlı olduğuna dikkat çeken Oktay, “Her saldırı farklı yöntemlerle gerçekleştirildiği için elde edilmiş kritik IOC setleri yok. Ancak ShadowGuard rootkit’inin davranışsal izleri üzerinden tespit çalışmaları yapılabiliyor.” dedi. Web shell olarak Behinder, Godzilla ve Neo-reGeorg varyantlarının kullanıldığını, C2 trafiğinde Cloudflare arkasına gizlenmiş alan adları ile popüler VPS servislerinin tercih edildiğini aktardı.

Exchange Sunucuları İçin Uyarı
Onur Oktay, “Türkiye dahil birçok ülkede Exchange sunucuları hedef alındı. Bu nedenle owa/auth dizinleri altında .aspx ve .ashx dosyalarının oluşturulması yakından incelenmeli.” uyarısında bulundu. Ayrıca sahte Googlebot gibi alışılmadık User-Agent değerlerinin C2 trafiğinde sıkça kullanıldığını belirtti.

Ajans Expres Gazetesi

Güvenlik açığının, uygulamada kullanılan güvensiz nesne serileştirme süreçleri ile birlikte etkili bir sandbox izolasyonunun bulunmamasından kaynaklandığı belirtildi. Bu durumun, saldırganların tek bir bağlantı üzerinden hedef sistemde keyfi komutlar çalıştırabilmesine olanak tanıdığı aktarıldı.

Hiçbir Şey İndirmeden, Hiçbir Uyarı Almadan
Uzmanlar, açığın istismarı için dosya indirilmesine gerek olmadığını, çok aşamalı bir exploit zinciri kullanılmadığını ve kullanıcıya herhangi bir güvenlik uyarısı gösterilmediğini vurguladı. Bağlantıya tıklanmasının ardından kodun doğrudan çalıştırıldığı kaydedildi.

Yapay Zekâ İki Saatte Tespit Etti
Zafiyetin dikkat çeken yönlerinden biri de keşif süreci oldu. Açığın, otonom bir yapay zekâ ajanı tarafından uçtan uca analiz edilerek doğrulandığı, sürecin iki saatten kısa sürdüğü ifade edildi. Bu gelişmenin, yapay zekânın siber güvenlik alanındaki etkinliğine dair yeni bir dönemi işaret ettiği değerlendirildi.

Yetkililer, Moltbot/Clawdbot ile bağlantılı sistemleri kullanan kurum ve bireylerin ağ trafiğini incelemesi, ilgili bileşenleri izole etmesi ve olası saldırı izlerini araştırması gerektiğini belirtti.

Ajans Expres Gazetesi

Ctrl F Yapıldığında DOM Sessiz Kalmıyor
hidden="until-found" ile gizlenen içerikler normal şartlarda görünmez durumda kalıyor. Ancak sayfa içi arama sırasında eşleşme oluştuğunda, tarayıcı bu elementleri geçici olarak görünür hâle getiriyor. Bu aşamada tetiklenen beforematch adlı DOM olayı, JavaScript tarafından dinlenebiliyor ve kullanıcı aramasına dair dolaylı bilgiler üretebiliyor.

Karakter Karakter Çözümlenebilen Arama
Teknik incelemede, sayfaya eklenen binlerce gizli HTML elementinin olası karakter dizilerini temsil ettiği belirtiliyor. Kullanıcı Ctrl+F alanına bir karakter yazdığında, yalnızca eşleşen element için beforematch olayı tetikleniyor. Bu zincirleme yapı sayesinde, klavye dinlemesi yapılmadan kullanıcının arama girdisinin adım adım tahmin edilebildiği ifade ediliyor. Bu yöntem, klasik anlamda bir side‑channel olarak tanımlanıyor.

Parola Sızıntı Siteleri İçin Kritik Senaryo
Uzmanlar, bu tekniğin özellikle “parolanız sızdırıldı mı” iddiasıyla hizmet veren siteler açısından ciddi bir risk barındırdığına dikkat çekiyor. Kullanıcının mevcut parolasını bu tür sitelere yazması hâlinde, sayfa içinde yer alan hidden="until-found" elementleri aracılığıyla parolanın kısmen bile olsa sızdırılabilmesi teorik olarak mümkün görülüyor. Bu durum, kullanıcı parolayı kendi rızasıyla girmiş olsa bile ek bir gizlilik tehdidi oluşturuyor.

Teknik Çalışmanın Kaynağı ve Türkçe Yayın
Söz konusu riskin pratikte nasıl çalıştığı, uluslararası güvenlik araştırmaları kapsamında daha önce ortaya konulan teknik bir yöntem üzerinden gösteriliyor. Bu çalışmayı derleyerek Türkçeleştiren ve kamuoyuna haberleştiren isim ise siber güvenlik araştırmacısı Ebubekir Bastama oldu. Bastama’nın internet sitesinde yayımlanan içerikte, hidden="until-found" ve beforematch kombinasyonunun Ctrl+F girdilerini nasıl dolaylı biçimde açığa çıkarabildiği ayrıntılı şekilde aktarılıyor.

Test Edilebilen PoC Adresi
Yayımlanan çalışmada, yöntemin teorik anlatımla sınırlı kalmadığına dikkat çekiliyor. Kullanıcılar ve geliştiriciler, ilgili davranışı doğrudan test edebilmek için hazırlanan PoC’ye şu adres üzerinden erişebiliyor: https://ebubekirbastama.com.tr/ctrl-f-until-found-side-channel-poc.html

Boşluklar Bile Atlanmıyor
Analizde, Ctrl+F indekslemesinde boşluk karakterlerinin tek başına algılanmaması nedeniyle Zero‑Width Space (\u200B) gibi görünmez karakterlerin kullanıldığı aktarılıyor. Bu sayede, boşluk içeren kelime ve parola dizilerinin de tarayıcı tarafından indekslenebildiği belirtiliyor.

Hızlı Yazımda Özellikle PC’lerde Çalışmıyor
Çalışmada özellikle masaüstü bilgisayarlara vurgu yapılıyor. Ctrl+F alanına karakterlerin çok hızlı yazılması veya metnin yapıştırılması durumunda, tarayıcıların performans optimizasyonları nedeniyle bazı DOM taramalarını atladığı belirtiliyor. Bu senaryolarda beforematch olayının tetiklenmediği ve algılamanın çalışmadığı ifade ediliyor. Uzmanlar, bunun JavaScript kaynaklı bir hata değil, bilinçli bir tarayıcı davranışı olduğunun altını çiziyor.

Tarayıcı Güvenliği Yeniden Gündemde
Uzman görüşlerinde, beforematch olayının JavaScript erişimine kapatılması, hidden="until-found" elementlerinin gözlemlenemez hâle getirilmesi ya da Ctrl+F indekslemesinin DOM olayı üretmeden çalışması gibi önlemlerin değerlendirilmesi gerektiği belirtiliyor. Kullanıcı deneyimi için eklenen her yeni tarayıcı özelliğinin, gizlilik ve veri güvenliği açısından yeniden ele alınması gerektiği vurgulanıyor.

Ajans Expres Gazetesi

Şüpheli Link Detayı Ortaya Çıktı
Sahte e-postada yer alan “Ödemeyi Tamamla” butonuna tıklayan kullanıcıların, i6ome8hbb.cc.rs6.net uzantılı, PTT ile hiçbir bağlantısı bulunmayan bir adrese yönlendirildiği tespit edildi. Bağlantının, Constant Contact altyapısı üzerinden gizlenmiş şekilde sunulduğu ve kullanıcıyı sahte ödeme sayfasına yönlendirmeyi amaçladığı ifade ediliyor.

Yurt Dışı Kaynaklı Adresler Alarm Veriyor
E-postanın gönderici adresinde “info-santedicola.com@shared1.ccsend.com” ibaresinin yer aldığı, mesajın alt bölümünde ise ABD’ye ait açık adres bilgilerinin bulunduğu görüldü. Siber güvenlik uzmanları, bu tür yurt dışı kaynaklı ve kurumsal görünümlü adreslerin, oltalama saldırılarında sıkça kullanıldığını vurguluyor.

Amaç Kredi Kartı ve Kişisel Veriler
Uzmanlara göre sahte bağlantı üzerinden açılan sayfalarda kredi kartı bilgileri, kimlik verileri ve banka bilgileri hedef alınıyor. Girilen bilgilerin anlık olarak dolandırıcıların eline geçtiği ve kartlardan izinsiz harcamalar yapıldığı bildiriliyor.

PTT’nin Uygulamalarıyla Örtüşmüyor
PTT’nin resmî uygulamalarında gümrük vergisi bildirimlerinin e-posta yoluyla ve üçüncü taraf bağlantılar üzerinden yapılmadığı belirtiliyor. Kurumun, ödemelerin yalnızca resmî internet sitesi, e-Devlet ve PTT şubeleri aracılığıyla gerçekleştirildiğini daha önce kamuoyuna duyurduğu hatırlatılıyor.

Yetkililerden Vatandaşa Uyarı
Siber güvenlik uzmanları, bu tür e-postaların kesinlikle açılmaması, bağlantılara tıklanmaması ve ödeme bilgisi girilmemesi gerektiğini vurguluyor. Şüpheli mesajların BTK ve ilgili resmi platformlara bildirilmesi çağrısı yapılıyor.

Ajans Expres Gazetesi

Güncelleme Trafiği Saldırganların Kontrolüne Geçti
Paylaşılan bilgilere göre, Haziran 2025 ile 2 Aralık 2025 tarihleri arasında Notepad++’ın güncelleme mekanizması olan WinGUp üzerinden gerçekleşen trafik, saldırganlar tarafından kontrol edilen sunuculara yönlendirildi. Bu süreçte, kullanıcılara resmi güncelleme izlenimi veren zararlı yazılım içeren sahte paketler gönderildiği belirtildi.

“Hedefli ve Seçici Bir Operasyon”
Onur Oktay, saldırının geniş kitleleri kapsayan rastgele bir girişim olmadığını vurgulayarak, “Bu operasyon herkese açık bir saldırı değildi. Belirli IP blokları veya coğrafi bölgelerdeki kullanıcılar hedef alındı.” ifadelerini kullandı. Elde edilen bulguların, saldırının Çin devlet destekli bir APT grubu tarafından yürütüldüğüne işaret ettiği aktarıldı.

Zafiyet Kaynak Kodda Değil Güncelleyicide
Oktay’ın değerlendirmesine göre, Notepad++’ın kaynak kodunda herhangi bir güvenlik açığı tespit edilmedi. Ancak WinGUp aracının, indirilen dosyaların dijital imza ve sertifika doğrulamasını yeterince sıkı yapmaması, saldırının başarıya ulaşmasına neden oldu. Hosting seviyesinde gerçekleştirilen Man-in-the-Middle yönlendirmesiyle sahte güncellemeler meşru kabul edildi.

Alınan Önlemler ve Yeni Sürüm
Olayın ardından Notepad++ tarafında hosting sağlayıcısı değiştirildi, tüm erişim bilgileri sıfırlandı ve v8.8.9 sürümü yayımlandı. Bu sürümle birlikte güncelleyicinin, indirilen paketlerin imza ve sertifikalarını zorunlu olarak kontrol ettiği, doğrulama başarısız olursa güncellemenin iptal edildiği kaydedildi.

Kullanıcılara Güvenlik Uyarısı
Saldırının hedefe özel zararlı yazılımlar içermesi nedeniyle tek bir dosya imzası bulunmadığına dikkat çekildi. Şüpheli ağ trafiği ve %TEMP% klasöründe Notepad++ imzası taşımayan çalıştırılabilir dosyalar, olası bulaş göstergeleri arasında yer aldı. Onur Oktay, v8.8.9 öncesi sürümleri kullananların uygulama içinden güncelleme yapmaması ve ilgili dönemde güncelleme alan sistemlerin EDR veya antivirüs çözümleriyle taranması gerektiğini belirtti.

Yeni Güvenlik Katmanları Geliyor
Geliştirici ekip tarafından, ilerleyen sürümlerde XML dijital imzalama (XMLDSig) desteğinin devreye alınacağı duyuruldu. Olayın, yazılım güvenliği kadar altyapı güvenliğinin de kritik önemde olduğunu bir kez daha ortaya koyduğu ifade edildi.

Ajans Expres Gazetesi

Araştırmacı, JavaScript kapalıyken dahi çalışan bu formun, belirli HTTP istekleri aracılığıyla bir telefon numarasının belirli bir ad-soyad ile eşleşip eşleşmediğini doğruladığını tespit etti. Bu mekanizma sayesinde, doğru parametreler kullanıldığında bir Google hesabının varlığı ve ilişkili telefon numarası hakkında doğrulama yapılabildi.

İki Aşamalı Doğrulama Mekanizması
İlk aşamada, hesap kurtarma formuna girilen telefon numarasıyla bir oturum anahtarı üretildi. İkinci aşamada ise bu anahtar kullanılarak ad ve soyad bilgileriyle doğrulama yapıldı. Sistem, eşleşme durumunda kullanıcıyı farklı bir kurtarma sayfasına yönlendirerek hesabın varlığını dolaylı olarak doğruladı.

Başlangıçta IP bazlı hız sınırlaması ve captcha engeliyle karşılaşan araştırmacı, BotGuard doğrulama token’ının, JavaScript’li formdan alınıp JavaScript’siz forma entegre edilmesiyle bu engellerin aşıldığını belirtti. Bu yöntemle, veri merkezi IP’leri üzerinden dahi yüksek hacimli sorguların mümkün hale geldiği ifade edildi.

IPv6 ve Büyük Ölçekli Denemeler
Araştırmada, IPv6 adres alanlarının sunduğu genişlikten faydalanılarak her istek için farklı bir IP kullanıldığı, bu sayede hız sınırlamalarının etkisiz hale getirildiği kaydedildi. Araştırmacı, geliştirdiği araçla saniyede on binlerce deneme yapılabildiğini aktardı.

Ülke Kodu ve İsim Bilgileri de Tespit Edilebildi
Telefon numarasının ülke kodu, Google’ın “şifremi unuttum” akışında gösterdiği maskeli numara formatları üzerinden belirlenebildi. Araştırmacı, bu formatların Google’ın kullandığı açık kaynaklı libphonenumber kütüphanesiyle birebir örtüştüğünü belirtti.

Kullanıcının ad ve soyad bilgisine ise Google Looker Studio üzerinden ulaşıldı. Araştırmacı, oluşturulan bir belgenin hedef kullanıcıya devredilmesiyle, kullanıcının hiçbir etkileşimi olmadan adının ana sayfada görüntülendiğini kaydetti.

“İstismar Olasılığı Düşük Denildi, Ödül Artırıldı”
Açık, 14 Nisan 2025’te Google’a bildirildi. Google, ilk değerlendirmede istismar olasılığını düşük bularak sınırlı bir ödül verdi. Araştırmacının itirazı sonrası yapılan yeniden değerlendirmede ise etkinin yüksek olduğu kabul edilerek ödül toplam 5 bin dolar seviyesine çıkarıldı.

Google, 22 Mayıs 2025 itibarıyla geçici önlemlerin devreye alındığını, 6 Haziran 2025’te ise JavaScript’siz kullanıcı adı kurtarma formunun tamamen devre dışı bırakıldığını doğruladı. Açık, 9 Haziran 2025’te kamuoyuna açıklandı.

Ajans Expres Gazetesi

Araştırmaya göre eklentiler, yapay zekâ tabanlı kodlama asistanı olarak tanıtılıyor ve vaat edilen işlevleri sunuyor. Ancak arka planda, kullanıcı onayı almadan dosya içeriklerini ve davranış verilerini Çin merkezli sunuculara gönderiyor.

1,5 milyona yakın indirme
VSCode Marketplace’te hâlen erişilebilir durumda olduğu belirtilen eklentiler şunlar:
ChatGPT – 中文版 (WhenSunset tarafından yayımlandı, yaklaşık 1,34 milyon indirme)
ChatMoss (CodeMoss) (zhukunpeng tarafından yayımlandı, yaklaşık 150 bin indirme)

Koi Security, her iki eklentinin de aynı veri hırsızlığı kodlarını kullandığını ve aynı arka uç sunucularıyla iletişim kurduğunu kaydetti.

Dosyalar açıldığı anda dışarı aktarılıyor
Araştırmacılar, eklentilerin üç ayrı veri toplama mekanizması kullandığını bildirdi. İlk yöntemde, VSCode içinde açılan her dosya anlık olarak izleniyor. Dosya yalnızca açıldığında bile, tüm içeriği Base64 formatına çevrilerek saldırganların sunucularına gönderiliyor. Dosyada yapılan her değişikliğin de aynı şekilde aktarıldığı ifade edildi.

Koi araştırmacıları, “Herhangi bir dosyayı açtığınız anda, içeriğin tamamı kodlanıp gizli bir izleme bileşeni üzerinden dışarı aktarılıyor.” değerlendirmesinde bulundu.

Uzaktan komutla toplu dosya hırsızlığı
İkinci mekanizmada ise sunucu kontrollü bir komut aracılığıyla, kurbanın çalışma alanından 50’ye kadar dosyanın gizlice dışarı aktarılabildiği tespit edildi. Bu yöntemin, hassas proje dosyaları ve yapılandırma içerikleri için ciddi risk oluşturduğu vurgulandı.

Kullanıcı profilleme ve izleme
Üçüncü mekanizma ise doğrudan kullanıcı izlemeye odaklanıyor. Eklentilerin web arayüzü içinde sıfır piksel boyutunda bir iframe aracılığıyla Zhuge.io, GrowingIO, TalkingData ve Baidu Analytics gibi ticari analiz araçlarını yüklediği belirlendi. Bu araçların, kullanıcı davranışlarını izlemek, cihaz parmak izi çıkarmak ve kimlik profilleri oluşturmak için kullanıldığı aktarıldı.

Kaynak kodlar ve gizli anahtarlar risk altında
Koi Security, belgelenmemiş bu işlevlerin; özel kaynak kodlarının, yapılandırma dosyalarının, bulut servis kimlik bilgilerinin ve .env dosyalarında yer alan API anahtarlarının açığa çıkmasına yol açabileceği uyarısında bulundu.

Microsoft inceleme başlattı
BleepingComputer’ın ulaştığı Microsoft yetkilileri, konuya ilişkin inceleme başlatıldığını doğruladı. Microsoft sözcüsü, “Bu raporu inceliyoruz ve süreçlerimiz ile politikalarımız doğrultusunda gerekli adımları atacağız.” açıklamasını yaptı. Eklenti geliştiricileriyle ise iletişim kurulamadığı bildirildi.

Ajans Expres Gazetesi

Saldırganlar, ele geçirilen SSO hesapları üzerinden kurumsal SaaS platformlarına erişim sağladı. Uzmanlar, tek bir SSO hesabının ele geçirilmesinin, bağlı uygulamalar nedeniyle şirket sistemlerine geniş kapsamlı erişim sunduğuna dikkat çekti.

SSO panelleri kurumsal sistemlere açılan kapı
Okta, Microsoft Entra ve Google tarafından sunulan SSO hizmetleri, çalışanların bulut servisleri, iç araçlar ve iş platformlarına tek bir girişle erişmesini sağlıyor. Bu panellerde bağlı tüm uygulamaların listelenmesi, ele geçirilen bir hesabı kurumsal veriler için kritik bir geçit hâline getiriyor.

SSO üzerinden sıkça erişilen platformlar arasında Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk ve Atlassian gibi hizmetler yer alıyor.

Sesli oltalama ile gerçek zamanlı MFA yönlendirmesi
BleepingComputer’ın daha önce bildirdiği üzere saldırganlar, çalışanları telefonla arayarak IT birimi gibi davranıyor ve oltalama sayfalarına yönlendiriyor. Kurbanlar giriş yaptığında ve MFA süreci başladığında, saldırganlar gerçek zamanlı olarak yönlendirme yapıyor.

Okta tarafından yayımlanan raporda, bu saldırılarda kullanılan oltalama kitlerinin web tabanlı bir kontrol paneli içerdiği belirtildi. Bu panel sayesinde saldırganlar, telefon görüşmesi sırasında kurbana gösterilen ekranları anlık olarak değiştirerek MFA onayı, TOTP kodu girişi veya bildirim onaylatma adımlarını yönlendirebiliyor.

ShinyHunters saldırıları doğruladı
ShinyHunters, BleepingComputer’a yaptığı açıklamada, “Bu saldırıların arkasında olduğumuzu doğruluyoruz.” ifadesini kullandı. Grup, “Salesforce birincil ilgi ve hedefimiz olmaya devam ediyor, diğerleri ise bundan faydalanan unsurlar.” değerlendirmesinde bulundu.

Grup, saldırılarda kullanılan altyapı ve alan adlarına ilişkin bazı detayları doğrularken, Okta’nın paylaştığı bir oltalama kontrol sunucusu ekran görüntüsünün kendilerine ait olmadığını, kendi platformlarının şirket içinde geliştirildiğini savundu.

Şirketlerden farklı açıklamalar
Microsoft, konuya ilişkin paylaşacak bir bilgi olmadığını bildirirken, Google ise ürünlerinin kampanya kapsamında kötüye kullanıldığına dair kanıt bulunmadığını açıkladı. Google sözcüsü, “Şu aşamada Google’ın kendisinin veya ürünlerinin bu kampanyadan etkilendiğine dair bir bulgumuz yok.” dedi.

Okta ise veri hırsızlığı iddialarına doğrudan yorum yapmazken, sesli oltalama saldırılarında kullanılan araçlara ilişkin teknik detayları içeren raporunu kamuoyuyla paylaştı.

Önceki veri sızıntıları yeni saldırılarda kullanılıyor
ShinyHunters, daha önceki büyük veri ihlallerinden elde edilen bilgileri kullanarak çalışanlara ulaştığını öne sürdü. Bu veriler arasında telefon numaraları, unvanlar ve isimlerin yer aldığı, bu sayede sosyal mühendislik aramalarının daha inandırıcı hâle getirildiği belirtildi.

Grup, Tor ağı üzerindeki veri sızıntı sitesini yeniden faaliyete geçirdi. Sitede SoundCloud, Betterment ve Crunchbase ihlallerinin listelendiği görüldü. Crunchbase, kurumsal ağından bazı belgelerin sızdırıldığını doğrularken, olayın kontrol altına alındığını ve sistemlerin güvenli olduğunu açıkladı.

Ajans Expres Gazetesi

Konni grubunun, APT37 ve Kimsuky faaliyet kümeleriyle bağlantılı olduğu, en az 2014 yılından bu yana Güney Kore, Rusya, Ukrayna ve çeşitli Avrupa ülkelerini hedef aldığı biliniyor. Son kampanyada ise odak noktasının Asya-Pasifik bölgesi olduğu, zararlı yazılım örneklerinin Japonya, Avustralya ve Hindistan kaynaklı olarak sisteme yüklendiği kaydedildi.

Discord bağlantılı oltalama zinciri
Saldırı zinciri, hedef kişilere Discord üzerinden gönderilen bir bağlantı ile başlıyor. Bu bağlantı, içerisinde bir PDF yem dosyası ve zararlı bir LNK kısayol dosyası bulunan ZIP arşivini indiriyor. LNK dosyası çalıştırıldığında, gömülü PowerShell yükleyici devreye giriyor ve bir DOCX belgesi ile arka kapıyı içeren CAB arşivini sisteme çıkarıyor.

Kısayol dosyasının çalıştırılmasıyla DOCX belgesi açılırken, aynı anda zararlı CAB içindeki batch dosyalarından biri çalıştırılıyor. Check Point, yem belgesinin içerik itibarıyla geliştiricilerin çalışma ortamlarını hedef aldığını ve altyapı erişimi, API anahtarları, cüzdan yetkileri ve kripto varlıkların ele geçirilmesini amaçladığını belirtti.

Zamanlanmış görev ve iz silme
İlk batch dosyası, arka kapı için bir hazırlık dizini oluştururken, ikinci batch dosyası OneDrive başlangıç görevi gibi görünen saatlik zamanlanmış bir görev tanımlıyor. Bu görev, disk üzerinde XOR ile şifrelenmiş PowerShell betiğini çözüp bellekte çalıştırıyor ve ardından kendini silerek bulaşma izlerini ortadan kaldırıyor.

Yapay zekâ izleri taşıyan arka kapı
PowerShell arka kapısının; aritmetik tabanlı kodlama, çalışma anında dize oluşturma ve Invoke-Expression kullanımıyla yoğun biçimde gizlendiği aktarıldı. Check Point araştırmacıları, kodun yapısının insan eliyle yazılmış geleneksel zararlı yazılımlardan farklı olduğunu vurguladı.

Araştırmacılar, betiğin başındaki düzenli dokümantasyon, modüler ve temiz kod yapısı ile “# <– your permanent project UUID” ifadesinin, yapay zekâ tarafından üretilmiş kodlarda sıkça görülen bir özellik olduğunu kaydetti. Check Point, “Bu tür ifadeler, büyük dil modellerinin kullanıcıya bir yer tutucunun nasıl özelleştirileceğini anlatan tipik çıktılarıyla örtüşüyor.” değerlendirmesinde bulundu.

Analiz ortamlarına karşı kontroller
Zararlı yazılım çalışmadan önce donanım, yazılım ve kullanıcı etkileşimi kontrolleri yaparak analiz ortamlarında olup olmadığını tespit etmeye çalışıyor. Ardından cihaza özgü bir kimlik oluşturuyor ve yetki seviyesine göre farklı eylem yolları izliyor.

Arka kapı etkin hâle geldikten sonra, rastgele zaman aralıklarıyla komuta-kontrol sunucusuyla iletişime geçerek temel sistem bilgilerini iletiyor. Sunucudan PowerShell kodu içeren bir yanıt alınması hâlinde, bu kod arka planda eş zamanlı olarak çalıştırılıyor.

Konni ile ilişkilendirme
Check Point, saldırıların Konni grubuna atfedilmesini; daha önce görülen yükleyici formatları, yem dosyası isimleri, betik adları ve geçmiş kampanyalarla örtüşen çalıştırma zinciri yapısına dayandırdı. Araştırmacılar, savunma ekiplerinin önlem alabilmesi için kampanyaya ait zararlı göstergelerini kamuoyuyla paylaştı.

Ajans Expres Gazetesi

CISA, kataloğa eklenen açıklar için kurumun sahada istismar edildiğine dair kanıt bulunduğunu bildirdi. Ajans, bu kapsamda federal kurumların BOD 22-01 direktifi doğrultusunda güncelleme yapmasını veya ürünleri kullanmayı bırakmasını zorunlu kıldı.

Vite framework açığı dosya ifşasına yol açıyor
İstismar edilen açıklar arasında CVE-2025-31125 yer alıyor. Yüksek önem derecesine sahip bu açık, sunucunun doğrudan internete açık olduğu durumlarda izin verilmeyen dosyaların erişilebilir hâle gelmesine neden oluyor. Açığın yalnızca geliştirme ortamlarında etkili olduğu, sorunun 6.2.4, 6.1.3, 6.0.13, 5.4.16 ve 4.5.11 sürümlerinde giderildiği aktarıldı.

Versa Concerto’da kritik kimlik doğrulama atlatma
CISA tarafından aktif istismar altında olduğu belirtilen bir diğer açık ise CVE-2025-34026 oldu. Kritik seviyedeki bu zafiyet, Versa Concerto SD-WAN orkestrasyon platformunda kimlik doğrulama atlatılmasına olanak tanıyor. Açığın, Traefik ters proxy yapılandırma hatasından kaynaklandığı ve yönetici uç noktalarına erişim sağladığı belirtildi.

Etkilenen sürümlerin Concerto 12.1.2 ile 12.2.0 aralığında olduğu, ancak başka sürümlerin de risk altında olabileceği ifade edildi. Açığın, ProjectDiscovery araştırmacıları tarafından 13 Şubat 2025’te bildirildiği, Versa’nın ise 7 Mart 2025’te düzeltmeyi yayımladığı kaydedildi.

Prettier tedarik zinciri saldırısı listede
CISA, CVE-2025-54313 kodlu açığın da saldırılarda kullanıldığını açıkladı. Bu açık, eslint-config-prettier paketini hedef alan bir tedarik zinciri saldırısından kaynaklandı. Temmuz 2025’te npm üzerinden yayımlanan zararlı sürümlerin, Windows sistemlerde npm kimlik doğrulama anahtarlarını çaldığı bildirildi.

Etkilenen sürümlerin 8.10.1, 9.1.1, 10.1.6 ve 10.1.7 olduğu ve zararlı kodun yükleme sırasında devreye girdiği aktarıldı.

Zimbra Webmail’de dosya dahil etme açığı
Aktif olarak istismar edildiği belirtilen son açık ise CVE-2025-68645 oldu. Aralık 2025’te açıklanan bu zafiyet, Zimbra Collaboration Suite 10.0 ve 10.1 sürümlerinde kullanılan Webmail Classic arayüzünde yerel dosya dahil etme imkânı sunuyor.

CISA, kimlik doğrulaması olmayan saldırganların /h/rest uç noktasını kullanarak WebRoot dizinindeki dosyalara erişebildiğini belirtti.

Federal kurumlara son tarih 12 Şubat 2026
CISA, söz konusu açıkların fidye yazılımı saldırılarında kullanılıp kullanılmadığının bilinmediğini, ancak tehdit seviyesinin yüksek olduğunu vurguladı. Ajans, federal kurumların 12 Şubat 2026 tarihine kadar güvenlik güncellemelerini uygulamasını veya riskli ürünleri devre dışı bırakmasını zorunlu kıldı.

Ajans Expres Gazetesi

Sandworm; UAC-0113, APT44 ve Seashell Blizzard adlarıyla da biliniyor ve 2009’dan bu yana faaliyet gösteriyor. Grup, Rusya Federasyonu Askerî İstihbarat Teşkilatı GRU’ya bağlı 74455 numaralı birlikle ilişkilendiriliyor ve geçmişte yıkıcı siber saldırılarla gündeme gelmişti.

Yaklaşık on yıl önce Sandworm, Ukrayna’nın enerji şebekesine yönelik düzenlediği saldırıyla 230 bin kişinin elektrik kesintisi yaşamasına neden olmuştu. Uzmanlar, Polonya’daki girişimin bu saldırılarla benzerlik taşıdığına dikkat çekti.

Polonya makamları tarafından yapılan açıklamada, saldırının iki kojenerasyon santralini ve rüzgâr türbinleri ile güneş enerjisi santrallerinden üretilen elektriğin yönetildiği bir kontrol sistemini hedef aldığı bildirildi. Polonya Başbakanı Donald Tusk, basın toplantısında, “Her şey bu saldırıların doğrudan Rus servisleriyle bağlantılı gruplar tarafından hazırlandığını gösteriyor.” dedi.

ESET, DynoWiper hakkında sınırlı teknik detay paylaştı. Zararlı yazılımın Win32/KillFiles.NMO olarak tespit edildiği ve 4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6 SHA-1 özet değerine sahip olduğu aktarıldı. Ancak güvenlik araştırmacıları, zararlı yazılım örneğinin VirusTotal, Any.Run ve benzeri platformlarda henüz bulunamadığını kaydetti.

Veri silici zararlı yazılımlar, dosya sistemini tarayarak verileri geri dönülmez şekilde siliyor ve sistemleri kullanılamaz hâle getiriyor. Bu tür saldırılardan sonra sistemlerin genellikle yedeklerden yeniden kurulması gerekiyor.

Saldırganların Polonya sistemlerinde ne kadar süre kaldığı ve ilk erişimi nasıl sağladığı netlik kazanmazken, Team Cymru Kıdemli Tehdit İstihbarat Danışmanı Will Thomas, savunma ekiplerine Microsoft’un Şubat 2025’te yayımladığı Sandworm raporunu incelemelerini önerdi.

Sandworm grubu, son olarak Haziran ve Eylül 2025’te Ukrayna’nın eğitim, kamu ve tahıl sektörlerini hedef alan yıkıcı veri silme saldırılarıyla ilişkilendirilmişti.

Ajans Expres Gazetesi

Araştırma, üç bölüm halinde yayımlandı. İlk bölümde çipin EMFI saldırılarına karşı karakterizasyonu, ikinci bölümde Secure Monitor içinde rastgele okuma ve yazma elde edilmesi, üçüncü bölümde ise EL3 seviyesinde kalıcı kod yürütme ayrıntıları paylaşıldı. Araştırmacılar, “Amaç, donanım tabanlı güvenlik mekanizmalarının gerçek dünyada ne kadar dayanıklı olduğunu ölçmekti.” ifadelerini kullandı.

Elektromanyetik Hata Enjeksiyonu Nasıl Çalışıyor
EMFI yöntemi, işlemci üzerine çok kısa süreli ve yüksek enerjili elektromanyetik darbeler uygulanmasına dayanıyor. Bu darbeler sayesinde işlemcinin yürüttüğü talimatların bozulabildiği belirtiliyor. Araştırmacılar, “Bir kontrol talimatı atlanabiliyor ya da beklenen işlem yerine farklı bir komut yürütülebiliyor.” değerlendirmesinde bulundu.

Secure Monitor Kontrolleri Atlatıldı
Çalışmanın ikinci aşamasında, Secure Monitor tarafından uygulanan adres doğrulama mekanizmalarının hedef alındığı aktarıldı. Normal şartlarda yalnızca izin verilen bellek alanlarına erişim sağlayan is_allowed_address benzeri kontrollerin, doğru zamanlamayla yapılan EMFI saldırıları sonucunda devre dışı bırakılabildiği kaydedildi. Bu sayede, EL3 bağlamında rastgele 32 bit okuma ve yazma yapılabildiği vurgulandı.

XPU Yapılandırması Değiştirildi
Araştırmanın en kritik aşamasında, TrustZone adres alanlarını koruyan XPU yapılandırmasının yeniden programlanabildiği belirtildi. Araştırmacılar, “Tek bir başarılı glitch, Secure Monitor içinde keyfi uzunlukta kod yürütmek için yeterli.” ifadesini kullandı. Bu durumun, cihazın en korumalı yazılım katmanının tamamen kontrol altına alınması anlamına geldiği aktarıldı.

Saldırı Zor Ama Mümkün
Araştırmacılar, saldırının pratikte yüksek beceri, hassas ekipman ve uzun deneme süreleri gerektirdiğini belirtti. Ortalama başarı süresinin 30 ila 40 dakika arasında değiştiği, çok sayıda yeniden başlatma ve zamanlama denemesi gerektiği kaydedildi. Buna rağmen, elde edilen sonucun teorik değil, pratik olarak uygulanabilir olduğu vurgulandı.

Donanım Güvenliği Tartışması
Çalışma, gömülü ağ cihazlarında yalnızca yazılımsal önlemlerin yeterli olmayabileceğini ortaya koydu. Araştırmacılar, “TrustZone ve Secure Monitor gibi donanım destekli güvenlik katmanları bile fiziksel saldırılar karşısında aşılabilir.” değerlendirmesinde bulundu. Fiziksel erişim sağlanan cihazlarda, en yüksek ayrıcalık seviyesinin dahi ele geçirilebileceği uyarısı yapıldı.

Ajans Expres Gazetesi

VoiceOver Çerçevesi Üzerinden İstismar
Güvenlik araştırmacıları, açığın VoiceOver framework’ü ve com.apple.scrod adlı sistem servisi üzerinden tetiklendiğini belirtti. Bu yöntemle saldırganların, Apple tarafından imzalanmış süreçlere kod enjekte edebildiği ve bu süreçler aracılığıyla AppleScript çalıştırabildiği ifade edildi.

TOCTOU Yarış Koşulu ile Tam TCC Aşımı
İstismarın temelinde, Time-of-Check-Time-of-Use (TOCTOU) türü bir yarış koşulunun yer aldığı kaydedildi. Kod enjeksiyonu ile bu yarış koşulunun birlikte kullanılması sonucunda, saldırganların Finder ile etkileşime girebildiği, dosya okuyabildiği, mikrofona erişebildiği ve keyfi AppleScript komutları çalıştırabildiği aktarıldı. Tüm bu işlemlerin kullanıcıya herhangi bir bildirim gönderilmeden gerçekleştiği vurgulandı.

Apple: Açık macOS 26.2 ile Kapatıldı
Apple, güvenlik açığının macOS 26.2 sürümünde giderildiğini duyurdu. Şirket, com.apple.private.accessibility.scrod yetkisinin artık process audit token üzerinden doğrulandığını ve bu sayede hem kod enjeksiyonu açığının hem de TOCTOU penceresinin ortadan kaldırıldığını açıkladı.

Kullanıcılara Güncelleme Çağrısı
Apple, kullanıcıların sistemlerini en kısa sürede güncellemelerini önerdi. Güncellemenin, macOS → System Settings → Software Update adımları izlenerek yapılabileceği hatırlatıldı. Güvenlik uzmanları, açığın kapsamı nedeniyle güncellemenin geciktirilmemesi gerektiğini belirtti.

Ajans Expres Gazetesi

Paylaşımda yer alan bilgilere göre söz konusu veri seti 7 Ocak 2026 tarihinde satış listesine eklendi. Konuya ilişkin uyarılar ve güvenlik tartışmaları ise 9 Ocak 2026 itibarıyla kamuoyunda ve siber güvenlik topluluklarında gündeme geldi.

İddia Edilen Veri İçeriği
Satışa çıkarıldığı öne sürülen veri setinde, kullanıcı adları, kullanıcı kimlik numaraları, e-posta adresleri, telefon numaraları ve kısmi konum bilgilerinin yer aldığı ifade edildi. Paylaşılan bilgilerde parola verilerinin bulunmadığı belirtilse de, uzmanlar bu tür bilgilerin ciddi riskler barındırdığına dikkat çekti.

Hesap Güvenliği Açısından Riskler
Siber güvenlik uzmanları, parola içermeyen veri setlerinin dahi şifre sıfırlama girişimleri, sosyal mühendislik saldırıları ve SIM kart kopyalama gibi yöntemlerle kötüye kullanılabileceğini vurguladı. Bu tür veri kümelerinin, kullanıcıları hedef alan daha karmaşık saldırıların temelini oluşturabildiği kaydedildi.

Meta’dan Açıklama Bekleniyor
İddialara ilişkin olarak Meta tarafından şu ana kadar resmi bir doğrulama veya yalanlama yapılmadığı bildirildi. Güvenlik çevreleri, olayın doğrudan yeni bir ihlalden ziyade eski verilerin yeniden dolaşıma sokulması ihtimalini de değerlendirmeye aldı.

Kullanıcılara Uyarı
Uzmanlar, Instagram kullanıcılarına kimlik doğrulayıcı uygulama ile iki faktörlü kimlik doğrulamayı etkinleştirmeleri, hesaplarında olağandışı hareketleri takip etmeleri ve resmi olmayan destek mesajlarına itibar etmemeleri yönünde uyarılarda bulundu.

Ajans Expres Gazetesi

Açığın, Windows işletim sistemlerinde çalışan on-premise Apex Central kurulumlarını etkilediği bildirildi. Güvenlik zafiyetinin, MsgReceiver.exe bileşeni üzerinden tetiklendiği ve LoadLibraryEx fonksiyonunun kötüye kullanılmasıyla saldırgan kontrollü bir DLL dosyasının sisteme yüklendiği belirtildi.

Kimlik Doğrulama Gerektirmiyor
Paylaşılan teknik detaylara göre saldırganın herhangi bir kullanıcı hesabına veya yetkilendirmeye ihtiyaç duymadığı aktarıldı. Uzaktan ve kimliği doğrulanmamış bir saldırganın, 0x0a8d (SC_INSTALL_HANDLER_REQUEST) kodlu özel hazırlanmış bir mesaj göndererek açığı istismar edebildiği ifade edildi.

SYSTEM Yetkileriyle Çalıştırma Riski
Açığın başarılı şekilde kullanılması durumunda, zararlı kodun SYSTEM yetkileriyle çalıştırılabildiği ve bunun da etkilenen sunucu üzerinde tam kontrol anlamına geldiği kaydedildi. Bu durumun veri sızıntısı, kalıcı arka kapı oluşturma ve ağ içi yatay hareket gibi ileri seviye saldırılara zemin hazırladığı vurgulandı.

Trend Micro’dan Acil Yama Çağrısı
Trend Micro, söz konusu güvenlik açığına karşı güvenlik yamalarının yayımlandığını duyurdu. Şirket, tüm kurumlara on-premise Apex Central kurulumlarını acilen güncellemeleri, MsgReceiver.exe ile ilişkili olağandışı aktiviteleri izlemeleri ve sistem günlüklerini detaylı biçimde incelemeleri çağrısında bulundu.

Ajans Expres Gazetesi

Saatler içinde gerçekleşen müdahalenin ardından, İran sınırları içindeki Starlink trafiğinin yüzde 80’den fazlasının kesildiği tespit edildi. Uzmanlar, bu oranın kısa sürede ülke genelinde uydu bağlantılarını işlevsiz hale getirdiğini belirtti.

Protestolar Sırasında Kritik Alternatifti
Starlink, önceki internet kesintileri sırasında özellikle protestocular, aktivistler ve gazeteciler için devlet kontrolündeki ağlara alternatif bir iletişim kanalı olarak kullanılıyordu. Yeni karıştırma hamlesiyle birlikte bu seçeneğin de büyük ölçüde devre dışı kaldığı kaydedildi.

Askeri Düzeyde Yeni Bir Aşama
Siber güvenlik uzmanları, kullanılan yöntemin sivil karartmaların ötesinde, askeri seviyede elektronik harp kapasitesi gerektirdiğine dikkat çekti. Bu durum, İran’ın internet kontrol stratejisinde yeni ve daha sert bir aşamaya geçildiği şeklinde yorumlandı.

Ajans Expres Gazetesi

GlassWorm ilk kez ekim ayında ortaya çıktı. Zararlı yazılım, görünmez Unicode karakterler kullanılarak gizlenen eklentiler aracılığıyla GitHub, npm ve OpenVSX hesap bilgilerini, ayrıca tarayıcı tabanlı kripto cüzdan verilerini ele geçirmeyi hedefledi. Önceki dalgalarda Windows sistemler odak alınırken, son kampanyada yalnızca macOS kullanıcılarının hedef seçildiği bildirildi.

Yeni Saldırı Yöntemi ve Teknik Detaylar
Araştırmacılara göre son dalgada, önceki sürümlerde kullanılan Unicode gizleme veya Rust tabanlı ikililer yerine, AES-256-CBC ile şifrelenmiş bir yük derlenmiş JavaScript kodu içine gömülüyor. Zararlı eklentilerin, kurulumu takip eden 15 dakikalık gecikmeyle çalıştığı ve bu yöntemin analiz ortamlarından kaçınmayı amaçladığı ifade edildi.

GlassWorm’un yeni sürümü, PowerShell yerine AppleScript kullanıyor ve kalıcılık için Windows Kayıt Defteri yerine LaunchAgents mekanizmasından yararlanıyor. Komuta-kontrol altyapısında ise önceki kampanyalarda da kullanılan Solana blokzinciri tabanlı yapı korunuyor.

Trojenli Donanım Cüzdanları ve Keychain Hedefi
Zararlı yazılımın, 50’den fazla tarayıcı kripto eklentisini, geliştirici hesap bilgilerini ve tarayıcı verilerini hedef almasının yanı sıra artık macOS Keychain parolalarına erişmeye çalıştığı kaydedildi. Ayrıca sistemde Ledger Live ve Trezor Suite gibi donanım cüzdan uygulamalarını tespit ederek, bunları trojenli sürümlerle değiştirmeyi amaçlayan yeni bir yetenek eklendi.

Koi Security, bu mekanizmanın şu an için başarısız olduğunu ve trojenli cüzdan dosyalarının boş döndüğünü belirtti. Kurum, “Bu durum saldırganların macOS cüzdan trojenlerini henüz hazırlamakta olduğunu ya da altyapının geçiş aşamasında bulunduğunu gösteriyor. Ancak tüm diğer zararlı işlevler aktif durumda.” açıklamasını yaptı.

Binlerce İndirme, Artan Risk
OpenVSX üzerinde yayımlanan ve zararlı olduğu tespit edilen eklentilerden bazılarının 33 bini aşkın indirme sayısına ulaştığı görüldü. Uzmanlar, bu tür rakamların güvenilirlik algısı oluşturmak için manipüle edilebildiğine dikkat çekti.

Güvenlik uzmanları, ilgili eklentileri yükleyen geliştiricilerin derhal kaldırma, GitHub parolalarını sıfırlama, npm erişim anahtarlarını iptal etme, sistemlerini detaylı şekilde kontrol etme ve gerekirse işletim sistemini yeniden kurma çağrısında bulundu.

Ajans Expres Gazetesi

Güvenlik araştırmacılarının paylaştığı bilgilere göre zafiyet, VoiceOver framework’ü üzerinden çalışan com.apple.scrod sistem servisini hedef alıyor. Bu yapı istismar edilerek Apple tarafından imzalanmış süreçler içinde kod çalıştırılabildiği, bunun için yönetici yetkisine gerek duyulmadığı kaydedildi.

Kod Enjeksiyonu ve TOCTOU Birlikteliği
Açığın istismar sürecinde iki kritik unsurun bir araya geldiği aktarıldı. Bunların, Apple imzalı süreçlere yönelik kod enjeksiyonu ve bir Time-of-Check-Time-of-Use (TOCTOU) yarış durumu olduğu ifade edildi. Bu kombinasyonun, TCC korumasını tamamen etkisiz hale getirdiği vurgulandı.

Bu yöntemle saldırganların; belgelere erişebildiği, mikrofonu kullanabildiği, Finder ile etkileşime girebildiği ve AppleScript komutlarını çalıştırabildiği, tüm bunların ise kullanıcıya herhangi bir bildirim gösterilmeden gerçekleştirilebildiği aktarıldı.

Apple’dan Güvenlik Güncellemesi
Apple, söz konusu güvenlik açığını macOS 26.2 sürümünde yayımladığı güncellemeyle giderdi. Güncelleme kapsamında, com.apple.private.accessibility.scrod yetkisinin süreç denetim belirteci üzerinden doğrulanmasının zorunlu hale getirildiği, bu sayede hem kod enjeksiyonu açığının hem de TOCTOU penceresinin kapatıldığı bildirildi.

Apple, macOS 26.2 güvenlik güncellemesine ilişkin teknik detayları resmi güvenlik bülteninde paylaştı. Kullanıcıların, Sistem Ayarları > Yazılım Güncelleme adımlarını izleyerek en son sürüme geçmeleri önerildi.

Ajans Expres Gazetesi

Dark Web Forumunda Paylaşıldı
Dark Web Informer tarafından aktarılan bilgilere göre, sızdırıldığı iddia edilen veriler bir dark web forumunda satışa veya paylaşıma açıldı. Tehdit aktörü, ele geçirilen bilgilerin NordVPN’e ait Salesforce veritabanı içerikleri olduğunu savundu.

Brute Force ile Erişim İddiası
Paylaşımda, saldırganın yanlış yapılandırılmış bir NordVPN geliştirme sunucusunu brute force yöntemiyle ele geçirdiği ileri sürüldü. Bu sunucuda Salesforce ve Jira sistemlerine ait bilgilerin birlikte tutulduğu iddia edildi.

Sızdırıldığı Öne Sürülen Veriler
Dark Web Informer, tehdit aktörünün paylaştığını iddia ettiği örnekler üzerinden şu bilgilerin ele geçirildiğini bildirdi:
10’dan fazla veritabanı kaynak kodu, Salesforce API anahtarları, Jira erişim tokenları ve ek hassas teknik bilgiler.

SQL Dökümleri Paylaşıldı
Forumda yayınlanan örnek SQL dökümlerinde, “salesforce_api_step_details” ve “api_keys” tablolarına ait yapılar ile ayrıntılı veritabanı şema bilgilerinin yer aldığı öne sürüldü. Bu örneklerin, iddiaların gerçekliğini desteklemek amacıyla paylaşıldığı ifade edildi.

NordVPN’den Resmî Açıklama Bekleniyor
Sızıntı iddialarına ilişkin olarak NordVPN tarafından şu ana kadar kamuoyuna yansımış resmî bir açıklama bulunmuyor. Uzmanlar, iddiaların doğrulanması hâlinde bunun VPN hizmetlerine duyulan güven açısından önemli sonuçlar doğurabileceğini belirtiyor.

Ajans Expres Gazetesi

20 Yıllık Açıklardan Güncel Zafiyetlere Kadar Tarama
Uzmanlar, saldırıların hem 20 yıla varan eski güvenlik açıklarını hem de 2023–2024 döneminde açıklanan kritik zafiyetleri hedef aldığını belirtti. ColdFusion’a odaklanan aşamada, 10’dan fazla kritik güvenlik açığının aktif biçimde istismar edilmeye çalışıldığı kaydedildi.

Saldırıların Zamanlaması Dikkat Çekti
Saldırı trafiğinin yüzde 68’inin Noel Günü gerçekleştiği bilgisi paylaşıldı. Araştırmacılar, bu zamanlamanın SOC ekiplerinin düşük kapasiteyle çalıştığı tatil dönemlerini bilinçli olarak hedef aldığını vurguladı.

Saldırı Kaynakları ve Teknikler
Analizlerde, saldırı trafiğinin büyük bölümünün 134.122.136.119 ve 134.122.136.96 IP adreslerinden geldiği tespit edildi. Kampanya kapsamında Interactsh ile out-of-band doğrulama, WDDX deserialization açıklarının istismarı ve JNDI/LDAP enjeksiyon saldırıları kullanıldı.

Öne Çıkan Güvenlik Açıkları
Saldırılarda en sık hedef alınan zafiyetler arasında CVE-2022-26134 (Confluence OGNL Injection) ve CVE-2014-6271 (Shellshock) yer aldı. Uzmanlar, ColdFusion’un bu kampanyanın yalnızca bir parçası olduğunu, saldırı yüzeyinin çok daha geniş olduğunu ifade etti.

Acil Önlem Çağrısı
Güvenlik ekiplerine, ilgili IP adreslerinin ve bağlantılı ASN’lerin engellenmesi, ColdFusion ve Java tabanlı altyapıların öncelikli olarak yamalanması ve özellikle tatil dönemlerine ait log kayıtlarının detaylı incelenmesi çağrısında bulunuldu.

Ajans Expres Gazetesi

Araştırmacılar tarafından paylaşılan teknik çalışmada, PWNSAT ile yer istasyonu arasındaki haberleşmenin pasif olarak dinlenmesi ayrıntılı biçimde belgelendi. Çalışmada, yazılım tabanlı radyo sistemleri kullanılarak uyduya ait telemetri ve telekomut sinyallerinin tespit edilmesi, yakalanması ve çözümlenmesi adım adım gösterildi.

Yazılım Tabanlı Radyo ile Dinleme Senaryosu
Araştırmada, gerçek dünyadaki bir dinleme saldırısını taklit eden bir laboratuvar ortamı kuruldu. Hedef olarak, donanımı, yazılımı ve yer istasyonu bileşenleriyle bilerek savunmasız bırakılan PWNSAT 0.1 FlatSat sistemi seçildi. RTL-SDR ve HackRF One cihazları ile açık kaynak yazılımlar kullanılarak, uydunun aşağı yönlü telemetri ve yukarı yönlü telekomut trafiği izlendi.

“Gizli Frekans Güvenli Değildir”
Spektrum taraması sonucunda, uydunun LoRa tabanlı haberleşme yaptığı 915 MHz ISM bandında belirgin sinyal patlamaları tespit edildi. Araştırmacılar, bu bulgunun “gizli frekans” yaklaşımının tek başına bir güvenlik önlemi olmadığını açık biçimde ortaya koyduğunu vurguladı.

Şifreleme Olmadan Aktarılan Veriler
Çalışmada, CCSDS Space Packet Protocol kullanan telemetri verilerinin uygulama katmanında şifrelenmemiş olması nedeniyle, ham radyo sinyallerinin anlamlı sensör verilerine dönüştürülebildiği gösterildi. BME280 ve MPU6050 sensörlerinden gelen çevresel ve hareket verilerinin gerçek zamanlı olarak çözümlenebildiği kaydedildi.

Gelecekteki Risklere Dikkat Çekildi
Araştırmacılar, pasif dinlemenin çoğu zaman son adım olmadığını belirterek, telemetri verilerinin ele geçirilmesinin uydunun çalışma döngülerini ve sağlık durumunu açığa çıkardığını ifade etti. Bu durumun, daha ileri mantıksal ya da fiziksel saldırılar için zemin hazırlayabileceği kaydedildi.

Paylaşılan çalışmada, tüm deneylerin eğitim ve araştırma amacıyla, kontrollü bir laboratuvar ortamında gerçekleştirildiği özellikle vurgulandı. Yetkisiz uydu haberleşmesi dinlemenin ulusal ve uluslararası hukuka aykırı olabileceği hatırlatıldı.

Ajans Expres Gazetesi

BreachForums’ta İlk Alarm
2024’ün başlarında “Tamagami” adlı bir tehdit aktörünün BreachForums’ta yaptığı paylaşım, sistemin nasıl istismar edildiğini gözler önüne serdi. Söz konusu paylaşımda, “Kodex Global hesabımı satıyorum. Binance veya Coinbase üzerinden EDR ile istediğiniz kişiyi sorgulayabilirsiniz.” ifadeleri yer aldı. İddialara göre tekil sorgu bedelleri 300 dolara, tam erişim ise 5 bin dolara kadar çıktı.

Hedefte Sosyal Ağlar ve Kripto Platformları
Araştırmalara göre Kodex üzerinden yapılan sahte acil talepler yalnızca kripto borsalarıyla sınırlı kalmadı. Discord, Tinder ve LinkedIn gibi sosyal platformların da listede yer aldığı, bu yolla kullanıcıların IP adresleri, telefon numaraları ve fiziksel adreslerinin elde edildiği kaydedildi.

Sistem Nasıl İstismar Ediliyor
Uzmanlar, Kodex altyapısının teknik olarak güvenli olduğunu ancak insan faktörünün zayıf halka haline geldiğini vurguladı. Sürecin, bilgi hırsızlığı zararlıları ve oltalama saldırılarıyla ele geçirilen .gov ve .police uzantılı e-posta hesaplarıyla başladığı aktarıldı. Bu adreslerle Kodex’e kayıt yapıldığı ve “hayati tehlike” veya “terör şüphesi” gibi gerekçelerle platformlardan veri talep edildiği ifade edildi.

“EDR as a Service” Dönemi
Şubat 2025 tarihli paylaşımlar, sahte Kodex hesaplarının fiyatlarının 400 dolara kadar düştüğünü gösterdi. Bu durumun, düşük profilli saldırganların da sistemi kullanabilir hale gelmesine yol açtığı bildirildi. Aralık 2025 itibarıyla bazı grupların, “doğrulanmış Avrupa devlet e-postalarıyla EDR geçeriz” şeklinde açık ilanlar verdiği kaydedildi.

Sanal Veriden Fiziksel Tehdide
Elde edilen adres ve iletişim bilgilerinin yalnızca ifşa için değil, fiziksel tehditler için de kullanıldığı belirtildi. Uzmanlar, saldırganların bu verilerle sahte bomba ihbarı veya rehine bildirimi yaparak polis ekiplerini hedef adreslere yönlendirdiğini, bu yöntemin geçmişte ABD’de ölümle sonuçlanan olaylara neden olduğunu hatırlattı.

APT Grupları ve Fidye Çeteleri de Kullanıyor
Analizlerde, Lapsus$ ve Scattered Spider gibi organize grupların yanı sıra devlet destekli APT yapılanmalarının da Kodex EDR’yi stratejik bir araç olarak gördüğü ifade edildi. Fidye gruplarının, şirket yöneticilerinin aile bireylerine ulaşarak baskıyı artırdığı; APT gruplarının ise diplomat, gazeteci ve muhalifleri zararlı yazılım kullanmadan izleyebildiği aktarıldı.

Ajans Expres Gazetesi

100 Bin Numara Üzerinden Teknik Test
Ebubekir Bastama tarafından yürütülen çalışmada, 100.000 adet benzersiz telefon numarası WhatsApp Web istemcisi üzerinden ayrı ayrı test edildi. Test süreci boyunca herhangi bir hız kısıtı, engelleme veya rate-limit davranışıyla karşılaşılmadığı belirtildi.

Resmi İstemci Katmanları İncelendi
Araştırmada, WhatsApp Web arayüzünün normal işleyişinde kullandığı ContactStore ve ChatStore bileşenleri analiz edildi. Bastama, bu yapıların profil bilgileri, sohbet başlıkları ve kullanıcı durumlarının istemciye yansıtılmasında kullanılan resmi istemci API’lerinin çıktıları olduğunu ifade etti.

Sunucu Taraflı Doğrulama Davranışı
Yayımlanan bulgulara göre, WhatsApp Web istemcisi, girilen her numara için WhatsApp sunucularıyla arka planda iletişim kurarak doğrulama gerçekleştiriyor. Bu sürecin, arayüzün olağan kullanım kalıpları içinde gerçekleştiği ve anormal bir istek paterni oluşturmadığı vurgulandı.

Değerlendirme Kriterleri Açıklandı
Her numara için doğrulama, Contact durumu veya Chat durumu kriterlerine göre yapıldı. Bu göstergelerin, sunucu tarafında gerçekleşen doğrulamanın istemciye yansıyan sonucu olduğu belirtildi.

%100 Doğrulukla Teyit Edildi
Ebubekir Bastama, WhatsApp kullanıcısı olan ve olmayan numaraların tamamının doğru şekilde ayrıştırıldığını, test sonuçlarının sonrasında manuel kontrollerle doğrulandığını ve %100 doğruluk oranına ulaşıldığını kaydetti.

Herkese Açık Profil Bilgileri Gözlemi
Çalışmada ayrıca, kullanıcıların gizlilik ayarlarıyla herkese açık hale getirdiği profil fotoğrafı, görünen isim, işletme adı ve profil durumu gibi bilgilerin WhatsApp Web istemcisi üzerinden erişilebilir olduğu gözlemlendi. Bu erişimin ek bir doğrulama gerektirmediği ifade edildi.

Güvenlik Açığı Değil, Teknik İnceleme
Bastama, çalışmanın bir güvenlik açığı veya istismar niteliği taşımadığını belirtti. İncelenen istemci–sunucu iletişiminin, WhatsApp Web uygulamasının kendi çalışma mantığı içinde kullanılan uç noktalara dayandığı ve herhangi bir yetki aşımı yapılmadığı vurgulandı.

Etik Çerçeve Vurgusu
Araştırmacı Ebubekir Bastama, elde edilen bulguların yalnızca teknik analiz ve araştırma amacıyla değerlendirildiğini, spam, otomasyon veya izinsiz pazarlama faaliyetlerinde kullanılmasının platform politikalarına aykırı olduğunu ifade etti.

Ajans Expres Gazetesi

Görev Tanımı Genişletildi
Kararnameye göre Siber Güvenlik Başkanlığı, siber güvenlik ve dijital devlet alanında mevzuat çalışmalarını yürütmek, ulusal strateji ve eylem planlarını hazırlamak ve uygulanmasını koordine etmekle görevlendirildi. Ulusal ve uluslararası düzenlemelere uyum sağlanması ile ilgili kurumlar arası koordinasyon da başkanlığın sorumlulukları arasında yer aldı.

Dijital Devlet ve Veri Standartları Vurgusu
Düzenleme kapsamında başkanlığa, dijital devlet kurumsal mimarisini oluşturma, kamu kurumlarının geliştireceği bilişim ürün ve hizmetlerine ilişkin idari, mali ve teknik ilkeleri belirleme yetkisi verildi. Ayrıca kamu projelerinde kullanılacak verilerin kalite kriterleri ve standartlarının belirlenmesi de görev alanına eklendi.

Teşkilat Yapısı Yeniden Düzenlendi
Kararname ile başkanlığın teşkilat yapısı; başkan, üç başkan yardımcısı ve hizmet birimleri şeklinde yeniden tanımlandı. Başkanlığın yurt içinde temsilcilik kurabilmesine ve yurt dışı teşkilatlanmaya yetkili olmasına ilişkin hükümler de düzenlemede yer aldı.

Yeni Genel Müdürlükler Kuruldu
Yapılan değişiklikle Kamu Yapay Zekâ Genel Müdürlüğü, Dijital Devlet Genel Müdürlüğü, Yönetim Hizmetleri Genel Müdürlüğü ve Strateji Geliştirme Dairesi Başkanlığı başkanlık bünyesine eklendi. Mevcut bazı birimler ise yürürlükten kaldırılarak yeni yapıya entegre edildi.

Kadrolar Yeniden Belirlendi
Kararnamenin ekinde yer alan listeyle Siber Güvenlik Başkanlığının merkez teşkilatına ait kadrolar yeniden düzenlendi. Başkan, başkan yardımcıları, genel müdürler, daire başkanları ve teknik personel dahil olmak üzere çok sayıda unvan için derece ve adetler yeniden tanımlandı.

Cumhurbaşkanı Recep Tayyip Erdoğan tarafından imzalanan kararname, yayımlandığı tarih itibarıyla yürürlüğe girdi.

Ajans Expres Gazetesi

Interpol tarafından paylaşılan bilgilere göre, operasyon kapsamında 574 şüpheli gözaltına alındı, 3 milyon dolar değerinde suç geliri ele geçirildi ve 6 binden fazla zararlı bağlantı etkisiz hâle getirildi. İncelenen siber suç dosyalarının, toplamda 21 milyon doları aşan mali kayıplarla bağlantılı olduğu belirtildi.

Altı Fidye Yazılımı Çözüldü
Interpol, teknik analizler sonucunda altı farklı fidye yazılımı varyantı için şifre çözme imkânı sağlandığını duyurdu. Bu sayede, saldırıya uğrayan kurumların önemli bir bölümünde verilerin geri kazanılabildiği kaydedildi.

Afrika’da Öne Çıkan Operasyonlar
Interpol, Operation Sentinel kapsamında Afrika ülkelerinde elde edilen bazı somut sonuçları paylaştı. Senegal’de bir petrol şirketini hedef alan 7,9 milyon dolarlık BEC havalesinin hesaplar dondurularak durdurulduğu açıklandı.

Gana’da bir finans kuruluşuna yönelik fidye yazılımı saldırısında 100 TB verinin şifrelendiği, kolluk kuvvetlerinin zararlıyı analiz ederek şifre çözme aracı geliştirdiği ve 30 TB verinin kurtarıldığı bildirildi. Bu olayla bağlantılı olarak birden fazla kişinin gözaltına alındığı ifade edildi.

Gana ve Nijerya’da, tanınmış fast-food markalarını taklit eden sınır ötesi bir dolandırıcılık operasyonunda 200’den fazla mağdurun 400 bin dolardan fazla zarara uğradığı, operasyon sonucunda 10 şüphelinin yakalandığı, 100’den fazla cihazın ele geçirildiği ve 30 sunucunun kapatıldığı belirtildi.

Benin’de 106 kişinin gözaltına alındığı, 43 zararlı alan adının kaldırıldığı ve 4 bin 318 dolandırıcılıkla ilişkili sosyal medya hesabının kapatıldığı açıklandı. Kamerun’da ise çevrim içi araç satış dolandırıcılığına hızlı müdahale edilerek ele geçirilmiş bir sunucuya ulaşıldığı ve saatler içinde acil banka hesap dondurma işlemi yapıldığı bildirildi.

Interpol’den Uyarı
Interpol Siber Suç Direktörü Neal Jetton, “Afrika genelinde siber saldırıların ölçeği ve karmaşıklığı hızla artıyor, özellikle finans ve enerji gibi kritik sektörler hedef alınıyor.” dedi. Jetton, Operation Sentinel sonuçlarının, bölgedeki kolluk kuvvetlerinin uluslararası iş birliği konusundaki kararlılığını ortaya koyduğunu vurguladı.

Özel Sektör Desteği
Operasyona Team Cymru, The Shadowserver Foundation, Trend Micro, TRM Labs ve Uppsala Security gibi özel sektör kuruluşlarının da destek verdiği açıklandı. Bu firmaların, fidye yazılımı ve şantaj saldırılarında kullanılan IP adreslerinin izlenmesi ve suç gelirlerinin dondurulmasında katkı sağladığı belirtildi.

Interpol, daha önce Ağustos ayında yürütülen Serengeti 2.0 operasyonunda 1.209 şüphelinin yakalandığını, 97,4 milyon doların kurtarıldığını ve 11 binden fazla zararlı altyapının çökertildiğini hatırlattı. Mart ayında düzenlenen Operation Red Card kapsamında ise 306 kişinin gözaltına alındığı ve binlerce mağduru hedef alan dolandırıcılık ağlarının dağıtıldığı kaydedildi.

Ajans Expres Gazetesi

Araştırmacılar, lotusbail paketinin en az altı aydır NPM üzerinde yayımlandığını ve bu süre içinde 56 binden fazla indirildiğini tespit etti. Paket, WhatsApp oturum anahtarlarını ve kimlik doğrulama token’larını ele geçirmenin yanı sıra gönderilen ve alınan tüm mesajları kaydedebiliyor, kişi listelerini, medya dosyalarını ve belgeleri dışarı aktarabiliyor.

“Tüm Mesaj Trafiği Önce Zararlı Koddan Geçiyor”
Koi Security raporunda, “Paket, WhatsApp ile iletişim kuran meşru WebSocket istemcisini sarmalıyor. Uygulamanızdan geçen her mesaj önce zararlının soket sarmalayıcısından geçiyor.” ifadeleri yer aldı. Açıklamada, kimlik doğrulama sırasında kullanıcı bilgilerinin yakalandığı, gelen mesajların dinlendiği ve gönderilen mesajların kaydedildiği vurgulandı.

Ele geçirilen verilerin, özel bir RSA şifreleme uygulaması, Unicode tabanlı gizleme teknikleri, LZString sıkıştırma ve AES şifreleme gibi çok katmanlı gizleme yöntemleri kullanılarak saldırganlara iletildiği belirtildi.

Kalıcı Erişim Sağlayan Cihaz Eşleştirme
Raporda dikkat çeken bir diğer unsurun, zararlı paketin WhatsApp cihaz eşleştirme sürecini kötüye kullanması olduğu ifade edildi. Bu yöntemle saldırganın kendi cihazını mağdurun WhatsApp hesabına bağladığı ve paket sistemden kaldırıldıktan sonra bile hesaba kalıcı erişimin sürdüğü kaydedildi. Erişimin ancak WhatsApp ayarlarından bağlı cihazların manuel olarak kaldırılmasıyla sonlandırılabildiği aktarıldı.

Analizi Zorlaştıran Tuzaklar
Koi Security, lotusbail paketinde 27 adet sonsuz döngü tuzağı bulunduğunu ve bunun hata ayıklama ile analiz süreçlerini zorlaştırdığını açıkladı. Bu karmaşık yapı sayesinde zararlının uzun süre tespit edilmeden yayında kalabildiği değerlendirildi.

Geliştiricilere Kritik Uyarı
Uzmanlar, lotusbail paketini kullanan geliştiricilerin derhal paketi sistemlerinden kaldırmalarını ve WhatsApp hesaplarındaki bağlı cihazları kontrol etmelerini önerdi. Koi Security, yalnızca kaynak kodu incelemenin yeterli olmadığını, yeni bağımlılıkların çalışma zamanı davranışlarının, özellikle kimlik doğrulama sırasında oluşan beklenmedik ağ bağlantılarının yakından izlenmesi gerektiğini vurguladı.

Ajans Expres Gazetesi

1858 yılında kurulan ve Baldwin City’de bulunan özel üniversite, yaklaşık 2 bin öğrenci ve 300’den fazla çalışanı ile faaliyet gösteriyor. Baker University, Aralık 2024’te yaşanan bir sistem kesintisinin ardından ağda şüpheli hareketlilik tespit edildiğini ve yapılan incelemede saldırganların 2 Aralık–19 Aralık 2024 tarihleri arasında sistemlere erişim sağladığının belirlendiğini bildirdi.

“Çok Sayıda Hassas Veri Türü Etkilendi”
Üniversite tarafından yayımlanan veri ihlali bildiriminde, “Yapılan inceleme sonucunda Baker University ile ilişkili kişilere ait bilgilerin etkilenmiş olabileceği tespit edildi.” ifadelerine yer verildi. Açıklamada, kişi bazında değişmekle birlikte ele geçirilen veriler arasında ad-soyad, doğum tarihi, sürücü belgesi numarası, banka hesap bilgileri, sağlık sigortası ve tıbbi bilgiler, pasaport bilgileri, Sosyal Güvenlik numarası, öğrenci kimlik numarası ve vergi kimlik numarası bulunduğu kaydedildi.

Baker University, Maine Başsavcılığı’na yapılan resmi bildirimde, veri ihlalinden 53 bin 624 kişinin etkilendiğini açıkladı.

Ücretsiz Kredi Takibi Sunuluyor
Üniversite, şu ana kadar ele geçirilen bilgilerin dolandırıcılık amacıyla kullanıldığına dair bir kanıt bulunmadığını belirtti. Buna rağmen etkilenen kişilere ücretsiz kredi izleme hizmeti sunulduğu ve banka hesapları ile kredi raporlarının düzenli olarak kontrol edilmesi tavsiyesinde bulunuldu.

Baker University Başkanı Jody Fournier, “Baker topluluğunun kişisel bilgilerinin gizliliği ve güvenliği üniversitemizin en yüksek öncelikleri arasında yer alıyor.” dedi. Fournier, olayın ardından üniversitenin bir siber güvenlik firmasıyla birlikte çalıştığını ve saldırı sırasında ele geçirilen ana platformlardan birinin yeniden inşa edildiğini ifade etti.

Saldırının Kaynağı Açıklanmadı
Üniversite yönetimi, saldırının türüne ilişkin detay paylaşmazken, olayın belirli bir siber suç grubu veya devlet destekli aktörle ilişkilendirilmediğini bildirdi.

Son dönemde ABD’de başka üniversitelerin de benzer saldırılara maruz kaldığına dikkat çekildi. Harvard University, Princeton University ve Pennsylvania Üniversitesi, sesli kimlik avı saldırıları sonucu öğrenci, mezun, bağışçı ve personel bilgilerine yetkisiz erişim sağlandığını açıklamıştı. Ayrıca Clop fidye yazılımı grubu, Oracle E-Business Suite platformundaki sıfır gün açığını kullanarak Harvard ve Pennsylvania Üniversitelerinden veri sızdırmıştı.

Ajans Expres Gazetesi

ATT sistemi, uygulama geliştiricilerin kullanıcıları başka şirketlere ait uygulama ve web siteleri genelinde takip edebilmesi için açık rıza almasını zorunlu kılıyor. Apple, bu sistemi Haziran 2020’de tanıtmış, iOS 14.5 ve iPadOS 14.5 sürümleriyle Nisan 2021’de zorunlu hâle getirmişti.

“Üçüncü Taraflara Çifte Onay Yükü”
AGCM açıklamasında, Apple’ın ATT kapsamında üçüncü taraf uygulamalara standart bir izin penceresi gösterme zorunluluğu getirdiği, ancak kendi uygulama ve hizmetlerini bu zorunluluktan muaf tuttuğu belirtildi. Kurum, bu uygulamanın geliştiricileri aynı amaç için iki kez kullanıcı onayı almaya zorladığını kaydetti.

Düzenleyici kurum, ATT izin penceresinin AB Genel Veri Koruma Tüzüğü (GDPR) gerekliliklerini tek başına karşılamadığını, bu nedenle geliştiricilerin ayrıca kendi rıza mekanizmalarını sunmak zorunda kaldığını bildirdi. Bu durumun, rekabet açısından “aşırı derecede külfetli bir çifte onay süreci” yarattığı ifade edildi.

“Daha Az Kısıtlayıcı Yöntemler Mümkündü”
AGCM, Veri Koruma Otoritesi’nin görüşüne de atıf yaparak, Apple’ın kullanıcı gizliliğini aynı seviyede koruyacak daha az rekabeti sınırlayıcı yöntemler uygulayabileceğini vurguladı. Açıklamada, bu yaklaşımın üçüncü taraf geliştiricilere tek taraflı ek yükler getirilmesini önleyebileceği belirtildi.

Apple Karara İtiraz Edecek
Apple, AGCM’nin kararına itiraz edeceğini açıkladı. Şirket, yaptığı açıklamada, “Gizliliğin temel bir insan hakkı olduğuna inanıyoruz. App Tracking Transparency’yi, kullanıcıların uygulamalar arası takip edilip edilmemesine kolayca karar verebilmesi için geliştirdik.” ifadelerini kullandı.

Apple, ATT kurallarının tüm geliştiriciler için eşit şekilde uygulandığını, kullanıcılar tarafından benimsendiğini ve dünya genelinde gizlilik savunucularından destek gördüğünü savundu. Şirket, kararı temyize götürürken güçlü gizlilik korumalarını savunmaya devam edeceğini bildirdi.

Avrupa’da Benzer Soruşturmalar Sürüyor
Apple, Nisan ayında da Fransa rekabet otoritesi tarafından ATT uygulaması nedeniyle 150 milyon avro para cezasına çarptırılmıştı. Benzer soruşturmaların Polonya’da devam ettiği, Almanya’da ise Apple’ın düzenleyici talepler doğrultusunda ATT izin penceresinde değişiklik yaptığı hatırlatıldı.

Ajans Expres Gazetesi

La Poste, sosyal medya üzerinden yaptığı bilgilendirmede; resmî internet sitesi, mobil uygulaması, dijital kimlik hizmeti ve Digiposte belge saklama platformunun geçici olarak erişilemez hâle geldiğini açıkladı. Kesintinin ardından bazı postanelerde hizmet aksamaları yaşandığı, ancak gişelerden temel işlemlerin yapılabildiği belirtildi.

“Temel Bankacılık İşlemleri Devam Ediyor”
La Poste, bankacılık müşterileri için SMS doğrulamasıyla çevrim içi kart ödemelerinin sürdüğünü açıkladı. Açıklamada, “ATM’lerden para çekme, mağaza içi POS kart ödemeleri ve WERO üzerinden yapılan transferler kullanılabilir durumda.” ifadeleri yer aldı.

Groupe La Poste bünyesinde faaliyet gösteren La Banque Postale de çevrim içi ve mobil bankacılık hizmetlerinin kesintiye uğradığını doğruladı. Banka yetkilileri, “Ödemeler, bankalar arası işlemler ve akış yönetimi normal şekilde çalışıyor.” bilgisini paylaştı.

Web Siteleri Saatlerce Kapalı Kaldı
Haberin yayımlandığı saatlerde La Poste’un ana internet sitesinin hâlâ kapalı olduğu, kullanıcıların webmail ve Digiposte platformlarına yönlendirildiği görüldü. Yetkililer, hizmetlerin ne zaman tamamen normale döneceğine dair net bir takvim paylaşmadı.

DDoS Saldırısı İddiası
La Poste olayın teknik detaylarını açıklamazken, Fransız basınında yer alan haberlerde kesintinin dağıtık hizmet engelleme (DDoS) saldırısından kaynaklandığı öne sürüldü. Saldırının, La Poste’nin ülke genelindeki operasyonlarını etkilediği bildirildi.

La Poste, 250 binden fazla çalışanı bulunan ve posta, kargo, bankacılık, sigorta ve mobil iletişim hizmetleri sunan Groupe La Poste çatısı altında faaliyet gösteriyor.

Son Dönemde Artan Siber Tehditler
Yaşanan olay, Fransız makamlarının kısa süre önce İçişleri Bakanlığı e-posta sunucularına yönelik bir siber saldırıyla bağlantılı olarak 22 yaşındaki bir şüpheliyi gözaltına almasının ardından geldi. Uzmanlar, kritik kamu hizmetlerini hedef alan siber saldırıların ülkede artış gösterdiğine dikkat çekiyor.

Ajans Expres Gazetesi

Araştırmada, her iki uzantının da aynı geliştirici adıyla yayımlandığı ve ağ hızı test etme ile proxy hizmeti sunma iddiasıyla tanıtıldığı belirtildi. Uzantıların 2017 yılından bu yana aktif olduğu, abonelik ücretlerinin ise 1,4 ila 13,6 dolar arasında değiştiği kaydedildi.

Hedef Kitle Çin’deki Kullanıcılar
Phantom Shuttle uzantılarının özellikle Çin’deki kullanıcıları, yurt dışı ticaret çalışanlarını ve farklı bölgelerden bağlantı testi yapması gereken kişileri hedef aldığı ifade edildi. Araştırmacılar, bu kullanıcı profilinin uzantının yayılmasında önemli rol oynadığını aktardı.

“Tüm Trafik Saldırgan Proxy’lerine Yönlendiriliyor”
Socket.dev ekibi, uzantıların tüm web trafiğini sabitlenmiş kullanıcı adı ve şifrelerle erişilen saldırgan proxy’leri üzerinden yönlendirdiğini belirtti. Zararlı kodun, meşru jQuery kütüphanesine eklenmiş şekilde gizlendiği ve proxy kimlik bilgilerinin özel bir karakter kodlama yöntemiyle saklandığı aktarıldı.

Uzantıların, Chrome’un proxy ayarlarını otomatik yapılandırma betikleri aracılığıyla dinamik olarak değiştirdiği ve HTTP kimlik doğrulama isteklerini dinleyerek her web sitesinde veri yakalayabildiği vurgulandı.

170’ten Fazla Kritik Alan Adı Takip Ediliyor
Varsayılan “smarty” modunda uzantıların, geliştirici platformları, bulut servis panelleri, sosyal medya siteleri ve yetişkin içerik portalları dahil 170’ten fazla yüksek değerli alan adını proxy ağı üzerinden yönlendirdiği bildirildi. Yerel ağ adresleri ve komuta-kontrol alan adlarının ise tespit edilmemek için hariç tutulduğu kaydedildi.

Araştırmacılar, uzantının ortadaki adam saldırısı yöntemiyle form verileri, kullanıcı adı ve şifreler, kart bilgileri, oturum çerezleri ve API anahtarlarını ele geçirebildiğini belirtti.

Google’dan Açıklama Bekleniyor
BleepingComputer’ın Google ile iletişime geçtiği ancak uzantıların hâlâ Chrome Web Store’da yer almasına ilişkin resmî bir açıklama yapılmadığı aktarıldı.

Kullanıcılara Güvenlik Uyarısı
Uzmanlar, Chrome kullanıcılarına yalnızca güvenilir geliştiricilere ait uzantıları yüklemeleri, kullanıcı yorumlarını dikkatle incelemeleri ve kurulum sırasında istenen izinlere özellikle dikkat etmeleri çağrısında bulundu.

Ajans Expres Gazetesi

Solar 4RAYS tarafından yayımlanan rapora göre WebRAT, yılın başından bu yana aktif olan ve arka kapı ile bilgi hırsızlığı yetenekleri bulunan bir zararlı yazılım olarak tanımlanıyor. WebRAT’in; Steam, Discord ve Telegram hesap bilgilerini, kripto para cüzdanlarını ele geçirebildiği, ayrıca web kamerası üzerinden izleme ve ekran görüntüsü alma kabiliyetine sahip olduğu kaydedildi.

Popüler CVE’ler Yem Olarak Kullanılıyor
Kaspersky araştırmacıları, Eylül ayından bu yana WebRAT dağıtan en az 15 GitHub deposu tespit ettiklerini açıkladı. Bu depolarda, kamuoyunda geniş yer bulan bazı kritik güvenlik açıklarına ait sözde “proof-of-concept” kodlarının paylaşıldığı belirtildi.

Sahte istismar iddiaları arasında; Windows MSHTML bileşeninde uzaktan kod çalıştırmaya yol açan CVE-2025-59295, WordPress OwnID eklentisinde kimlik doğrulama atlatma açığı olan CVE-2025-10294 ve Windows RasMan servisinde yetki yükseltmeye imkân tanıyan CVE-2025-59230 yer aldı.

“Metinler Yapay Zekâ ile Üretilmiş Olabilir”
Kaspersky, bu depolarda yer alan açıklamaların son derece düzenli ve ikna edici olduğunu, metinlerin yapay zekâ ile oluşturulmuş olabileceğini değerlendirdi. Depolarda, güvenlik açığının tanımı, sözde istismar yöntemi ve alınabilecek önlemler hakkında ayrıntılı bilgiler bulunduğu aktarıldı.

Zararlı Paket Yapısı Ortaya Çıktı
Araştırmacılar, sahte istismarların genellikle şifre korumalı ZIP dosyaları içinde dağıtıldığını belirtti. Bu arşivlerde; parola adıyla oluşturulmuş boş bir dosya, bozuk bir DLL dosyası, çalıştırma zincirinde kullanılan bir batch dosyası ve ana yükleyici olan rasmanesc.exe bulunduğu ifade edildi.

Analize göre yükleyici dosya, yetki yükseltme işlemi gerçekleştiriyor, Windows Defender’ı devre dışı bırakıyor ve ardından WebRAT’i sabit bir URL üzerinden indirerek çalıştırıyor. Kaspersky, bu kampanyada kullanılan WebRAT sürümünün daha önce belgelenmiş örneklerle aynı yeteneklere sahip olduğunu bildirdi.

GitHub Depoları Kaldırıldı, Risk Sürüyor
Kaspersky tarafından tespit edilen tüm zararlı GitHub depolarının kaldırıldığı açıklanırken, saldırganların farklı geliştirici adlarıyla yeni depolar açabileceği uyarısı yapıldı. Uzmanlar, özellikle geliştiricilerin ve siber güvenlik araştırmacılarının, güvenilmeyen kaynaklardan alınan kodları izole ve kontrollü ortamlarda test etmeleri gerektiğini vurguladı.

Ajans Expres Gazetesi

BitLocker, Windows’un yerleşik tam disk şifreleme özelliği olarak biliniyor ve cihaz açılışında Güvenilir Platform Modülü (TPM) aracılığıyla şifreleme anahtarlarını güvenli şekilde yönetiyor. Microsoft, NVMe depolama birimlerinin yaygınlaşmasıyla birlikte BitLocker’ın yazılım tabanlı kriptografik işlemlerinin özellikle oyun ve video düzenleme senaryolarında daha belirgin performans etkileri oluşturduğunu kaydetti.

“Kriptografik İş Yükü Donanıma Taşınıyor”
Microsoft açıklamasında, donanım hızlandırması sayesinde toplu kriptografik işlemlerin donanımsal güvenlik modülleri (HSM) ve güvenilir yürütme ortamları (TEE) bulunan SoC bileşenlerine aktarıldığını belirtti. Bu sayede CPU kullanımının azaldığı ve genel sistem performansının arttığı ifade edildi.

Şirket, “BitLocker etkinleştirildiğinde, NVMe sürücülere ve kripto iş yükünü devralabilen yeni SoC’lere sahip desteklenen cihazlar, varsayılan olarak XTS-AES-256 algoritmasıyla donanım hızlandırmalı BitLocker kullanacak.” açıklamasında bulundu.

Performans Testleri ve Güvenlik Kazancı
Microsoft’un paylaştığı test sonuçlarına göre, donanım hızlandırmalı BitLocker, yazılım tabanlı sürüme kıyasla I/O başına yaklaşık yüzde 70 daha az CPU döngüsü kullandı. Sonuçların donanıma göre değişebileceği vurgulandı.

Yeni mimariyle birlikte BitLocker anahtarlarının donanım tarafından korunduğu, böylece CPU ve bellek tabanlı siber saldırılara maruz kalma riskinin azaldığı belirtildi. Microsoft, bu yaklaşımın BitLocker anahtarlarını tamamen CPU ve bellekten uzaklaştırma yolunda önemli bir adım olduğunu kaydetti.

Desteklenen Sürümler ve Donanımlar
Donanım hızlandırmalı BitLocker, Windows 11 24H2 sürümünde Eylül güncellemeleri yüklü sistemlerde ve Windows 11 25H2 ile birlikte kullanılabiliyor. İlk aşamada destek, Intel Core Ultra Series 3 (Panther Lake) işlemcili Intel vPro sistemlerde sunuluyor. Microsoft, ilerleyen dönemde diğer SoC üreticilerinin de destek kapsamına alınacağını açıkladı.

Kullanıcılar, BitLocker modunu manage-bde -status komutunu çalıştırarak ve şifreleme yöntemi bölümünde “Hardware accelerated” ifadesini kontrol ederek doğrulayabiliyor.

Microsoft, desteklenmeyen algoritmaların kullanılması, anahtar boyutlarının manuel belirlenmesi, kurumsal ilkeler veya FIPS modu gibi durumlarda BitLocker’ın otomatik olarak yazılım tabanlı moda geri döneceğini bildirdi.

Ajans Expres Gazetesi

Yetkililer, siber suçluların Google ve Bing arama motorlarında yayınlanan sahte reklamlar aracılığıyla kullanıcıları taklit banka giriş sayfalarına yönlendirdiğini, bu yöntemle elde edilen bilgilerin hesap ele geçirme saldırılarında kullanıldığını bildirdi.

“Binlerce Mağdurun Bilgileri Sunucuda Bulundu”
ABD Adalet Bakanlığı açıklamasında, “FBI bugüne kadar, aralarında Georgia Kuzey Bölgesi’nde faaliyet gösteren iki şirketin de bulunduğu en az 19 mağduru tespit etti. Bu hesap ele geçirme planı kapsamında yaklaşık 28 milyon dolarlık girişimde bulunuldu, fiili kayıplar ise 14,6 milyon dolar seviyesinde gerçekleşti.” ifadeleri yer aldı.

Açıklamada, el konulan alan adının barındırdığı sunucuda binlerce mağdura ait banka kullanıcı adı ve şifrelerinin bulunduğu, sunucunun Kasım ayına kadar aktif olarak kullanıldığı bilgisi paylaşıldı.

Uluslararası İş Birliğiyle El Koyma
Alan adına el koyma işleminin, Estonya kolluk kuvvetleri ve diğer uluslararası ortakların desteğiyle gerçekleştirildiği açıklandı. Alan adının şu anda, kolluk kuvvetlerinin kontrolünde olduğunu belirten bir uyarı ekranı gösterdiği bildirildi.

Soruşturma kapsamında şu ana kadar herhangi bir gözaltı veya tutuklama yapılmazken, yetkililer elde edilen dijital delillerin saldırganların kimliklerine ulaşılmasına yardımcı olabileceğini belirtti.

Banka Hesabı Ele Geçirme Vakaları Artıyor
FBI İnternet Suçları Şikâyet Merkezi verilerine göre, yılın başından bu yana 5 binden fazla banka hesabı ele geçirme şikâyeti alındı. Bu olaylara bağlı bildirilen toplam zararın 262 milyon doları aştığı kaydedildi.

Yetkililer, kullanıcıların banka sitelerine arama motorları üzerinden değil, doğrudan yer imleri aracılığıyla erişmelerini ve mümkünse reklam engelleyici yazılımlar kullanmalarını tavsiye etti.

Ajans Expres Gazetesi

MongoDB güvenlik ekibi tarafından yapılan açıklamada, açığın uzunluk parametresi tutarsızlığının hatalı ele alınmasından kaynaklandığı ve saldırganların kimlik doğrulama gerektirmeden, düşük karmaşıklıkta saldırılarla rastgele kod çalıştırabildiği belirtildi. Açığın kullanıcı etkileşimi gerektirmemesi, risk seviyesini daha da artırıyor.

“Kimlik Doğrulama Olmadan Bellek Erişimi Sağlanabiliyor”
MongoDB güvenlik danışmanlığında, “Sunucunun zlib uygulamasını hedef alan istemci taraflı bir istismar, kimlik doğrulama olmaksızın başlatılmamış heap belleğinin geri döndürülmesine neden olabiliyor.” ifadelerine yer verildi. Açıklamada, savunmasız sistemlerin tam kontrolünün ele geçirilebileceği vurgulandı.

Etkilenen Sürümler Açıklandı
CVE-2025-14847 açığının; MongoDB 8.2.0–8.2.3, 8.0.0–8.0.16, 7.0.0–7.0.26, 6.0.0–6.0.26, 5.0.0–5.0.31, 4.4.0–4.4.29 sürümlerini etkilediği bildirildi. Ayrıca tüm MongoDB Server 4.2, 4.0 ve 3.6 sürümlerinin de risk altında olduğu kaydedildi.

Acil Güncelleme ve Geçici Önlem Tavsiyesi
MongoDB, açığın giderilmesi için yöneticilerin 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 veya 4.4.30 sürümlerine derhal yükseltme yapmasını önerdi. Güncelleme yapılamayan sistemler için ise zlib sıkıştırmasının devre dışı bırakılması geçici bir önlem olarak tavsiye edildi.

Geçmişte Aktif Olarak İstismar Edildi
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), daha önce MongoDB’ye ait başka bir RCE açığını aktif olarak istismar edilen zafiyetler listesine eklediği hatırlatıldı. Uzmanlar, MongoDB’nin dünya genelinde 62 binden fazla müşteri tarafından kullanılması nedeniyle bu tür açıkların geniş çaplı risk oluşturduğuna dikkat çekti.

Ajans Expres Gazetesi

Reddit üzerinde yapılan paylaşımlarda, kullanıcıların “get.activated.win” yerine tek harf farkıyla “get.activate.win” alan adını yazmaları sonucu zararlı PowerShell komutlarının çalıştırıldığı belirtildi. Bu yöntemle saldırganların, meşru MAS komutlarını taklit ederek kullanıcıları yanıltmayı hedeflediği kaydedildi.

“Cosmali Loader Sisteme Sızıyor”
Güvenlik araştırmacısı RussianPanda, söz konusu uyarı mesajlarının açık kaynaklı Cosmali Loader zararlısıyla ilişkili olduğunu açıkladı. RussianPanda, Cosmali Loader’ın daha önce kriptomadencilik araçları ve XWorm uzaktan erişim truva atını (RAT) dağıttığını belirtti.

Bazı kullanıcılara gösterilen pop-up mesajlarda, “Bilgisayarınız Cosmali Loader ile enfekte oldu” ifadelerinin yer aldığı, Task Manager üzerinden şüpheli PowerShell işlemlerinin kontrol edilmesinin istendiği aktarıldı. Uyarı mesajlarının kim tarafından gönderildiği netlik kazanmazken, bir güvenlik araştırmacısının zararlı yazılım paneline erişerek kullanıcıları bilgilendirmiş olabileceği değerlendirildi.

MAS Projesi ve Riskler
Microsoft Activation Scripts, Windows ve Office ürünlerini HWID aktivasyonu, KMS emülasyonu ve çeşitli lisans atlatma yöntemleriyle etkinleştirmeyi amaçlayan açık kaynaklı bir PowerShell betikleri koleksiyonu olarak biliniyor. Proje GitHub üzerinde barındırılıyor ve açık şekilde geliştiriliyor. Ancak Microsoft, bu aracı lisans sistemini aşmaya yönelik korsan bir yöntem olarak değerlendiriyor.

Projenin geliştiricileri de yaşanan kampanyaya ilişkin uyarıda bulunarak, kullanıcıların komutları çalıştırmadan önce alan adlarını dikkatle kontrol etmeleri gerektiğini vurguladı.

Uzmanlardan Uyarı
Güvenlik uzmanları, uzaktan kod çalıştıran komutların ne yaptığının tam olarak anlaşılmadan kullanılmaması, mümkünse sanal ortamda test edilmesi ve komutların yeniden yazılmasından kaçınılması gerektiğini belirtti. Yetkililer, gayriresmî Windows aktivasyon araçlarının geçmişte de sıkça kötü amaçlı yazılım dağıtımında kullanıldığına dikkat çekti.

Ajans Expres Gazetesi

Windows Sistemlerde Yetki Yükseltme Riski
Zoom tarafından paylaşılan bilgilere göre, ZSB-25050 kodlu açık, Windows işletim sistemlerinde bulunan sürüm düşürme koruma mekanizmasındaki bir hatadan kaynaklanıyor. Bu zafiyetin, kimlik doğrulaması olmayan yerel kullanıcıların sistem yetkilerini yükseltmesine olanak tanıdığı ifade edildi. Açığın yüksek risk seviyesinde değerlendirildiği ve saldırganlara sistem üzerinde geniş kontrol sağlayabileceği kaydedildi.

macOS’te Hassas Veri Açığa Çıkabiliyor
ZSB-25051 kodlu güvenlik açığının ise macOS sistemlerini etkilediği bildirildi. Açıklamada, kimliği doğrulanmış bir kullanıcının dosya adları veya dosya yollarını manipüle ederek hassas verilerin açığa çıkmasına neden olabileceği belirtildi. Kullanıcı etkileşimi gerektirmesine rağmen, özellikle kurumsal ortamlarda bu açığın ciddi sonuçlar doğurabileceği vurgulandı.

Paylaşımlı Alanlar Daha Fazla Risk Altında
Zoom, her iki açığın da yerel erişim gerektirmesi nedeniyle toplantı odaları, yönetim kurulu salonları ve ortak kullanılan huddle alanlarında daha büyük tehdit oluşturduğuna dikkat çekti. Bu tür ortamlarda cihazlara fiziksel erişimin daha kolay olması, risk seviyesini artıran faktörler arasında gösterildi.

Güncelleme Çağrısı
Şirket, güvenlik risklerinin giderilmesi için Zoom Rooms yazılımlarının derhal 6.6.0 veya daha yeni sürümlere güncellenmesini önerdi. Ayrıca paylaşımlı cihazlara öncelik verilmesi ve iç ağ uç noktalarında olağandışı hareketlerin izlenmesi gerektiği ifade edildi.

Ajans Expres Gazetesi

FortiCloud SSO Varsayılan Olarak Kapalı Ancak Risk Devam Ediyor
Fortinet tarafından yapılan açıklamada, FortiCloud SSO’nun varsayılan olarak kapalı olduğu ancak cihazın GUI üzerinden FortiCare’e kaydedilmesi sırasında, yönetici tarafından manuel olarak devre dışı bırakılmadığı takdirde otomatik olarak etkinleşebildiği belirtildi. “Allow administrative login using FortiCloud SSO” seçeneğinin açık olması durumunda, sistemlerin saldırıya açık hale geldiği vurgulandı.

CVSS Skoru 9.1 Olarak Değerlendirildi
Her iki güvenlik açığı da CVSS 9.1 ile kritik seviyede sınıflandırıldı. Açıkların; FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager ürünlerini etkilediği, bazı sürümlerin ise halen aktif olarak kullanıldığı kaydedildi.

Yükseltme Öncesi Kritik Uyarı
Fortinet, sistem yöneticilerine güncelleme öncesinde FortiCloud SSO özelliğinin devre dışı bırakılmasını, ardından ilgili ürünlerin güvenli sürümlere yükseltilmesini önerdi. Destek süresi sona ermiş sürümlerin ise acilen kullanım dışı bırakılması gerektiği ifade edildi.

Etkilenen Sürümler Açıklandı
Güvenlik danışmanlığına göre FortiOS 7.4.0–7.4.4, 7.2.0–7.2.6, 7.0.0–7.0.14 ve 6.4.0–6.4.14 sürümleri etkilenirken, FortiWeb, FortiProxy ve FortiSwitchManager ürünlerinde de farklı sürüm aralıklarında benzer risklerin bulunduğu bildirildi. Özellikle 8.0.0 sürümlerinin 8.0.1 veya daha üstüne yükseltilmesi gerektiği vurgulandı.

Ajans Expres Gazetesi

Google tarafından yapılan açıklamada, söz konusu güvenlik açığının henüz bir CVE numarası almadığı, etkilenen bileşenle ilgili teknik detayların paylaşılmadığı ve açığın yüksek önem derecesiyle sınıflandırıldığı belirtildi. Açık, Google’ın hata takip sisteminde Bug ID 466192044 referansı ile izleniyor.

Teknik Ayrıntılar Gizli Tutuluyor
Google, güvenlik açığının istismar edildiğini doğrularken, saldırı vektörü veya zafiyetin hangi Chrome bileşenini etkilediğine ilişkin bilgi vermedi. Şirket, bu yaklaşımın aktif saldırıların yayılmasını önlemek amacıyla benimsendiğini kaydetti.

Siber güvenlik uzmanları, mevcut göstergelerin açığın bellek bozulmasına dayalı bir zafiyet olabileceğine işaret ettiğini belirtiyor. Olası senaryolar arasında Type Confusion veya Use-After-Free türü hatalar yer alıyor.

Uzaktan Kod Çalıştırma Riski
Uzman değerlendirmelerine göre bu tür açıklar, saldırganlara uzaktan kod çalıştırma veya tarayıcı sandbox’ından çıkma imkânı sağlayabiliyor. Bu durum, kullanıcı sistemlerinin tamamen ele geçirilmesine kadar varabilecek riskler doğurabiliyor.

Google, Chrome kullanıcılarının en kısa sürede tarayıcılarını güncellemeleri gerektiğini vurgularken, güvenlik güncellemelerinin otomatik olarak dağıtılmaya devam edeceğini bildirdi.

Ajans Expres Gazetesi

WebKit Kaynaklı İki Kritik Açık
Apple’ın paylaştığı bilgilere göre, açıkların her ikisi de Safari ve diğer tarayıcıların temelini oluşturan WebKit bileşeninde tespit edildi.
CVE-2025-43529 kodlu açık, WebKit’te use-after-free türü bir zafiyet olarak tanımlandı. Bu açığın, özel olarak hazırlanmış kötü amaçlı web içerikleri aracılığıyla uzaktan kod çalıştırılmasına yol açabileceği kaydedildi. Açığın, Google Threat Analysis Group tarafından keşfedildiği bildirildi.
CVE-2025-14174 kodlu ikinci açık ise bellek bozulmasına neden olabilen bir WebKit zafiyeti olarak açıklandı. Bu açığın da kod çalıştırma veya bellek bozulması ile sonuçlanabileceği ifade edildi. Apple, bu açığın Apple ve Google Threat Analysis Group iş birliğiyle tespit edildiğini duyurdu.

Etkilenen Cihazlar
Apple, güvenlik açıklarının iPhone 11 ve sonraki modeller, iPad Pro 12.9 inç (3. nesil ve sonrası), iPad Pro 11 inç (1. nesil ve sonrası), iPad Air (3. nesil ve sonrası), iPad (8. nesil ve sonrası) ile iPad mini (5. nesil ve sonrası) cihazları etkilediğini açıkladı.

Yayımlanan Güncellemeler
Açıkları kapatan güncellemeler arasında iOS 26.2 ve iPadOS 26.2, iOS 18.7.3 ve iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 ve Safari 26.2 yer aldı. Apple, kullanıcıların cihazlarını gecikmeden güncellemeleri gerektiğini vurguladı.

Apple’dan Güvenlik Uyarısı
Apple açıklamasında, “Bu güvenlik açıklarının son derece gelişmiş saldırılarda kullanıldığına dair raporların farkındayız.” ifadesine yer verdi. Şirket, ayrıntılı bilgilere resmî Apple Güvenlik Güncellemeleri sayfası üzerinden ulaşılabileceğini bildirdi.

Ajans Expres Gazetesi

Açığın, Gogs’un PutContents API bileşeninde yer alan bir path traversal zafiyetinden kaynaklandığı belirtildi. Bu zafiyet sayesinde saldırganların, depo dizini dışına çıkarak sistem dosyalarına yazabildiği ve sonuçta tam uzaktan kod çalıştırma yetkisi elde ettiği kaydedildi.

Otomatik Saldırı Zinciri Ortaya Çıkarıldı
Analizlere göre saldırganlar, Gogs’ta varsayılan olarak açık gelen depo oluşturma özelliğini kullanarak bir depo oluşturdu. Ardından hassas sistem dosyalarına işaret eden sembolik bağlantılar içeren commit’ler yapıldı. PutContents API aracılığıyla depo dışına yazım gerçekleştiren saldırganlar, .git/config dosyasını değiştirerek sshCommand alanı üzerinden komut enjekte etti.

700’den Fazla Sunucuda Aynı İzler
Kompromize edilen tüm Gogs örneklerinde benzer kalıplar tespit edildi. Buna göre, saldırılar sırasında rastgele oluşturulmuş 8 karakterlik depo ve kullanıcı adları kullanıldı. Bu depoların büyük bölümünün 10 Temmuz tarihinde, kısa bir zaman aralığında oluşturulduğu belirlendi. Uzmanlar, bu durumun tek bir aktör ya da grup tarafından gerçekleştirilen otomatik bir saldırı kampanyasına işaret ettiğini vurguladı.

Zararlı Yazılımlar ve C2 İletişimi
Ele geçirilen sunuculara saldırı sonrasında Supershell, açık kaynaklı bir komuta-kontrol (C2) altyapısı ve ters SSH kabukları yerleştirildiği bildirildi. İncelemelerde, enfekte sistemlerin 119.45.176[.]196 adresiyle iletişim kurduğu tespit edildi.

Yöneticilere Acil Güvenlik Uyarısı
Güvenlik uzmanları, Gogs yöneticilerine açık kayıt özelliğinin derhal kapatılması, erişimin VPN veya izinli IP listeleriyle sınırlandırılması ve PutContents API kullanım kayıtlarının incelenmesi çağrısında bulundu. Ayrıca rastgele isimlendirilmiş depoların ve .git/config dosyalarının kontrol edilmesi gerektiği, resmi Gogs güvenlik güncellemelerinin yayımlanır yayımlanmaz uygulanmasının kritik önemde olduğu belirtildi.

Ajans Expres Gazetesi

İnsan Katkısı Yüzde 10 Seviyesine Geriledi
Rapora göre model, büyük teknoloji şirketlerinden finans kuruluşlarına ve kimyasal üretim tesislerine kadar geniş bir yelpazedeki hedeflere yönelik operasyonlarda taktiksel süreçlerin yüzde 80 ila 90’ını otomatik olarak koordine etti. İnsan operatörler yalnızca hedef seçimi ve sızma öncesi kritik onay aşamasında devreye girdi.

Konya Bilişim Derneği Siber Güvenlik Birim Başkanı Mustafa Yılmaz, değerlendirmesinde, “Tarihteki ilk otonom, yapay zekâ, siber saldırısı resmen gerçekleşti.” dedi. Yılmaz, saldırının teknikten çok yöntemsel yenilik içerdiğini vurgulayarak yapay zekânın bir “operasyon komutanı” gibi çalıştığını kaydetti.

Etik Protokolleri Sosyal Mühendislikle Aştı
Raporun dikkat çeken bulgularından biri, saldırganların yapay zekânın güvenlik kısıtlarını teknik açıklarla değil sosyal mühendislik yöntemleriyle devre dışı bırakması oldu. Modele “meşru bir siber güvenlik uzmanı” rolü yükleyen tehdit aktörleri, etik denetimleri yanıltarak zafiyet tespiti ve sızma aşamalarının otomasyonunu sağladı.

Anthropic uzmanları, modelin bu rolü gerçek bir görev gibi benimseyerek hedef sistemlerde kritik adımları kendi başına yürüttüğünü belirtti. Bu durum, yapay zekâ modellerinin manipülasyona açık olduğu yönündeki endişeleri güçlendirdi.

Saldırganların Gücü Yeni Kodda Değil, YZ Koordinasyonunda
Raporda saldırganların yeni zararlı yazılımlar üretmek yerine açık kaynaklı ve yaygın sızma testi araçlarını tercih ettiği bildirildi. Mustafa Yılmaz, “Saldırıyı tehlikeli kılan şey yeni bir silah değil, tüm araçları yöneten bir Yapay Zekâ Komutan kurgusudur.” diyerek kritik dönüşümü tanımladı.

Bu yaklaşım, devlet düzeyindeki siber yeteneklerin artık küçük gruplar tarafından da erişilebilir hale geldiğini gösterdi. Yılmaz, gelişmenin küresel tehdit dengelerini kalıcı biçimde değiştirebileceğini ifade etti.

Savunmada Yapay Zekâ Zorunluluğu
Anthropic güvenlik ekibi, saldırının analizinde yine Claude modelinden yararlandığını açıkladı. Raporun sonuç bölümünde yer verilen, “Ya adapte olursunuz ya da yok olursunuz.” ifadesi, siber savunma ekiplerinin yapay zekâ destekli tehdit tespit ve müdahale araçlarını hızla entegre etmek zorunda olduğu mesajını öne çıkardı.

Ajans Expres Gazetesi

Kargo Takip Sistemleri Yeniden Erişime Açıldı
Şirket, kargo takip ekranlarının 1 Aralık 2025 saat 17.30 itibarıyla kullanılabilir hâle geldiğini bildirdi. Açıklamada, “Bu kapsamda kargo takip ekranlarımızdaki veriler en kısa sürede güncellenecektir.” ifadeleri yer aldı.

Geçici Yavaşlama ve Kesintiler Uyarısı
Aras Kargo, iyileştirme sürecinin devam ettiği dönemde anlık sistem yavaşlamaları ve erişim kesintilerinin görülebileceğini belirterek, ekiplerin 7/24 çalışma yürüttüğünü aktardı. Yapılan açıklamada, “Tüm hizmetlerimizi en hızlı ve güvenli şekilde eski hâline getirebilmek için ekiplerimiz aralıksız çalışmaktadır.” denildi.

Dağıtım ve Şube İşlemleri Yeniden Başladı
Dağıtım operasyonlarının yeniden devreye alındığını duyuran şirket, veri akışında yaşanabilecek geçici kesintilerin teslimat sürelerine etkileyebileceğini ifade etti. Şube hizmetlerine ilişkin olarak ise, “Şubelerimizde kargo kabul ve teslim işlemleri yeniden başlamıştır.” bilgisi paylaşıldı.

Tam Normalleşme İçin Çalışmalar Sürüyor
Aras Kargo, tüm sistemlerin tam kapasite çalışır hâle gelmesi için teknik ekiplerin iyileştirme çalışmalarını sürdürdüğünü belirtti. Şirket, müşterilere yönelik teşekkür mesajında “Anlayışınız ve güveniniz için içtenlikle teşekkür ederiz.” ifadelerine yer verdi.

Ajans Expres Gazetesi

Banka Personeli Gibi Arıyorlar
FBI, saldırganların çoğunlukla banka çalışanı veya müşteri destek personeli gibi davrandığını, mesaj, e-posta veya aramalarla mağdurları kimlik bilgilerini paylaşmaya yönlendirdiğini belirtti. Bazı mağdurlar, dolandırıcıların “hesabınız silah alımında kullanıldı” gibi iddialarla paniğe sevk ettiğini ve yönlendirdikleri sahte internet sitelerine giriş yaptırdıklarını ifade etti.

Siber suçlular çalınan bilgilerle hesaplara giriş yaptıktan sonra parola sıfırlama işlemi gerçekleştirerek hesapların kontrolünü tamamen ele geçiriyor.

Fonlar Hızla Kripto Cüzdanlara Aktarılıyor
FBI açıklamasında, “Suçlular erişimi sağladıktan sonra fonlar hızla kripto cüzdanlara bağlı hesaplara aktarılıyor, bu nedenle paranın izini sürmek ve kurtarmak zorlaşıyor.” değerlendirmesi yer aldı. Birçok durumda hesap sahiplerinin hesaplarına giriş yapması engellendi.

Saldırganların kullandığı sahte sitelerin, bankaların ve bordro hizmetlerinin gerçek sitelerine çok benzediği; bazı durumlarda SEO zehirleme teknikleriyle arama sonuçlarında üst sıralara taşındığı tespit edildi.

FBI’dan Güçlü Güvenlik Tavsiyeleri
FBI, hesapların düzenli takip edilmesini, benzersiz ve güçlü parolalar, çok faktörlü kimlik doğrulama (MFA) kullanılması ve bankacılık sitelerine arama motoru üzerinden değil yer imleri aracılığıyla erişilmesini önerdi.

Mağdurlara ayrıca finans kuruluşlarıyla hızlıca iletişime geçerek para iadesi talep etmeleri ve Hold Harmless Letter gibi belgeleri edinmeleri tavsiye edildi. FBI, dolandırıcılık vakalarının ic3.gov üzerinden ayrıntılı biçimde raporlanmasını istedi.

IC3 Adına Sahte Siteler de Ortaya Çıktı
FBI, Eylül ayında da suçluların IC3 web sitesini taklit eden sahte platformlar üzerinden kullanıcıları hedef aldığını, bu sitelerin kişisel bilgi ve para talep ederek yeni mağduriyetler yarattığını açıklamıştı.

Ajans Expres Gazetesi

Binlerce Pakete Sıçrayan Tedarik Zinciri Saldırısı
Aikido Security araştırmacısı Charlie Eriksen, kampanyayı ilk fark ettiğinde 105 trojanlanmış paket olduğunu, ancak kısa sürede bu sayının 492’ye ulaştığını belirtti. Wiz ekibi daha sonra kampanyanın 27.000’i aşan kötü amaçlı paket ve 350’den fazla maintainer hesabını içerdiğini açıkladı. Wiz, “Son saatlerde her 30 dakikada 1.000 yeni depo ekleniyor.” değerlendirmesinde bulundu.

GitHub’da, sızdırılmış sırların yer aldığı 27.600’den fazla depo girişinin tespit edildiği bildirildi.

Yeni Yük İki Dosyadan Oluşuyor
CI/CD güvenlik firması Step Security’nin teknik analizine göre yeni Shai-Hulud varyantının yükü iki dosyada bulunuyor:
• setup_bun.js – Bun yükleyicisi gibi davranan bir dropper
• bun_environment.js – 10 MB’lık, ağır gizlenmiş kod içeren ana yük

Analizde, büyük bir hex kod dizisi, anti-analiz döngüsü ve zincirli gizleme fonksiyonları içeren karmaşık yapılar bulundu. Malware, beş aşamalı yürütme sırasında GitHub ve npm token’ları ile AWS, GCP ve Azure gibi bulut sağlayıcılarına ait sırları toplayıp dışarı aktarıyor.

Yıkıcı Son Adım: Ev Dizinini Silme
Koi Security, zararlı yazılımın belirli koşullar oluştuğunda kurbanın ev klasörünü tamamen sildiğini doğruladı. Silme işleminin, zararlının GitHub’a bağlanamaması, depo oluşturamaması veya token elde edememesi gibi dört koşuldan birinin gerçekleşmesi durumunda devreye girdiği belirtildi.

Sırların GitHub’da ‘Sha1-Hulud: The Second Coming’ Depolarına Gönderilmesi
Wiz’in aktardığına göre çalınan sırlar GitHub’da otomatik açılan, açıklamasında “Sha1-Hulud: The Second Coming” yazan depolara yükleniyor. Zararlı yazılım yükleme aşaması öncesinde çalışıyor ve şu dosyaları oluşturuyor:
• cloud.json
• contents.json
• environment.json
• truffleSecrets.json

Geliştiricilere ait bazı GitHub hesaplarının da tehdit aktörü tarafından ele geçirilerek depo oluşturmak için kullanıldığı doğrulandı.

Zapier, ENS Domains ve PostHog Paketleri Etkilendi
Aikido’nun analizinde Zapier, ENS Domains, PostHog ve AsyncAPI gibi projelere ait çeşitli paketlerin yeni Shai-Hulud sürümüyle trojanlandığı belirtildi. Özellikle Zapier geliştirici araçları ve ENS altyapı kütüphanelerinin etkilendiği duyuruldu.

npm, bazı paketlerde son sürüm için “yetkisiz yayın” uyarısı göstermeye başladı ancak trojanlanmış sürümlerin hâlâ indirilebilir olduğu bildirildi.

Geliştiricilere Acil Eylem Çağrısı
Araştırmacılar, geliştiricilere aşağıdaki adımları derhâl uygulamalarını öneriyor:
• Etkilenen paketleri tespit edip güvenli sürümlere dönmek
• GitHub, npm ve bulut sağlayıcılarına ait tüm token’ları döndürmek
• CI ortamlarında mümkünse npm postinstall script’lerini devre dışı bırakmak
• Bağımlılık güvenliği için otomatik taramaları genişletmek

GitHub zararlı depoları kaldırırken tehdit aktörünün aynı hızla yenilerini oluşturduğu belirtiliyor.

Ajans Expres Gazetesi

Geniş Bir Kitle Etkilendi
Ivy League üyesi Harvard’ın verdiği bilgilere göre, açığa çıkan veri seti e-posta adresleri, telefon numaraları, ev ve iş adresleri, etkinlik katılım kayıtları, bağış bilgileri ve üniversitenin mezun ilişkileri çalışmaları kapsamında tutulan biyografik detayları içeriyor. Etkilenen gruplar arasında mezunlar, mezun eşleri veya partnerleri, bağışçılar, mevcut ve eski öğrenci velileri, bazı öğrenciler ve üniversite çalışanları bulunuyor.

“Saldırganın Erişimi Derhâl Kesildi”
Harvard’ın Bilgi Sistemleri Sorumlusu Klara Jelinkova ile Mezun İlişkileri ve Geliştirme Başkan Yardımcısı Jim Husson, “Yetkisiz erişim tespit edilir edilmez saldırganın sistemlere erişimi kaldırıldı ve yeniden erişim girişimlerini engelleyecek adımlar atıldı.” açıklamasını yaptı. İkilinin aktardığına göre etkilenen sistemlerde sosyal güvenlik numarası, şifre, ödeme kartı veya finansal bilgi bulunmuyordu.

Üniversite, soruşturmayı kolluk kuvvetleri ve bağımsız siber güvenlik uzmanlarıyla birlikte yürütüyor.

Kullanıcılara Dolandırıcılık Uyarısı
Harvard, veri ihlali olasılığı bulunan kişilere gönderdiği yazıda, üniversite adına gelen şüpheli çağrı, mesaj veya e-posta taleplerine karşı dikkatli olunması gerektiğini vurguladı. Yetkililer, özellikle parola sıfırlama veya kimlik bilgisi isteyen iletilere karşı dikkat çağrısı yaptı.

Cl0p Saldırı İddiası ile Zaman Çakışması
Harvard, Ekim ortasında da Cl0p fidye yazılımı grubu tarafından Oracle E-Business Suite sıfır gün açığı kullanılarak sızıldığını iddia eden bir veri sızıntısı listesine eklenmişti. Üniversite, o olayla ilgili soruşturmanın da sürdüğünü açıklamıştı. Princeton University ve University of Pennsylvania’nın benzer bağışçı veri ihlallerini doğrulaması, Ivy League kurumlarının art arda hedef alındığını gösteriyor.

Kaç Kişinin Etkilendiği Açıklanmadı
Harvard sözcüsü, kaç kişinin bilgilerinin sızmış olabileceğine dair bir sayı paylaşamazken, araştırmanın ilerledikçe netleşeceğini belirtti.

Ajans Expres Gazetesi

WINS 2022’de Kullanım Dışı İlan Edildi
WINS, Ağustos 2021’de yayımlanan Windows Server 2022 ile resmen depreke edilmiş, bu tarihten sonra yeni özellik geliştirilmeyeceği açıklanmıştı. Microsoft, “WINS, Windows Server 2022’den bu yana kullanım dışı durumdadır ve Windows Server 2025’in ardından tüm sürümlerden kaldırılacaktır.” ifadelerini kullandı.

Açıklamaya göre kaldırma süreci devreye girdikten sonra WINS server rolü, yönetim konsolu snap-in’i, otomasyon API’leri ve ilgili tüm arabirimler işletim sisteminden çıkarılacak.

DNS’e Geçiş İçin Çağrı
Microsoft, kurumların NetBIOS tabanlı ad çözümlemesine olan bağımlılıklarını hızla sonlandırması gerektiğini belirtti. Şirket, DNS’in modern internet standartlarına uygunluğu, ölçeklenebilirliği ve DNSSEC desteği sayesinde önbellek zehirleme ve sahtecilik saldırılarına karşı güvenlik sağladığını vurguladı.

Ayrıca Active Directory, bulut hizmetleri ve modern Windows API’lerinin tamamının DNS odaklı çalıştığına dikkat çekildi.

Kapsamlı Denetim Tavsiyesi
Kuruluşlara, WINS’e bağlı çalışan tüm uygulamaları ve servisleri hemen denetlemeleri önerildi. Microsoft, geçiş için koşullu yönlendirmeler, split-brain DNS yapılandırmaları ve arama sonek listeleri gibi yöntemlerin kullanılabileceğini belirtti.

Şirket, geçici çözüm olarak kullanılan statik hosts dosyalarının kurumsal yapılarda sürdürülebilir olmadığını ve ölçeklenemediğini ifade etti.

“Geçiş Planlaması İçin Doğru Zaman”
Microsoft açıklamasında, “Bağımlılıkların gözden geçirilmesi, DNS geçiş planlarının değerlendirilmesi ve doğru adımların atılması için artık uygun zamandayız.” değerlendirmesi yer aldı. Kurumlara, hizmet kesintilerinden kaçınmak için WINS sonrası döneme hazırlığı geciktirmemeleri çağrısı yapıldı.

Ajans Expres Gazetesi

Pixellerde Başladı, Diğer Android Cihazlara Yayılacak
Quick Share, Bluetooth veya Wi-Fi Direct üzerinden içerik aktarımı yapan sistem olarak bilinirken AirDrop, bugüne kadar yalnızca Apple cihazları arasında çalışıyordu. Google, Pixel 10 ailesiyle başlayan sürecin yakında diğer Android üreticilerinin cihazlarına da genişletileceğini ifade etti.

Duyuruda, “Platformlar arası iletişimi kullanıcılar için daha sorunsuz hâle getirme çalışmalarımızın bir parçası olarak Quick Share’i AirDrop ile birlikte çalışabilir hâle getirdik.” açıklaması yer aldı.

Güvenlik Odaklı Tasarım
Google, yeni sistemin güvenlik mimarisinin titizlikle oluşturulduğunu, tehdit modellemeleri, iç güvenlik incelemeleri ve sızma testlerinden geçtiğini belirtti. Siber güvenlik firması NetSPI tarafından yapılan bağımsız denetimde de veri sızıntısına yol açacak bir zafiyet bulunmadığı doğrulandı.

Şirket, kablosuz veri paketlerinin ayrıştırılmasında Rust programlama dilinin kullanıldığını, bu yaklaşımın “bellek güvenliği açıklarını tasarımsal olarak ortadan kaldırdığını” vurguladı.

AirDrop’un ‘10 Dakika Boyunca Herkese Açık’ Modu Kullanılıyor
İlk aşamada bağlantı, AirDrop’un doğrudan cihazdan cihaza çalışan “Everyone for 10 minutes” modu üzerinden kuruluyor. Bu modda aktarım, herhangi bir sunucu aracılığı olmadan gerçekleştiği için kayıt tutulabilecek herhangi bir ara noktaya ihtiyaç duyulmuyor.

Kullanıcılara, ekranda görünen cihazın gerçekten iletişim kurmak istedikleri cihaz olduğundan emin olmaları gerektiği hatırlatıldı. Google, yanlış cihaza dosya gönderme ihtimaline karşı dikkat çağrısı yaptı.

Sıradaki Hedef: Contacts Only
Google, Apple ile süren iş birliğinin bir sonraki adımının AirDrop’un yalnızca kayıtlı kişilerle paylaşım yapan “Contacts Only” modunun Android’e açılması olduğunu ifade etti. Apple’ın bu konuda nasıl bir yaklaşım sergileyeceğine ilişkin sorulara ise henüz yanıt gelmedi.

Ajans Expres Gazetesi

Hangi Veriler Etkilendi
Iberia tarafından paylaşılan bilgilere göre açığa çıkmış olabilecek veriler arasında müşterinin adı ve soyadı, e-posta adresi ve Iberia Club sadakat kartı kimlik numarası bulunuyor. Şirket, hesap şifreleri ile ödeme veya banka kartı bilgilerinin etkilenmediğini net biçimde belirtti.

“Güvenlik Protokollerini Hemen Devreye Aldık”
Şirketten gönderilen güvenlik bildiriminde, “Olayı öğrenir öğrenmez güvenlik protokollerimizi devreye aldık, etkilerini azaltmak ve tekrarını önlemek için teknik ve organizasyonel tüm tedbirleri uyguladık.” ifadeleri yer aldı. Iberia, müşteri hesaplarına bağlı e-posta adreslerinde değişiklik yapılmadan önce artık doğrulama kodu zorunluluğu getirildiğini de duyurdu.

Şirket, sistemlerinde olağan dışı hareketliliğin takip edildiğini, yetkili kurumların bilgilendirildiğini ve soruşturmanın tedarikçi ile koordineli biçimde sürdüğünü aktardı.

Dolandırıcılık Belirtisi Görülmedi
Paylaşılan e-postada, “Bu iletişim tarihine kadar verilerin dolandırıcılık amacıyla kullanıldığına dair herhangi bir bulguya ulaşmadık.” denildi. Iberia ayrıca müşterilere şüpheli iletişimleri dikkatle değerlendirmeleri ve anormal bir durum fark etmeleri halinde +34 900111500 numaralı çağrı merkezine bildirmeleri çağrısında bulundu.

77 GB Veri Satış İddiası Gündemde
Sızma iddiaları, bir tehdit aktörünün yaklaşık bir hafta önce karanlık ağ forumlarında Iberia’ya ait olduğunu öne sürdüğü 77 GB’lık veri paketini 150.000 dolara satışa çıkardığını duyurmasının ardından yoğunlaştı. İlan üzerinde A320/A321 teknik bilgileri, bakım dosyaları, motor verileri ve iç yazışmaların bulunduğu belirtiliyordu.

Ancak bu iddiada müşteri bilgilerinden söz edilmemesi ve sızıntının “Iberia’nın iç sunucularından elde edildiği” şeklindeki ifadelerin şirket açıklamasıyla çelişmesi, iki olayın bağlantısına dair belirsizliği artırdı. Iberia, yaşanan ihlalin bir tedarikçide gerçekleştiğini vurguladı.

BleepingComputer tarafından ilan edilen verinin doğruluğu bağımsız olarak teyit edilemedi. Iberia’nın basın ekibine yöneltilen soruların yanıtlanması bekleniyor.

Müşterilere Uyarı: Bilinmeyen Mesajlara Dikkat
Uzmanlar, bu tür durumlarda kimlik avı ve sosyal mühendislik girişimlerinin artabileceğini belirterek Iberia müşterilerini istenmeyen veya şirketi taklit eden mesajlara karşı dikkatli olmaya çağırıyor.

Ajans Expres Gazetesi

“Tek Bir Sunucudan Saatte 100 Milyon Numara Sorguladık”
Viyana Üniversitesi ve SBA Research ekibi, çalışmayı tek bir üniversite sunucusundan yürüttü. Araştırmacılar, “Sadece beş oturumla saat başına 100 milyondan fazla numarayı kontrol edebildik. WhatsApp hiçbir aşamada hesapları engellemedi, trafiği kısıtlamadı, IP adresimizi bloke etmedi.” açıklamasında bulundu.

Araştırmacılar, toplamda 63 milyar potansiyel mobil numara üreterek bunların tamamını API üzerinden test etti ve yanıt olarak 3,5 milyar aktif hesabın kayda geçtiğini belirtti.

Küresel Kullanım Haritası Ortaya Çıktı
Elde edilen sonuçlar, WhatsApp’ın dünya genelindeki kullanım yoğunluğunu da gösterdi. Verilere göre Hindistan 749 milyon, Endonezya 235 milyon, Brezilya 206 milyon, ABD 138 milyon, Rusya 133 milyon ve Meksika 128 milyon aktif hesapla ilk sıralarda yer aldı.

Araştırma, Çin, İran, Kuzey Kore ve Myanmar gibi yasaklı ülkelerde de milyonlarca aktif hesabın bulunduğunu ortaya koydu. İran’da kullanımın 2024 sonunda yasağın kaldırılmasının ardından arttığı tespit edildi.

Profil Fotoğrafları ve “Hakkında” Bilgileri de Toplandı
Araştırmacılar, GetUserInfo, GetPrekeys ve FetchPicture gibi diğer API uç noktalarını kullanarak kullanıcıların profil fotoğrafları, “hakkında” yazıları ve cihaz bilgilerine erişilebildiğini belirtti. ABD numaralarına yönelik bir testte 77 milyon profil fotoğrafının hız limiti olmadan indirilebildiği aktarıldı.

Paylaşılan örneklerde, profil fotoğraflarının tanınabilir yüzler içerdiği, “hakkında” metinlerinin ise kişisel bilgiler ve diğer sosyal medya bağlantılarına işaret ettiği belirtildi.

“Tarihin En Büyük Veri Setlerinden Biri Olabilirdi”
Araştırma ekibi, yayımladıkları makalede, “3,5 milyarlık kayıt, eğer sorumlu bir şekilde toplanmamış olsaydı tarihteki en büyük veri sızıntılarından biri olurdu.” ifadelerini kullandı. Veri setinin telefon numaraları, zaman damgaları, fotoğraflar ve uçtan uca şifreleme anahtarlarını içerdiği, kötü niyetli bir yayınlanmanın ağır sonuçlara yol açacağı vurgulandı.

API Güvenliğinde Yapısal Sorun
WhatsApp’ın hız sınırı eksikliğinin, büyük platformlarda sıkça karşılaşılan bir güvenlik zafiyetini yansıttığı ifade edildi. Facebook’un 2021’de 533 milyon kullanıcının bilgilerinin kazınmasına yol açan API açığı, Twitter’ın 54 milyon hesabın telefon ve e-posta eşleşmesinin yapılmasına neden olan sorun ve Dell’in 49 milyon müşteri kaydının çekildiği olay benzer örnekler arasında gösterildi.

Araştırmacılar, WhatsApp’ın bildirim sonrası hız sınırı eklediğini, ancak büyük ölçekli doğrulamanın platformların veri koruma mimarisini yeniden gözden geçirmesi gerektiğini ortaya koyduğunu ifade etti.

Ajans Expres Gazetesi

“Sıfır Gün Açığından Yararlanıldı”
Cox Enterprises tarafından yapılan açıklamada, “E-Business Suite üzerinde tespit edilen şüpheli etkinliğin, daha önce bilinmeyen bir güvenlik açığının siber suçlular tarafından kötüye kullanılmasından kaynaklandığını öğrendik.” ifadeleri yer aldı. Açığın Oracle tarafından 5 Ekim’de yamalandığı belirtildi.

Cl0p Grubu Sorumluluğu Üstlendi
Saldırının arkasındaki grubun resmi olarak açıklanmamasına rağmen, fidye yazılımı operasyonu yürüten Cl0p ekibi, CVE-2025-61882 kodlu açığı sıfır gün olarak kullandığını iddia etti. Grup, Cox Enterprises’ı 27 Ekim’de karanlık ağdaki sızıntı sitesine ekleyerek çalındığını ileri sürdüğü verileri yayımladı.

Cl0p’ın daha önce Cleo dosya aktarım platformu (2024), MOVEit Transfer ve GoAnywhere MFT (2023), SolarWinds Serv-U FTP (2021) ve Accellion FTA (2020) gibi popüler yazılımlarda bilinmeyen açıkları hedef aldığı biliniyor.

Diğer Şirketlerde de Benzer İhlaller Doğrulandı
Oracle E-Business Suite’e yönelik aynı açığın kullanıldığı veri ihlalleri Logitech, Washington Post, GlobalLogic, Envoy Air ve Harvard University tarafından da doğrulandı. Siber güvenlik kaynakları, listenin genişlemeye devam ettiğini bildirdi.

Etkilenen Kişilere Bildirim Gönderildi
Cox Enterprises, 55.000 çalışanı ve 23 milyar dolarlık yıllık geliriyle ABD’nin önde gelen şirketleri arasında yer alıyor. Şirket, 9.479 kişinin etkilendiğini belirterek kimlik hırsızlığı koruma ve kredi izleme hizmetlerini IDX üzerinden 12 ay boyunca ücretsiz sunduğunu açıkladı. Paylaşılan resmi bildirim örneğinde hangi veri türlerinin sızdığına ilişkin ayrıntılar yer almadı.

Kapsam Genişliyor
Siber korsan grubunun aynı gün 29 yeni şirketi daha hedef listesine eklemesi, özellikle otomotiv, yazılım ve teknoloji sektörlerinde risk seviyesinin arttığına işaret etti.

Ajans Expres Gazetesi

Daniel, 3 Eylül 2025 tarihinde RedHatPentester tarafından gönderilen bir WhatsApp mesajını örnek olarak seçtiğini ve mesajın normal görünmesine rağmen cihazın mesajın gönderildiği ana ait hassas konum verisini kaydettiğini ifade etti. Araştırmacı, “Gönderen konumunu paylaşmadı, ben talep etmedim, ancak telefon bunu otomatik olarak kaydetmiş.” dedi.

Medya Dosyalarının Tümünde Konum Kaydı
İncelemede, cihazda oluşturulan her fotoğraf, video, ekran görüntüsü ve ses kaydının çekildiği veya oluşturulduğu ana ait GPS koordinatlarını içerdiği ortaya çıktı. Daniel, bu verilerin hareket analizlerinde zaman çizelgesinin ayrıntılı biçimde çıkarılmasına imkân verdiğini kaydetti.

Senkronize Hesaplar ve Parolalara Erişim
Adli incelemede en dikkat çeken bulgulardan biri, cihaz üzerinde senkronize tüm kullanıcı hesaplarına ait URL, kullanıcı adı ve parola bilgilerinin kurtarılabilmesi oldu. Daniel, bu bilgilerin jailbreak yapılmamış bir cihazdan elde edildiğini vurgulayarak, “Bütün senkronize parolalar eksiksiz şekilde çıkarıldı.” ifadelerini kullandı.

Uygulama Kayıtları ve WhatsApp Grup Geçmişleri
Araştırmada cihazda bulunan tüm uygulamalara ait kullanım geçmişleri, dahili kayıtlar ve metadata bilgileri de elde edildi. WhatsApp özelinde ise kullanıcının katıldığı tüm grupların geçmişi, grupların oluşturulma tarihleri, kurucu bilgileri ve katılım zamanları kurtarıldı.

Daniel, “Cihaz, bir gruptan yıllar önce çıkılmış olsa bile oluşturulma tarihi ve katılım bilgilerini kayıtlı tutuyor.” dedi.

Mesaj Bazlı Konum Kaydı
İncelemede, WhatsApp mesajlarının gönderildiği anda cihaz tarafından kaydedilen konum bilgilerinin mesaj bazında dahi erişilebilir olması, uzmanlara göre adli incelemelerde kritik bir veri kaynağı niteliği taşıyor. Daniel, birçok kullanıcının bu kayıtların tutulduğundan habersiz olduğunu belirtti.

Daniel, yaptığı değerlendirmede “Her cihaz bir hikâye anlatıyor; mesajlar sadece yazıdan ibaret değil.” ifadelerini kullanarak dijital aygıtların gizli veri saklama kapasitesinin çoğu kullanıcı tarafından fark edilmediğinin altını çizdi.

Ajans Expres Gazetesi

Hardcoded Kimlik Bilgileri Sistem Kontrolünü Riske Atıyordu
SAP, hatanın bileşen içine sabitlenmiş kimlik bilgileri nedeniyle yetkisiz kullanıcıların ilgili işlevlere erişerek kötü amaçlı kod çalıştırabileceğini belirtti. SQL Anywhere Monitor, dağıtık veritabanlarını yöneten şirketlerde sıkça kullanılan bir izleme ve uyarı aracı olup, non-GUI sürüm genellikle insan müdahalesinin sınırlı olduğu cihazlarda çalıştırılıyor.

Solution Manager’da Kritik Kod Enjeksiyonu
İkinci kritik açık olan CVE-2025-42887, SAP Solution Manager üzerinde eksik giriş doğrulamasından kaynaklanıyor. Ulusal Zafiyet Veritabanı açıklamasına göre kimlik doğrulaması olan bir saldırgan, uzaktan erişilebilir fonksiyon modüllerine kod enjekte ederek sistemi tamamen ele geçirebiliyor. Bu durum gizlilik, bütünlük ve erişilebilirlik üzerinde ciddi etkiler yaratıyor.

Geniş SAP Ekosistemine Yönelik Diğer Düzeltmeler
Güncelleme paketi ayrıca bir yüksek önem dereceli CVE-2025-42940 hatası ile 14 orta seviye zafiyete yönelik yamalar içeriyor. SAP ayrıca geçen ay ilk düzeltmesi yayımlanan NetWeaver CVE-2025-42944 için ek güncellemeler sağladı. SAP altyapılarının kritik veri işlemeleri nedeniyle tehdit aktörlerinin sık hedefi olduğu belirtiliyor.

Önceki Saldırılar Güvenlik Risklerini Öne Çıkarmıştı
Bu yıl SecurityBridge araştırmacıları, SAP S/4HANA, Business One ve NetWeaver sistemlerini etkileyen CVE-2025-42957 kodlu kritik kod enjeksiyonu zafiyetinin aktif olarak istismar edildiğini raporlamıştı. SAP, Kasım’da yamaladığı iki kritik açık için ise henüz aktif istismar tespit edilmediğini, ancak yöneticilerin düzeltmeleri ivedilikle uygulaması gerektiğini bildirdi.

SAP, CVE-2025-42890 ve CVE-2025-42887 için önerilen azaltma adımlarının yalnızca hesap sahiplerine sunulduğunu açıkladı.

Ajans Expres Gazetesi

Parçalı ve Zor Yorumlanan Veri Yapısı
Synnovis, çalınan verilerin büyük bölümünün yapılandırılmamış ve eksik olduğunu, bu nedenle inceleme sürecinin özel platformlar ve geliştirilmiş analiz yöntemleri gerektirdiğini kaydetti. Veriler arasında NHS numaraları, isimler, doğum tarihleri ve bireylerle eşleştirilebilen bazı test sonuçları bulunuyor. Şirket, çoğu bilginin klinik uzmanlık olmadan anlamlandırılamayacağını ifade etti.

2024 Saldırısının NHS Üzerindeki Etkileri
3 Haziran 2024’te gerçekleşen saldırı, Londra’daki King’s College Hospital, Guy’s Hospital, St Thomas’ Hospital, Royal Brompton Hospital ve Evelina London Children’s Hospital gibi büyük merkezlerde ciddi operasyonel aksamalara yol açmıştı. Patoloji randevuları ve kan nakli hizmetleri iptal edilmiş, oluşan tedarik sıkıntısı nedeniyle 800’den fazla planlı operasyon ve 700 poliklinik randevusu ertelenmişti.

Qilin Ransomware Operasyonu ile Bağlantı
Synnovis saldırgan isimleri açıklamasa da, dönemin NCSC kurucu CEO’su Ciaran Martin saldırıyı Qilin ransomware grubu ile ilişkilendirmişti. Qilin, Haziran 2024’te Synnovis’e ait olduğunu iddia ettiği verileri dark web sızıntı sitesinde yayımlamıştı. Şirket, NHS Trust ortaklarıyla yaptığı değerlendirme sonrası fidye ödememeyi kararlaştırdığını duyurdu.

NHS Kurumlarına Bildirim ve Destek
Synnovis, hasta bilgilendirmesinin GDPR gereği ilgili NHS kurumları tarafından yapılacağını, kendilerinin bu kuruluşlara rehberlik sağladığını açıkladı. Şirket, çalınan verilerin hasta etkisini değerlendirmenin kuruluş bazında farklılık gösterebileceğini ve bu konuda varsayımda bulunmayacağını ifade etti.

Qilin’in 2022’den bu yana RaaS modeli ile faaliyet gösterdiği ve 300’den fazla kurumu hedef aldığı biliniyor.

Ajans Expres Gazetesi

Citrix Açığı Kamuya Açıklanmadan İstismar Edildi
Citrix Bleed 2, NetScaler ADC ve Gateway’de out-of-bounds memory read sorununa dayanıyor ve üretici haziran sonunda düzeltme yayımlamıştı. Üçüncü taraf raporlara rağmen Citrix’in istismarı doğrulaması zaman almış, temmuz ayında exploit kodu yayılmış ve CISA açığı “aktif istismar edilenler” listesine eklemişti. Amazon’un bulguları, saldırganların zafiyeti sürdürülen araştırmalardan önce sıfır gün olarak kullandığını gösteriyor.

Cisco ISE Açığı Gizli Bir Uç Nokta Üzerinden Hedef Alındı
Amazon, Citrix istismarı sırasında saldırganın Cisco ISE üzerinde daha önce belgelenmemiş bir uç noktayı hedefleyen anomal bir yük kullandığını belirledi ve verileri Cisco ile paylaştı. Temmuz ayında en yüksek önem derecesiyle yayımlanan CVE-2025-20337, kimlik doğrulaması olmayan bir saldırganın kötü amaçlı dosyalar yazmasına, kod yürütmesine ve root ayrıcalıkları elde etmesine olanak tanıyor. Yayından sonraki beş gün içinde aktif istismar teyit edilmiş ve araştırmacılar istismar zincirine dair teknik ayrıntıları paylaşmıştı.

Özel Web Shell ile Gizli Kalma Teknikleri Kullanıldı
Saldırganlar Cisco ISE üzerinde ‘IdentityAuditAction’ adını taşıyan ve meşru bir bileşen gibi davranan özel bir web shell yerleştirdi. Bu bileşen, bir HTTP dinleyici olarak çalışarak tüm istekleri yakaladı, Java reflection kullanarak Tomcat iş parçacıklarına enjekte oldu ve standart dışı base64 ile birlikte DES şifreleme kullanarak trafiğini gizledi. Web shell, yalnızca belirli HTTP üstbilgilerini bilen kişiler tarafından erişilebilir durumdaydı ve adli izleri en aza indirecek şekilde tasarlanmıştı.

Gelişmiş Teknikler Geniş Kaynaklı Bir Aktöre İşaret Ediyor
Hem sıfır gün açıkların kullanılması hem de Cisco ISE’nin iç mimarisi hakkında derin teknik bilgi gerektiren yöntemler, operasyonun yüksek kabiliyetli bir tehdit aktörü tarafından yürütüldüğünü düşündürüyor. Ancak Amazon, faaliyeti bilinen bir grubun taktikleriyle ilişkilendiremedi. Buna karşın saldırıların seçici olmayan hedeflemeye sahip olması, tipik APT operasyonlarından ayrışan bir unsur olarak değerlendirildi.

Uzmanlar, kurumların CVE-2025-5777 ve CVE-2025-20337 için yayımlanan düzeltmeleri derhal uygulamasını ve kenar ağ cihazlarına erişimi güvenlik duvarı ve katmanlama ilkeleriyle sınırlandırmasını öneriyor.

Ajans Expres Gazetesi

Kritik Hizmetler İçin Geliştirilmiş Koruma
Bilim, İnovasyon ve Teknoloji Bakanlığı, yeni yasanın hastaneler, enerji ve su altyapıları ile ulaşım ağlarında siber saldırı riskini azaltmayı hedeflediğini açıkladı. Yetkililer, artan tehditlere karşı kesintilerin önlenmesinin ve hizmet sürekliliğinin garanti altına alınmasının öncelik olduğunu vurguladı.

Yönetilen Hizmet Sağlayıcılarına Zorunlu Standartlar
Yasa, ilk kez olmak üzere orta ve büyük ölçekli IT yönetimi, yardım masası hizmetleri ve siber güvenlik sağlayıcılarına bağlayıcı güvenlik standartları getiriyor. Bu kuruluşlar, olaylara müdahale planları hazırlamak ve önemli siber olayları 24 saat içinde NCSC ve düzenleyici kurumlara bildirmek zorunda olacak. Ayrıntılı raporların ise 72 saat içinde iletilmesi gerekiyor.

Tedarik Zinciri Güvenliği İçin Yeni Yetkiler
Düzenleyiciler, sağlık tanı laboratuvarları veya su şirketleri için kimyasal tedarikçiler gibi kritik konumda bulunan tedarikçileri belirleyerek bu kuruluşlara asgari güvenlik standartlarını uygulama zorunluluğu getirebilecek. Ayrıca Teknoloji Bakanı, ulusal güvenlik tehdidi durumunda Thames Water veya NHS Trust’ları gibi kurumlara artırılmış izleme ya da sistem izolasyonu gibi adımlar almaları yönünde talimat verebilecek.

Yeni Ekonomik Yaptırımlar ve Kapsamın Genişletilmesi
Yasa, ciddi ihlaller için ciroya dayalı para cezaları getirerek uyumsuzluğu mali açıdan daha maliyetli hâle getiriyor. Düzenleme; veri merkezleri ile akıllı enerji altyapısı yöneten kuruluşları, örneğin elektrikli araç şarj noktalarını da kapsama alıyor.

Araştırmalar Finansal Etkilerin Boyutunu Ortaya Koyuyor
Hükümetin paylaştığı bağımsız çalışmalara göre Birleşik Krallık’ta ortalama bir “önemli siber saldırının” maliyeti 190 bin sterlini aşıyor ve toplam yıllık zarar yaklaşık 14.7 milyar sterlin seviyesine ulaşıyor. Geçtiğimiz Eylül ayında Jaguar Land Rover’ı hedef alan saldırının en az 1.9 milyar sterlin zarara yol açarak “ülke tarihinin en maliyetli siber saldırısı” olarak kayıtlara geçtiği belirtildi.

Britanya Bütçe Sorumluluğu Ofisi ise kritik altyapıya yönelik büyük bir saldırının devlet borçlanmasını geçici olarak 30 milyar sterlin artırabileceğini öngörüyor.

Ülkede ayrıca telekom operatörleri, dolandırıcıların telefon numarası spoofing yöntemini ortadan kaldırmak için sistemlerini bir yıl içinde güncelleme taahhüdünde bulundu. Hükümet daha önce de kritik altyapı ve kamu kurumlarının fidye ödemesini yasaklamayı planladığını açıklamıştı.

Ajans Expres Gazetesi

Kripto Adresleri Tekrar Devrede
Araştırmacılar, tehdit aktörlerinin çalınan fonları aktarmak için Bitcoin, Ethereum, Litecoin ve TRON üzerinde yeni cüzdan adresleri kullandığını tespit etti. Bu adreslerin, güncel kampanyalarda yürütülen finansal hırsızlıklara işaret ettiği ifade edildi.

Bankacılık Truva Atından Modüler Yükleyiciye Evrim
İlk kez Proofpoint tarafından tanımlanan DanaBot, e-posta ve malvertising ile dağıtılan Delphi tabanlı bir bankacılık truva atı olarak biliniyordu. Zamanla modüler bir yapıya dönüşerek tarayıcılarda bulunan kimlik bilgilerini, kripto cüzdan verilerini ve diğer hassas bilgileri hedef alan bir bilgi hırsızına evrildi. Ayrıca malware-as-a-service modeliyle kiralanarak geniş saldırı kampanyalarında kullanıldı.

Operation Endgame’in Etkisi Sınırlı Kaldı
Mayıs ayında yürütülen uluslararası operasyon, Danabot altyapısında ciddi bozulmalara neden olmuş ve bazı dijital varlıklara el konulmuş olsa da, Zscaler’ın bulguları operatörlerin çekirdek kadrosunun yakalanmaması nedeniyle faaliyete geri dönebildiğini gösteriyor. Araştırmacılara göre zararlının geri dönüşü, finansal motivasyonun sürdüğü durumlarda operasyonel dayanıklılığın korunduğunu ortaya koyuyor.

Yayılma Yöntemleri ve Kurumsal Risk
Güncel enfeksiyonlarda, zararlının ilk erişimi genellikle kötü amaçlı e-postalar, SEO zehirlemesi ve malvertising kampanyalarıyla sağladığı bildirildi. Bu yöntemlerle elde edilen erişimler bazı durumlarda fidye yazılımı saldırılarına da zemin oluşturdu.

Kuruluşların, Zscaler tarafından yayımlanan güncel IoC listelerini engelleme kurallarına ekleyerek ve güvenlik araçlarını güncelleyerek olası saldırılara karşı korunabileceği ifade edildi.

Ajans Expres Gazetesi

Yeni API ile Şifre Gerektirmeyen Girişler
Windows güvenlik ekibi, 1Password ve Bitwarden geliştiricileriyle birlikte çalışarak passkey kullanımını kolaylaştıran bir API hazırladı. Passkey yapısı, FIDO2/WebAuthn standartları doğrultusunda özel–açık anahtar kriptografisini kullanarak parola ihtiyacını ortadan kaldırıyor.

Windows Hello ile Doğrulama Süreci
Passkey destekli bir siteye veya uygulamaya kayıt sırasında Windows, kullanıcı için bir anahtar çifti oluşturuyor. Özel anahtar, kullanıcı tercihi doğrultusunda Microsoft Password Manager, 1Password veya Bitwarden üzerinde güvenli şekilde saklanıyor. Giriş denemelerinde Windows, kullanıcının kimliğini PIN veya biyometri tabanlı Windows Hello doğrulamasıyla teyit ediyor.

Microsoft Password Manager Artık Windows’a Yerleşik
Microsoft, Edge üzerinde çalışan Microsoft Password Manager eklentisini Windows 11’e doğrudan entegre ederek kullanıcıların tercih ettikleri yöneticiyi seçmesini sağladı. Şirket, sistemdeki passkey işlemlerinin Azure Managed HSM, Azure Confidential Compute ve Azure Confidential Ledger ile korunduğunu belirtti.

1Password ve Bitwarden Entegrasyonu Başladı
Bitwarden, 2023’ten bu yana passkey desteği sunarken 2024’te “Log in with Passkeys” özelliğini yayımlamıştı. Şirket, Windows 11 entegrasyonunun beta aşamasında olduğunu ve geniş ölçekli testlerle kararlılığın artırılacağını duyurdu.

Microsoft, passkey kullanımının taşınabilirlik, kullanıcı kolaylığı ve phishing’e dayanıklılık gibi avantajları nedeniyle Windows ekosisteminde yaygınlaştırılacağını ifade etti.

Ajans Expres Gazetesi

Google Suçlamaları Federal Yasalara Dayandırdı
Davada, Lighthouse platformuna yönelik iddialar Racketeer Influenced and Corrupt Organizations Act (RICO), Lanham Act ve Computer Fraud and Abuse Act kapsamında ele alındı. Google, sahte USPS ve E-ZPass mesajlarıyla yürütülen kampanyalarda kullanılan altyapının son iki yılda ABD’de 115 milyon ödeme kartını hedef alan dolandırıcılıklarda rol oynadığını kaydetti.

Phishing Kitleri ABD’de Çok Sayıda Eyaleti Hedef Aldı
Google’ın değerlendirmelerine göre Lighthouse, kullanıcıları sahte borç bildirimleriyle yanıltan hazır şablonlar ve barındırma hizmetleri sağlıyor. Cisco Talos’un araştırması, 2024 Ekim’inden itibaren Washington, Florida, Pennsylvania, Virginia, Texas, Ohio, Illinois ve Kansas gibi eyaletlerde binlerce alan adının kullanıldığı geniş çaplı bir smishing trafiğine işaret etti.

Lighthouse’ın Çinli Operatörle Bağlantısı
Talos ve Netcraft, platformun, “Wang Duo Yu” takma adını kullanan Çin merkezli bir operatör tarafından geliştirilen smishing kitleriyle bağlantılı olduğunu bildirdi. Operatörün Telegram kanalları üzerinden kitleri sattığı ve yıllık 1.588 dolara kadar yükselen abonelik modelleri sunduğu ifade edildi.

Sahte Google Markalama Kullanımı Dikkat Çekti
Google, en az 107 sahte web sitesi şablonunda Google giriş ekranlarının kopyalandığını belirledi. Açıklamada, “Markalarımız izinsiz kullanılarak insanların bu sitelere inanması sağlanıyor.” ifadesine yer verildi.

ABD Politikalarına Destek Açıklaması
Google ayrıca dolandırıcılıklarla mücadele amacı taşıyan yeni ABD politikalarına destek verdi. GUARD Act, Foreign Robocall Elimination Act ve SCAM Act kapsamında yaşlı bireylerin korunması, yabancı kaynaklı robocall trafiğinin engellenmesi ve ulusal düzeyde mücadele stratejisi oluşturulması hedefleniyor.

Şirket, yapay zekâ destekli dolandırıcılık tespit sistemlerini genişlettiğini ve kullanıcıları bu tür oltalama girişimlerine karşı bilinçlendirmeye devam edeceğini açıkladı.

Ajans Expres Gazetesi

İlk Bulaşma ve Zincir
Kampanya, kurbana WhatsApp mesajı ile ulaştırılan ZIP dosyası içindeki LNK dosyasının çalıştırılmasıyla başlıyor; LNK aracılığıyla cmd/PowerShell komutları bellek içinde yürütülüyor, Donut ile paketlenmiş shellcode ve gömülü .NET yürütülebilirleri C2’den indirilerek diske minimum yazma ile işleniyor. Araştırmacılar, bu akışın tamamen fileless olacak şekilde tasarlandığını belirtti.

Teknik Özellikler ve Hedefleme
Maverick, indirme isteklerinde özel User-Agent ve HMAC tabanlı bir “API Key” doğrulaması uygulayarak doğrudan C2 dışında normal indirme araçlarının başarısız olmasını sağlıyor. İndirme ve decrypt süreçlerinde XOR/anahtar sonek boyutu yöntemi, .NET yükleyicinin ise kontrol akışını düzleştirme (control-flow flattening) ve dolaylı çağrılarla obfuscation uyguladığı rapor edildi. Yazılım kurbanın zaman dilimi, dil, bölge ve tarih formatını kontrol ederek çoğunlukla Brezilya’da çalışan modülleri aktif hale getiriyor.

Otomatik Yayılma Mekanizması
Maverick’in en zararlı özelliklerinden biri, ele geçirilen WhatsApp oturumlarını WPPConnect ve Selenium kullanarak otomatik mesaj gönderme ve ZIP/.LNK dosyalarını hızla yayma yeteneği; bu durum tek bir ele geçirilmiş hesap üzerinden büyük ölçekli yayılım riskini doğuruyor. Araştırmacılar ilk 10 gün içinde sadece Brezilya’da 62 binin üzerinde engellenmiş deneme tespit ettiklerini bildirdi.

Bankacılık Fonksiyonları ve Agent Yetkinlikleri
Ana banker modülü (Maverick Agent) tarayıcıları izleyerek 26 Brezilya bankası, 6 kripto borsası ve 1 ödeme platformunu hedef alıyor; ekran görüntüsü alma, keylogger, pencere/işlem kontrolü, phishing üstü pencereler oluşturma ve oturum bilgilerini sızdırma gibi işlevleri bulunuyor. İletişim SSL tünelli WatsonTCP ile sağlanıyor; araştırmacılar C2 host örnekleri ve API yolları tespit etti.

Tespit Sinyalleri (Yüksek Seviye IoC Örnekleri)
Araştırmacılar uyarı amaçlı şu tespit sinyallerini paylaştı: ZIP içinden çıkan veya çalıştırılan .lnk dosyaları, PowerShell tarafından başlatılan şifrelenmiş/encoded script yürütmeleri, kısa sürede çok sayıda kişiye/ gruba otomatik mesaj gönderen WhatsApp Web oturumları ve Kaspersky/Trend Micro/Sophos gibi ürünlerde görülen EDR/AV uyarıları. Ayrıca analizlerde geçen bazı C2/URL örnekleri: sorvetenopote.com (api/v1/...), casadecampoamazonas.com. (Bu liste ayrıntılı IoC’ler içermeyen örnek amaçlıdır; SOC ekipleri özgün raporlardaki IoC listelerini kullanmalıdır.)

Savunma ve Öneriler
Araştırmacılar bireylere bilinmeyen ZIP ve .LNK eklerini açmamalarını, WhatsApp bağlı cihazlarını düzenli kontrol etmelerini ve tanımadıkları bağlantıları kaldırmalarını tavsiye etti. Kurumlara ise PowerShell izleme, EDR davranış analizleri, şüpheli ağ trafiği ve anormal WhatsApp Web aktivitelerinin takibi, IoC’lerin güncel kaynaklardan çekilip bloklanması ve etkilenen makinelerin izole edilerek IR süreçlerinin başlatılması önerildi. Yasal yükümlülükler çerçevesinde finans kuruluşlarının ve etkilenen kullanıcıların ilgili bildirimleri yapması gerektiği hatırlatıldı.

Kaynak ve Analiz Notu
Kaspersky (SecureList), Trend Micro, Sophos, Broadcom, BlueVoyant ve bağımsız güvenlik araştırma gruplarının raporları üzerinde yapılan analizler, Maverick’in Coyote benzeri kod örtüşmeleri içerdiğini; ancak mimari ve dağıtım zincirinin yeni ve modüler olduğunu gösteriyor. Teknik raporlar, IoC listeleri ve örnek yakalama verileri ilgili laboratuvar bültenlerinde yer alıyor; haber metninde saldırı kodları veya eylemsel komutlar paylaşılmadı.

Kaynak: Beykozun Sesi

Ajans Expres Gazetesi

Zafiyetin Teknik Ayrıntıları
Google tarafından yayımlanan özet rapora göre, açığın kök nedeni hatalı input-parsing sürecinde oluşan bellek bozulması (heap/stack corruption) olarak değerlendiriliyor. Bu durum, kötü niyetli verilerin sistem servisleri veya arka plan işlemleri aracılığıyla işlenmesi sırasında tetiklenebiliyor.

Saldırı Vektörleri ve Etki Alanı
Saldırganların özel hazırlanmış paketler veya sideload edilmiş kötü amaçlı APK’lar kullanarak cihazlarda uzaktan kod çalıştırma yetkisi elde edebildiği bildirildi. Açığın, IPC/Binder çağrıları, medya ve ağ parser’ları gibi arka plan bileşenleri üzerinden tetiklenebilmesi dikkat çekiyor.

İlgili Diğer Zafiyet: CVE-2025-48581
Google ayrıca Android 16 sürümünde tespit edilen yüksek riskli bir ayrıcalık yükseltme (EoP) zafiyetini CVE-2025-48581 (A-428945391) koduyla duyurdu. Bu zafiyetin RCE açığıyla birlikte zincirleme olarak kullanılabileceği değerlendiriliyor.

Kullanıcılara Uyarı ve Güvenlik Önerileri
Uzmanlar, bu tür “0-click” saldırıların kullanıcıdan herhangi bir etkileşim gerektirmediği için özellikle tehlikeli olduğunu belirtiyor. Google, kullanıcıların resmî güvenlik güncellemelerini beklemeden yüklemelerini, ayrıca bilinmeyen kaynaklardan uygulama yüklememelerini önerdi.

Android 0-click RCE açığı CVE-2025-48593: Google kritik güvenlik uyarısı yayımladı

Ajans Expres Gazetesi

Hedef Ülkeler Arasında Türkiye de Var
Unit 42’nin raporuna göre LANDFALL saldırıları Türkiye, Irak, İran ve Fas başta olmak üzere bölgesel olarak kümelenmiş durumda. Araştırmacılar, bu nedenle LANDFALL’ın genel bir zararlı yazılım değil, bölgesel casusluk operasyonu olduğunu vurguladı.

Görsel Dosya Görünümlü Bulaşma Yöntemi
Casus yazılım, WhatsApp üzerinden gönderilen kötü amaçlı DNG formatındaki görseller aracılığıyla cihazlara sızıyor. Bozuk (malformed) dosya, görüntü işleme kütüphanesindeki açığı tetikleyerek casus modülleri cihazın sistem dizinlerine bırakıyor. Unit 42, bu istismarın kullanıcı etkileşimi gerektirmeden “zero-click” şeklinde gerçekleşebileceğini aktardı.

Casusluk Yetenekleri Geniş
LANDFALL; cihaz kimlik bilgileri, çağrı kayıtları, mikrofon sesleri, mesaj içerikleri, konum verileri, rehber ve kamera erişimleri gibi birçok veriyi toplama kapasitesine sahip. Bu yönüyle yazılım, siber gözetim ve saha takibi için profesyonel düzeyde tasarlanmış bir araç olarak tanımlandı.

Samsung Açıkları Nisan ve Eylül 2025’te Kapattı
Samsung, Nisan 2025’te LANDFALL tarafından sömürülen açığı giderdi, Eylül 2025’te ise aynı kütüphanedeki benzer bir zafiyeti (CVE-2025-21043) kapattı. Güvenlik yamalarının özellikle Galaxy S serisi ve katlanabilir modeller için kritik olduğu bildirildi.

Türkiye USOM Erken Uyardı
Türkiye Ulusal Siber Olaylara Müdahale Merkezi (USOM), 2025 yazında LANDFALL saldırısında kullanılan komuta kontrol (C2) alan adlarını “zararlı bağlantılar” listesine dahil etti. Bu durum, Türkiye’nin kampanyayı erken evrede tespit ettiğini gösterdi.

Orta Doğu Merkezli Casusluk Yapısı Şüphesi
Unit 42, LANDFALL’ın kullandığı altyapıların, daha önce Stealth Falcon / Project Raven gibi BAE merkezli ticari casusluk operasyonlarıyla benzerlik taşıdığını açıkladı. Araştırmacılar, yazılımın devlet kurumlarına hizmet veren özel sektör menşeli saldırı operatörlerince geliştirildiğini değerlendiriyor.

Samsung Galaxy Cihazlarını Hedef Alan “LANDFALL” Casus Yazılımı Ortaya Çıkarıldı: Türkiye de Saldırı Kapsamında

Ajans Expres Gazetesi

Sızdırılan Bilgiler Kişisel Verileri İçeriyor
Şirketin müşterilere gönderdiği bildirim mektubuna göre, sızdırılan bilgiler kişiden kişiye değişmekle birlikte ad-soyad, fiziksel adres, e-posta adresi ve telefon numarası gibi kişisel verileri kapsıyor. Toys “R” Us, hesap parolaları, kredi kartı bilgileri veya benzeri gizli verilerin bu olaydan etkilenmediğini vurguladı.

Güvenlik Önlemleri Güncellendi
Olayın ardından Toys “R” Us Canada, BT altyapısında güvenlik önlemlerini güçlendirdiğini ve süreci siber güvenlik uzmanlarının rehberliğinde yürüttüğünü açıkladı. Şirket, aynı zamanda Kanada’daki ilgili gizlilik denetim kurumlarını da resmi olarak bilgilendirme sürecine başladı.

Müşterilere Uyarı: Kimlik Avına Dikkat Edin
Toys “R” Us Canada, olaydan etkilenen müşterilere gönderdiği uyarıda, şirket adını kullanan sahte e-postalar veya mesajlar aracılığıyla bilgi talep eden kimlik avı girişimlerine karşı dikkatli olunmasını istedi. Müşterilerden, şüpheli iletişimleri yanıtsız bırakmaları ve kişisel bilgilerini paylaşmamaları istendi.

Toys “R” Us Canada Hakkında
Toys “R” Us Canada, uluslararası oyuncak zinciri Toys “R” Us’un Kanada’daki iştiraki olarak ülke genelinde 40 mağazada faaliyet gösteriyor. Şirket, oyuncak, video oyunları ve çocuk giyim ürünleri satışı yapıyor.

Ajans Expres Gazetesi

Yeni Kategori: USB Üzerinden Telefon Saldırıları
Bu yıl yarışmaya eklenen yeni kategoriyle, araştırmacılara USB bağlantısı üzerinden kilitli mobil cihazlara fiziksel erişim yoluyla saldırı gerçekleştirme görevi verildi. Bunun yanında klasik kablosuz protokoller olan Bluetooth, Wi-Fi ve NFC de geçerli saldırı yüzeyleri arasında kaldı.

Summoning Team Zirvede
Etkinliğin kazananı, 22 “Master of Pwn” puanı ve 187.500 dolar ödül kazanan Summoning Team oldu. Ekip, Samsung Galaxy S25, Synology DiskStation DS925+ NAS, Home Assistant Green, Synology ActiveProtect Appliance DP320, Synology CC400W kamera ve QNAP TS-453E NAS cihazlarını başarılı şekilde hackleyerek birinciliği elde etti.

İkinci ve Üçüncü Sıralar
İkinci sırada 11,5 puan ve 76.750 dolar kazanan Team ANHTUD, üçüncü sırada ise 11 puan ve 90.000 dolar ödülle Team Synactiv yer aldı.

Samsung Galaxy S25 Üzerinde Dikkat Çeken İstismar
Yarışmanın son gününde, Interrupt Labs ekibi, Samsung Galaxy S25 üzerinde girdi doğrulama hatasından yararlanarak cihazın kamera ve konum servislerine erişim sağladı. Bu başarı, ekibe 5 puan ve 50.000 dolar kazandırdı.

ZDI: Sıfır Günleri Güvenli Şekilde Ortaya Çıkarmak
Yarışmayı düzenleyen Zero Day Initiative (ZDI), etkinliğin amacının güvenlik açıklarını kötü niyetli kişiler kullanmadan önce tespit etmek ve üreticilerle koordineli şekilde kapatılmasını sağlamak olduğunu vurguladı. Açıkların duyurulmasından sonra firmalara 90 gün süre tanınıyor; bu sürenin sonunda Trend Micro tarafından kamuya açıklanıyor.

Bir Sonraki Durağı Japonya Olacak
ZDI, bir sonraki Pwn2Own Automotive 2026 etkinliğinin Ocak ayında Japonya’nın Tokyo kentinde, Automotive World teknoloji fuarı kapsamında düzenleneceğini duyurdu. Yarışma yine Tesla sponsorluğunda gerçekleştirilecek.

Ajans Expres Gazetesi

Tüm Windows Server Sürümleri İçin Güncellemeler Yayınlandı
Microsoft, Perşembe günü tüm etkilenen sürümler için acil yamalar yayımladı. Güncellemeler;

• Windows Server 2025 (KB5070881)

• Version 23H2 (KB5070879)

• 2022 (KB5070884)

• 2019 (KB5070883)

• 2016 (KB5070882)

• 2012 R2 (KB5070886)

• 2012 (KB5070887)
  sürümlerini kapsıyor. Şirket, bu yamaların kümülatif olduğunu ve önceki tüm güvenlik güncellemelerinin yerini aldığını duyurdu.

PoC Kodu Yayınlandı, Tehdit Seviyesi Arttı
Microsoft, güvenlik danışmanlığında yaptığı güncellemeyle zafiyete ait proof-of-concept (PoC) kodunun internette yayımlandığını doğruladı. Bu gelişme, saldırı riskini önemli ölçüde artırdı. Şirket, yamaların derhal uygulanması gerektiğini vurguladı ve güncelleme sonrası sistemlerin yeniden başlatılmasının zorunlu olduğunu belirtti.

Geçici Çözümler: WSUS Rolünü Devre Dışı Bırakın veya Trafiği Engelleyin
Yamaları hemen yükleyemeyen sistem yöneticileri için Microsoft, geçici önlemler paylaştı. Buna göre, WSUS Server rolünün devre dışı bırakılması veya 8530/TCP ve 8531/TCP portlarındaki gelen trafiğin güvenlik duvarında engellenmesi öneriliyor. Ancak bu önlemler sonrasında Windows istemcilerinin yerel WSUS sunucusundan güncelleme alamayacağı uyarısında bulunuldu.

Senkronizasyon Hataları Geçici Olarak Kaldırıldı
Microsoft, yeni yamalarla birlikte WSUS senkronizasyon hata detaylarının geçici olarak devre dışı bırakıldığını bildirdi. Bu değişiklik, CVE-2025-59287 zafiyetinin etkilerini tamamen gidermek amacıyla yapıldı.

Sistem Yöneticilerine Uyarı
Microsoft, Ekim 2025 güvenlik güncellemesini henüz yüklememiş kullanıcıların doğrudan bu olağan dışı yamayı kurmasını öneriyor. Şirket, güncelleme yapılmadığı takdirde WSUS’un etkinleştirilmesinin sistemleri savunmasız hale getireceğini belirtti.

Ajans Expres Gazetesi

Kurbanlar Sahte Siteye Yönlendiriliyor
E-postadaki bağlantıya tıklayan kullanıcılar, lastpassrecovery[.]com adresindeki sahte giriş sayfasına yönlendiriliyor. Bu sayfada kullanıcıdan ana parolasını girmesi isteniyor. LastPass, bazı vakalarda saldırganların telefonla arayarak kendilerini şirket çalışanı gibi tanıttığını ve kullanıcıları bu sahte siteye yönlendirdiğini belirtti.

CryptoChameleon Grubu Yeniden Sahada
Aynı tehdit aktörü CryptoChameleon, daha önce Nisan 2024’te de LastPass kullanıcılarını hedef almıştı. Grup, kripto para cüzdanlarını hedefleyen kimlik avı kitleriyle biliniyor ve Binance, Coinbase, Kraken ve Gemini gibi platformları taklit eden sahte oturum açma sayfaları kullanıyor. Yeni kampanyada ise parola kasalarına ek olarak FIDO2 / WebAuthn tabanlı passkey verileri de hedefleniyor.

Yeni Nesil Hedef: Passkey Bilgileri
Saldırganlar, mypasskey[.]info ve passkeysetup[.]com gibi alan adlarını kullanarak passkey odaklı sahte siteler oluşturdu. Uzmanlara göre bu, parola yerine biyometrik veya cihaz tabanlı kimlik doğrulama kullanan sistemlerin artık doğrudan saldırı hedefi haline geldiğini gösteriyor.

Kullanıcılara Güvenlik Uyarısı
LastPass, e-posta veya telefon üzerinden gelen beklenmedik erişim taleplerine yanıt verilmemesi gerektiğini vurguladı. Şirket, kullanıcıların hesap aktivitelerini kontrol etmelerini, yalnızca resmi LastPass alan adlarından giriş yapmalarını ve iki faktörlü kimlik doğrulamayı (2FA) etkin tutmalarını önerdi.

Geçmiş Veri İhlaliyle İlişkilendiriliyor
LastPass 2022 yılında yaşadığı büyük veri ihlalinde şifrelenmiş kasa yedeklerinin sızdırıldığını doğrulamıştı. O olay sonrası gerçekleşen hedefli saldırılarda yaklaşık 4,4 milyon dolar değerinde kripto varlık kaybı yaşanmıştı. Yeni kampanyanın, aynı kullanıcı grubuna yönelik uzun vadeli bir takip stratejisinin devamı olabileceği değerlendiriliyor.

Ajans Expres Gazetesi

Microsoft’tan Olağan Dışı Güvenlik Güncellemesi
Microsoft, Perşembe günü tüm etkilenen sürümler için acil düzeltme paketleri yayımladı. Güncellemeler; Windows Server 2025, 23H2, 2022, 2019, 2016, 2012 R2 ve 2012 sürümleri için KB5070881’den KB5070887’ye kadar uzanan yamalarla sunuldu. Şirket ayrıca, yama uygulaması gecikecek sistem yöneticilerine WSUS rolünü devre dışı bırakma önerisinde bulundu.

Saldırılar Avrupa’da Başladı
Hollanda merkezli Eye Security firması, 24 Ekim sabahı itibarıyla zafiyetin aktif olarak tarandığını ve en az bir müşterisinin sisteminin farklı bir istismar yöntemiyle ele geçirildiğini duyurdu. Aynı zamanda Huntress Labs, saldırganların WSUS’un varsayılan 8530 ve 8531 numaralı TCP portlarını hedef alarak keşif amaçlı PowerShell komutları çalıştırdığını tespit etti.

Saldırılarda Kullanılan Komutlar Belirlendi
Huntress’ın analizine göre saldırganlar, sistem kullanıcılarını ve ağ yapılandırmalarını belirlemek için “whoami”, “net user /domain” ve “ipconfig /all” komutlarını kullanıyor. Bu bilgiler, saldırgan kontrolündeki uzak bir webhook adresine iletiliyor.

Ulusal Kurumlardan Uyarı
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC-NL), 24 Ekim tarihli duyurusunda zafiyetin “sahada istismar edildiğini” doğruladı. Kurum, WSUS servislerinin genellikle internete açık olmaması gerektiğini hatırlatarak, kamuya açık istismar kodunun mevcut olmasının riski artırdığını belirtti.

Microsoft: “İstismar Olasılığı Yüksek”
Microsoft, söz konusu açığı “Exploitation More Likely” kategorisinde değerlendiriyor. Bu durum, CVE-2025-59287’nin saldırganlar için yüksek öncelikli bir hedef haline geldiğini gösteriyor. Şirket, henüz kendi güvenlik danışmanlığında aktif istismar bilgisini güncellemedi ancak tüm kullanıcıların en kısa sürede güncellemeleri uygulamasını öneriyor.

Ajans Expres Gazetesi

Saldırılar GitHub Üzerinden Yayılıyor
Wordfence araştırmacıları, saldırganların GitHub üzerinde “up.zip” adlı kötü amaçlı bir eklenti arşivi barındırdığını belirledi. Arşiv, dosya yükleme ve silme işlemlerini gizlice yapabilen, siteye kalıcı erişim sağlayan şifrelenmiş komut dosyaları içeriyor. Bu dosyalardan biri, All in One SEO eklentisinin bir bileşeni gibi görünerek saldırganı otomatik olarak yönetici olarak giriş yaptırıyor.

Etkilenen Sürümler ve Güncellemeler
GutenKit’in 2.1.0 ve önceki sürümleri ile Hunk Companion’ın 1.8.5 ve altı sürümleri zafiyetlerden etkileniyor. Düzeltmeler, 2024 yılı sonlarında yayımlanan GutenKit 2.1.1 ve Hunk Companion 1.9.0 sürümlerinde yer aldı. Ancak Wordfence, birçok sitenin hâlen eski sürümleri kullandığını ve bu nedenle saldırılara açık durumda olduğunu bildirdi.

Saldırı İzleri ve Korunma Önerileri
Araştırmacılar, site yöneticilerinin erişim kayıtlarında /wp-json/gutenkit/v1/install-active-plugin ve /wp-json/hc/v1/themehunk-import gibi istekleri kontrol etmesi gerektiğini vurguladı. Ayrıca, /up, /ultra-seo-processor-wp, /oke ve /wp-query-console gibi dizinlerde şüpheli dosyaların varlığına dikkat edilmesi öneriliyor. Wordfence, saldırı trafiğinde öne çıkan IP adreslerini paylaşarak savunma mekanizmalarının güçlendirilmesini tavsiye etti.

WordPress Siteleri İçin Güncelleme Uyarısı
Uzmanlar, saldırıların hızla yayıldığını ve özellikle güncellenmemiş WordPress sitelerini hedef aldığını belirtti. Kullanıcılara tüm eklentilerini en son sürüme yükseltmeleri, gereksiz eklentileri kaldırmaları ve düzenli güvenlik taraması yapmaları çağrısında bulunuldu.

Ajans Expres Gazetesi

Motex: “Bazı Müşteri Sistemlerinde Kötü Amaçlı Paketler Tespit Edildi”
Kyocera Communication Systems’in bir iştiraki olan Japon Motex firması, güvenlik bülteninde “Endpoint Manager On-Premises istemci programı ve Detection Agent bileşeninde uzaktan kod yürütülmesine yol açan bir güvenlik açığı bulundu” ifadesine yer verdi. Firma, bazı müşteri ortamlarında kötü niyetli veri paketlerinin alındığını ve zafiyetin sıfır gün olarak istismar edildiğini doğruladı.

Güncelleme Dışında Çözüm Bulunmuyor
Motex, sorunun yalnızca istemci tarafında etkili olduğunu, yönetici bileşeninin güncellenmesine gerek olmadığını belirtti. Etkilenen sürümler 9.4.7.2 ve öncesi olarak listelenirken, 9.4.7.3 ve üzeri sürümlerle sorunun giderildiği bildirildi. Şirket, herhangi bir geçici çözüm veya azaltma yöntemi olmadığını, tek çözümün yazılımın güncellenmesi olduğunu açıkladı.

CISA, 12 Kasım’a Kadar Yama Zorunluluğu Getirdi
CISA, CVE-2025-61932’yi “Known Exploited Vulnerabilities (KEV)” kataloğuna ekleyerek federal kurumlar için 12 Kasım 2025 tarihine kadar yama zorunluluğu getirdi. Bu zorunluluk yalnızca belirli devlet kurumlarını kapsasa da, CISA özel sektör kuruluşlarının da aynı güncellemeyi uygulaması gerektiğini vurguladı.

Japonya’da Saldırı Aktivitesi Artıyor
Japonya Ulusal Bilgisayar Acil Müdahale Ekibi (JPCERT/CC), söz konusu güvenlik açığının yerel kuruluşlara yönelik saldırılarda kullanıldığına dair bilgiler aldığını bildirdi. Ülkede son dönemde Asahi bira üreticisine yönelik Qilin fidye yazılımı saldırısı ve perakende devi Muji’nin çevrim içi satışlarını etkileyen Askul veri ihlali gibi olaylar, siber tehditlerin artış eğiliminde olduğunu gösteriyor.

Ajans Expres Gazetesi

1.200 SIM-Box ve 40.000 Aktif Kart Ele Geçirildi
Yetkililer, ağın farklı ülkelerdeki SIM-box cihazlarına yerleştirilen on binlerce SIM kartı kullanarak uluslararası aramaları yerel gibi gösterdiğini, bu yöntemle kimlik gizleme, sahte yatırım ve phishing dolandırıcılıklarında aktif rol oynadığını açıkladı. Operasyonda 1.200 SIM-box, 5 sunucu ve 40.000 aktif SIM kartın yanı sıra €431.000 tutarında banka varlığı, $333.000 değerinde kripto para ve 4 lüks otomobil ele geçirildi.

80’den Fazla Ülkede Sahte Hesap Ağı
Europol açıklamasına göre, ağ 80’den fazla ülkenin telefon numaralarıyla yaklaşık 49 ila 50 milyon sahte çevrim içi hesap oluşturmayı mümkün kıldı. Bu hesapların kimlik hırsızlığı, dolandırıcılık ve yasa dışı finansman faaliyetlerinde kullanıldığı değerlendiriliyor. Sadece Avusturya ve Letonya’da 3.200’den fazla vaka tespit edilirken, zararın toplamda 5 milyon euroya yaklaştığı bildirildi.

Sitelere El Konuldu
Yetkililer, suçta kullanılan gogetsms.com ve apisim.com alan adlarına el koydu. Bu platformların, ağ üyelerine sahte numara üretimi ve SMS kimlik doğrulama hizmetleri sunduğu tespit edildi.

Uluslararası İş Birliği ve Soruşturmanın Seyri
Europol operasyonel destek sağlarken, Eurojust adli koordinasyonu yürüttü. Letonya merkezli soruşturma kapsamında 5 kişi Letonya’da, 2 kişi ise başka ülkelerde yakalandı. Dijital delillerin analizi ve finansal izleme süreci halen devam ediyor.

Siber Suç Ekonomisine Darbe
Uzmanlar, operasyonun “cybercrime-as-a-service” yapılarının çökertilmesinde önemli bir adım olduğunu belirtiyor. SIM-box sistemlerinin, siber suçluların kimlik gizleme ve geniş ölçekli dolandırıcılık altyapılarını sürdürmede kritik rol oynadığı vurgulandı.

Avrupa Genelinde Düzenlenen “SIMCARTEL” Operasyonunda 40.000 Aktif SIM Kart Ele Geçirildi

İlk tespitlere göre olay, enerji depolama alanındaki lityum-iyon bataryalarda yaşanan arıza sonucu başladı. Yetkililer 384 batarya paketinin yanarak imha olduğunu, “termal kaçak” nedeniyle yangının hızla yayıldığını bildirdi.

709 kamu hizmeti etkilendi
Yangın sonrası 709 çevrimiçi kamu hizmeti geçici olarak durdu. Bunlar arasında kimlik doğrulama, dilekçe başvuruları, posta sistemleri ve idari modüller yer aldı. İlk günlerde yalnızca %10’u yeniden çalıştırılabildi. 10 Ekim 2025 itibarıyla 217 sistem (%30,6) yeniden devreye alındı.

Yedekleme eksikliği krizin boyutunu artırdı
Kayıpların büyük kısmı, G-Drive sisteminin harici yedekleme altyapısına sahip olmamasından kaynaklandı. Korea Joongang Daily’ye göre, sistem düşük öncelikli sınıflandırıldığı için harici yedekleme yatırımı yapılmamıştı. Bu nedenle verilerin kurtarılması mümkün olmadı.

Soruşturma pil kaynaklı senaryoya odaklandı
Polis ve teknik ekipler, yangının lityum-iyon bataryalardan kaynaklandığını doğrulamak için incelemelerini sürdürüyor. Batarya odalarındaki ısı sensörleri, enerji kesme sistemleri ve taşıma süreci üzerinde duruluyor.

Resmî tepkiler ve alınan önlemler
Cumhurbaşkanı Lee Jae-myung olayın ardından veri merkezini ziyaret ederek yedeklilik standartlarının güçlendirilmesi talimatını verdi. Kriz yönetim merkezi, hizmetlerin aşamalı olarak yeniden devreye alınacağını ve ikili (dual) sistem planlamasının başlatıldığını açıkladı.

Uzmanlara göre olay ders niteliğinde
Uzmanlar, “bulut sistemlerin fiziksel risklerden muaf olmadığı” vurgusunu yaptı. Çok bölgeli mimarilerin ve düzenli yedekleme testlerinin zorunlu hale getirilmesi gerektiği ifade edildi. Ayrıca, enerji depolama odalarında lityum-iyon bataryaların güvenlik protokollerinin gözden geçirilmesi istendi.

Zaman çizelgesi:

• 26 Eylül 2025: Yangın 20.15 civarında başladı, hızla yayıldı.

• 27 Eylül 2025: Yangın kontrol altına alındı.

• 1 Ekim 2025: G-Drive verilerinin kurtarılamadığı kesinleşti.

• 10 Ekim 2025: Kurtarma oranı %30,6’ya ulaştı.

Ajans Expres Gazetesi

Uzmanlara göre açık, uygulamanın “bağlı cihaz senkronizasyonu” ve “otomatik medya işleme” özelliklerini hedef alıyor. Bu sayede saldırganlar, kurbana herhangi bir dosya açtırmadan veya bağlantıya tıklatmadan cihazda uzaktan kod çalıştırabiliyor.

Zafiyetin temelinde Apple platformlarında kullanılan görsel işleme kütüphanesindeki bir “out-of-bounds” belleğe taşma hatası bulunuyor. Saldırı, özel hazırlanmış bir .DNG uzantılı dosyanın işlenmesiyle tetikleniyor.

Saldırıların sınırlı sayıda yüksek riskli kullanıcıyı hedef aldığı bildirildi. Ancak Meta, tüm kullanıcıların derhal güncellemelerini yapmasını tavsiye etti.

Etkilenen sürümler:

• WhatsApp for iOS: 2.25.21.73 öncesi sürümler

• WhatsApp Business for iOS: 2.25.21.78 öncesi sürümler

• WhatsApp for Mac: 2.25.21.78 öncesi sürümler

Önerilen güvenlik adımları:

• WhatsApp ve işletim sisteminin en güncel sürümlerine geçilmesi.

• Otomatik medya indirme ve bağlı cihaz özelliklerinin geçici olarak devre dışı bırakılması.

• Güvenilir bir kaynak üzerinden cihaz taraması yapılması veya olay müdahale ekibiyle analiz gerçekleştirilmesi.

• Kritik hesaplarda kimlik bilgisi ve parolaların güvenli cihazdan yenilenmesi.

• Ağ bağlantı kayıtları, zaman damgaları ve dosya geçmişlerinin adli analiz için saklanması.

Uzmanlar, bu tür “zero-click” açıklarının yüksek hedefli siber casusluk faaliyetlerinde kullanıldığına dikkat çekerek tüm kullanıcıların hızlı şekilde güncelleme yapması gerektiğini belirtti.

Ajans Expres Gazetesi

Uzmanlara göre zafiyet, .ICS uzantılı takvim dosyalarında HTML kodlarının doğru şekilde filtrelenmemesinden ortaya çıkıyor. Bu durum, zararlı JavaScript komutlarının e-posta oturumu içinde otomatik olarak çalıştırılmasına olanak sağlıyor.

Açık üzerinden gerçekleştirilen saldırılar sonucunda, kullanıcı hesaplarına ait posta yönlendirme kuralları değiştirilebiliyor, e-postalar harici adreslere iletilebiliyor ve kimlik bilgileriyle kişi listeleri sızdırılabiliyor.

Güncellenen sürümler:
Zimbra, güvenlik açığını kapatan yamaları yayımladı. Güvenli sürümler şu şekilde açıklandı:

• 9.0.0 Patch 44

• 10.0.13

• 10.1.5

Uzmanlar, eski sürümleri kullanan sistem yöneticilerine acil olarak güncelleme yapmaları uyarısında bulundu.

Önerilen güvenlik adımları:

• Zimbra sisteminin güncel yamalı sürüme yükseltilmesi.

• Şüpheli veya yeni oluşturulmuş e-posta yönlendirme kurallarının kontrol edilmesi.

• DNS ve HTTP kayıtlarında olağan dışı bağlantıların incelenmesi.

• .ICS dosyalarının yalnızca izole edilmiş ortamlarda açılması.

• Çok faktörlü kimlik doğrulama (MFA) kullanılması ve kritik hesapların parolalarının yenilenmesi.

Zafiyetin aktif şekilde istismar edildiği belirtilirken, kullanıcıların ve kurumların vakit kaybetmeden güvenlik kontrollerini tamamlamaları gerektiği vurgulandı.

Ajans Expres Gazetesi

Uzmanlara göre, zafiyet “service_finder_switch_back()” adlı fonksiyonun hatalı çalışmasından kaynaklanıyor. Bu fonksiyon, kullanıcı geçişlerinde “original_user_id” adlı çerezi kullanıyor ancak bu çerezde kimlik doğrulama kontrolü bulunmuyor. Saldırganlar bu çerezi manipüle ederek yönetici yetkilerine sahip hesaplara erişim sağlayabiliyor.

Siber güvenlik araştırmacıları, söz konusu açığın kötü niyetli kişilere içerik değiştirme, şifre güncelleme, zararlı kod ekleme veya siteyi oltalama ve kötü amaçlı yazılım kampanyalarında kullanma imkânı tanıdığını belirtiyor.

Etki Alanı ve Riskler
Açık, “Service Finder” temasının 6.0 sürümüne kadar olan tüm versiyonlarını etkiliyor. Tema güncel değilse, sistem üzerinde hiçbir eklenti olmasa bile site savunmasız durumda olabiliyor. Etkilenen sistemlerde izinsiz girişler, yeni kullanıcı hesaplarının oluşturulması ve yönetici panosunda olağandışı aktiviteler gözlemlenebiliyor.

Güvenlik raporlarına göre, saldırı girişimlerinde 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71 ve 178.125.204.198 IP adreslerinden gelen istekler tespit edildi. Ancak bu adreslerin kayıtlarında bulunmaması sistemin güvenli olduğu anlamına gelmiyor.

Alınması Gereken Önlemler
Uzmanlar, temanın 6.0 sonrası sürümüne geçilmesini, tüm kullanıcı hesaplarının ve yetkilerinin gözden geçirilmesini, güvenlik duvarı (WAF) veya Wordfence gibi eklentilerin aktif hale getirilmesini öneriyor. Ayrıca site trafiği ve çerez davranışlarının özellikle yönetici oturumlarında izlenmesi gerektiği vurgulanıyor.

Sistemin yedekten geri yüklenmesi planlanıyorsa, kullanılan yedeklerin temiz ve güvenilir bir kaynaktan alındığından emin olunması gerekiyor.

Ajans Expres Gazetesi

Tehdit Kapasitesi
Yetkililer, ele geçirilen sistemin dakikada 30 milyon SMS gönderebilecek büyüklükte olduğunu açıkladı. Ağın baz istasyonlarını devre dışı bırakma, 911 acil yardım hattına DDoS saldırısı düzenleme ve şifreli iletişim sağlama gibi işlevlere sahip olduğu belirtildi. Bu kapasitenin kamu güvenliğini ve diplomatik faaliyetleri doğrudan tehlikeye atabileceği vurgulandı.

BM Genel Kurulu Çevresinde Yoğunlaşma
Operasyonda tespit edilen cihazların büyük kısmı BM Genel Kurulu’nun yapıldığı bölge çevresinde bulundu. Bu durum, ağın uluslararası diplomatik etkinliği hedef aldığı ihtimalini güçlendirdi.

Ulus-Devlet ve Suç Örgütleri Bağlantısı
ABD’li yetkililer, adli incelemenin sürdüğünü ve ilk bulguların ulus-devlet destekli tehdit aktörleri ile organize suç grupları arasında bağlantıya işaret ettiğini duyurdu. Uzmanlara göre bu tür bir ağ casusluk, kritik altyapılara saldırı planlama ve gizli iletişim için kullanılabiliyor.

Fail Belirsizliğini Koruyor
Operasyon sonrası bazı çevrelerde Rusya, Çin ve İsrail’in adı geçse de, ABD yetkilileri herhangi bir ülkeyi resmi olarak işaret etmedi. Gizli Servis sözcüsü, “Henüz belirli bir devlet ya da örgütü suçlayacak delil yok” ifadesini kullandı.

ABD’nin Çok Katmanlı Önlemleri
Operasyona Gizli Servis’in yanı sıra FBI, İç Güvenlik Bakanlığı (DHS) ve New York polisinin de katıldığı bildirildi. BM Genel Kurulu boyunca şehirde üst düzey güvenlik protokolleri uygulandı.

Adli İnceleme Devam Ediyor
Ele geçirilen cihazlar üzerinde yapılan incelemeler, sistemin hangi ülke ya da örgütlerle bağlantılı olduğunu ve planlanan olası saldırıların boyutunu ortaya koyacak. Yetkililer, “Tehdit tam olarak ortadan kalkmış değil, soruşturma sürüyor” uyarısında bulundu.

Kaynak: Beykozun Sesi

Ajans Expres Gazetesi

Plex’in web sitesinde yapılan açıklamada, bir üçüncü tarafın veritabanındaki sınırlı sayıda kullanıcı verisine eriştiği ifade edildi. Ele geçirilen veriler arasında kullanıcıların e-posta adresleri, kullanıcı adları, güvenli şekilde şifrelenmiş parolaları ve kimlik doğrulama verilerinin bulunduğu aktarıldı.

Kullanıcılara çağrı
Şirket, tüm kullanıcılara parolalarını derhal değiştirmeleri yönünde uyarıda bulundu. Ayrıca güvenliğin artırılması için bağlı tüm cihazlardan çıkış yapılması ve iki faktörlü kimlik doğrulamanın etkinleştirilmesi gerektiği vurgulandı.

Veri güvenliği soru işaretleri
Plex, kullanıcı parolalarının güçlü şifreleme yöntemleriyle korunduğunu, ancak ihtiyati tedbir olarak tüm hesapların güncellenmesi gerektiğini açıkladı. Olayın ardından platformun güvenlik süreçlerini gözden geçirmeye başladığı bildirildi.

Kurum, Türkiye’de kullanılan tüm e-imzaların yalnızca BTK tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretildiğini ve 5070 Sayılı Elektronik İmza Kanunu kapsamında denetlendiğini bildirdi.

"Veri havuzu bulunmamaktadır"
BTK, e-imza sisteminde kişisel verilerin kurum bünyesinde tutulmadığını, nitelikli elektronik sertifikaların yalnızca kullanıcıların USB cihazlarında bulunduğunu belirtti. Açıklamada, "Türkiye’de bulunan tüm e-imzalara ait bilgiler, BTK ya da e-Devlet kapısı dahil, toplu halde herhangi bir veri havuzunda barındırılmamaktadır." denildi.

Yanıltıcı bilgiye hapis cezası uyarısı
Kurum, siber güvenlik alanında yanıltıcı bilgi yaymanın panik ve endişe oluşturabileceğini hatırlatarak, bu tür eylemlerin 7545 sayılı Siber Güvenlik Kanunu kapsamında suç teşkil ettiğini duyurdu. Kanunun 16. maddesine göre gerçeğe aykırı siber saldırı veya veri sızıntısı iddiaları yayanlara 2 ila 5 yıl hapis cezası öngörülüyor.

Yasal süreç başlatıldı
BTK, yaklaşık 2 milyon 500 bin e-imza kullanıcısını hedef alan asılsız paylaşımlar nedeniyle sorumlu kişiler hakkında suç duyurusunda bulunulduğunu açıkladı.

Yasadışı platformlarda satışa çıkarıldı
Biletal İç ve Dış Ticaret A.Ş., siber saldırı sonucu kişisel verilerin yasa dışı internet platformlarında satışa çıkarıldığını Kişisel Verileri Koruma Kurumu’na (KVKK) bildirdi.

İhlal 11 Ağustos’ta tespit edildi
Açıklamaya göre, Bilgi Teknolojileri ve İletişim Kurumu’ndan (BTK) gelen yazının ardından şirket bilişim ekiplerinin yaptığı inceleme sonucunda ihlal 11 Ağustos 2025 tarihinde tespit edildi.

7 bin 800 müşteri etkilendi
Veri ihlalinden yaklaşık 7 bin 800 kişinin etkilendiği belirtilirken, ihlale konu olan kişisel veriler arasında kimlik, iletişim ve müşteri işlem bilgileri bulunduğu ifade edildi. Etkilenen grubun sadece müşteriler olduğu bildirildi.

KVKK’dan kamuoyuna duyuru kararı
Kişisel Verileri Koruma Kurulu, 14 Ağustos 2025 tarihli ve 2025/1481 sayılı kararıyla ihlalin Kurum internet sitesinde ilan edilmesine karar verdi. Konuya ilişkin inceleme sürüyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı aynı gün tespit edildi
Yatırım Finansman Menkul Değerler A.Ş., 20 Temmuz 2025’te yaşanan fidye yazılımı saldırısını Kişisel Verileri Koruma Kurumu’na bildirdi. Açıklamaya göre saldırı aynı gün tespit edildi.

Uluslararası bir saldırı grubu hedef aldı
Şirketin bildiriminde, sunucular ve istemci bilgisayarların uluslararası ve uzman bir saldırı grubu tarafından hedef alındığı belirtildi.

Kişisel veriler üzerindeki etki araştırılıyor
Saldırının ardından etkilenen kişi sayısı, ilgili kişi grupları ve kişisel veri kategorilerinin henüz belirlenemediği ifade edildi. Teknik incelemelerin devam ettiği aktarıldı.

Vatandaşlar için başvuru kanalları
Şirket, saldırıyla ilgili bilgi almak isteyen kişilerin tüm şubelerden ve 0 850 723 59 59 numaralı Yatırımcı Destek Hattı üzerinden destek alabileceğini duyurdu.

KVKK’dan duyuru kararı
Kişisel Verileri Koruma Kurulu, 24 Temmuz 2025 tarihli ve 2025/1359 sayılı kararıyla ihlalin Kurumun internet sitesinde ilan edilmesine karar verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Güvenlik açığı 2023’ten bu yana mevcuttu
Bold LLC tarafından yapılan açıklamaya göre, kullanıcıların özgeçmişlerini düzenlerken gerçek zamanlı ön izleme imkânı sunan yeni bir özelliğin yetkisiz erişime açık olduğu 12 Temmuz 2025’te tespit edildi. İncelemeler, söz konusu açığın ilk olarak 10 Mart 2023 tarihinde ortaya çıktığını ortaya koydu.

Bir kez yetkisiz erişim gerçekleşti
Şirketin bildiriminde, sunucu ortamının daha hızlı performans için anonimleştirilmiş verileri önbelleğe almak üzere erişilebilir hale getirildiği, bu durum nedeniyle yalnızca bir kez yetkisiz erişimin yaşandığı ifade edildi.

Anonimleştirilmiş özgeçmiş verileri etkilendi
İhlalden etkilenen veriler arasında isim, iletişim bilgileri ve özgeçmiş içerikleri yer aldı. Verilerin kapsamı kullanıcı tercihine bağlı olarak değişiklik gösterirken, bazı özgeçmişlerde sadece ad ve soyad bilgileri bulunduğu, bazılarında ise eğitim, istihdam geçmişi, iletişim bilgileri, fotoğraflar ve gönüllü olarak paylaşılan diğer bilgilerin yer aldığı bildirildi.

3 bini aşkın kullanıcı etkilendi
Bold LLC, ihlalden etkilenen ilgili kişi gruplarının kullanıcılar ve aboneler olduğunu, toplam 3168 kişinin verilerinin etkilendiğini açıkladı.

KVKK duyuru kararı aldı
Kişisel Verileri Koruma Kurulu, 24 Temmuz 2025 tarihli ve 2025/1356 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. İncelemelerin sürdüğü aktarıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dosyalar yasa dışı paylaşım sitelerine yüklendi
BeiGene, Ltd. tarafından yapılan bildirimde, 16 Haziran 2025 tarihinde sınırlı sayıda kurumsal dosyanın pastebin.com ve swisstransfer.com platformlarına yüklendiği tespit edildi.

Klinik çalışmalara ait veriler sızdırıldı
Sızdırılan belgelerin, şirketin yürüttüğü klinik çalışmaların planlanması ve takibi için kullanılan verileri içerdiği belirtildi.

467 kişi etkilendi
Veri ihlalinden Türkiye’de 17 çalışan ve 450 hasta olmak üzere toplam 467 kişinin etkilendiği bildirildi. Etkilenen kişisel veri kategorilerinin kimlik, iletişim ve sağlık bilgileri olduğu aktarıldı.

KVKK kamuoyuna duyurma kararı aldı
Kişisel Verileri Koruma Kurulu, 24 Haziran 2025 tarihli ve 2025/1130 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Olayla ilgili incelemelerin sürdüğü belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yetkisiz erişim üçüncü taraf üzerinden gerçekleşti
Louis Vuitton Çantacılık Ticaret A.Ş., müşterilere ait veritabanına yönelik yetkisiz erişim hakkında Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre, ihlal üçüncü taraf bir hizmet sağlayıcının yöneticisi tarafından kullanılan servis hesabının ele geçirilmesiyle başladı.

İhlal bir ay sürdü
7 Haziran 2025’te başlayan saldırı, 2 Temmuz 2025’te tespit edildi. Yetkisiz erişim süresince müşterilere ait kimlik ve iletişim bilgilerinin risk altına girdiği ifade edildi.

142 bin kişi etkilendi
Türkiye’de 142 bin 995 müşteri ve potansiyel müşterinin verilerinin etkilendiği bildirildi. İncelemeler sürerken, etkilenen veri kategorilerinin kimlik ve iletişim bilgileri olduğu aktarıldı.

KVKK’dan kamuoyuna duyuru kararı
Kişisel Verileri Koruma Kurulu, 10 Temmuz 2025 tarihli ve 2025/1246 sayılı kararıyla veri ihlalinin kurumun internet sitesinde yayımlanmasına karar verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yetkisiz erişim iki gün sürdü
İstanbul Gedik Üniversitesi, yaşanan veri ihlaline ilişkin Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre, 13-14 Mayıs 2025 tarihleri arasında üniversite adına veri işleyen şirketin sistemlerine yetkisiz erişim sağlandı ve durum 14 Mayıs’ta tespit edildi.

23 bin kişi, 209 bin kayıt etkilendi
Veri ihlalinden çalışanlar, kullanıcılar ve öğrencilerin yer aldığı 23 bin 269 kişinin etkilendiği, toplamda 209 bin 421 kayıtta kişisel verilerin risk altında olduğu belirtildi.

Hangi veriler sızdırıldı
İhlalden etkilenen veriler arasında ad, soyad, kullanıcı adı, maskelenmiş T.C. kimlik numarası (yalnızca son dört hanesi görünür şekilde), e-posta adresi, kurum-departman bilgileri ve kullanıcı trafik verileri bulunduğu aktarıldı.

KVKK kararıyla kamuoyuna duyuruldu
Kişisel Verileri Koruma Kurulu, 3 Haziran 2025 tarihli ve 2025/997 sayılı kararıyla veri ihlalinin kamuoyuna duyurulmasına karar verdi. Konuyla ilgili incelemeler devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hesap ele geçirilerek müşteri verilerine ulaşıldı
Richemont İstanbul Lüks Eşya Dağıtım A.Ş., veri ihlaline ilişkin Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre ihlal, Richemont Group bünyesinde görev yapan bir çalışanın hesabının yetkisiz kişilerce ele geçirilmesiyle gerçekleşti.

İhlal dört ay sonra fark edildi
Saldırının 17-18 Ocak 2025 tarihlerinde gerçekleştiği, ancak 30 Mayıs 2025 tarihinde tespit edilebildiği aktarıldı.

25 bini aşkın müşteri etkilendi
Olaydan 25 bin 737 müşteri ve potansiyel müşterinin etkilendiği bildirildi. Ele geçirilen veriler arasında isim, e-posta adresi, ülke bilgisi, müşteri kimliği ve doğum tarihi yer aldı.

KVKK kamuoyuna duyurma kararı aldı
Kişisel Verileri Koruma Kurulu, 3 Haziran 2025 tarihli ve 2025/1006 sayılı kararıyla veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Konuya ilişkin incelemeler devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Beş güvenlik açığı tespit edildi
Cisco’nun Talos güvenlik ekibi, Dell’in ControlVault3 firmware ve Windows API’lerinde beş kritik açık keşfetti. CVE-2025-24311, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922 ve CVE-2025-24919 kodlarıyla tanımlanan açıklar bellek taşmalarından güvensiz serileştirmeye kadar farklı güvenlik kusurlarını içeriyor.

Oturum açma atlatılabiliyor
Araştırmaya göre saldırganlar bu açıkları zincirleyerek firmware üzerinde keyfi kod çalıştırabiliyor. Bu sayede Windows oturum açma işlemini atlatmak, kullanıcı ayrıcalıklarını yönetici seviyesine çıkarmak ve kalıcı kötü amaçlı yazılımlar yerleştirmek mümkün hale geliyor.

Fiziksel erişim riski
Cisco Talos, fiziksel erişimi bulunan bir saldırganın cihazı açarak USB üzerinden Unified Security Hub (USH) kartına bağlanabileceğini, böylece parmak izi doğrulamasını manipüle ederek cihazın herhangi bir parmak izini kabul etmesini sağlayabileceğini bildirdi.

Dell güncelleme yayımladı
Dell, Mart-Mayıs 2025 arasında ControlVault3 sürücü ve firmware güncellemeleri yayımladı. Şirket, etkilenen modellerin tam listesini güvenlik duyurusunda paylaştı.

Önerilen önlemler
Araştırmacılar, cihazların güncel tutulması, kullanılmayan parmak izi okuyucu, akıllı kart okuyucu ve NFC gibi güvenlik bileşenlerinin devre dışı bırakılması gerektiğini vurguladı. Ayrıca BIOS üzerinden kasa açılma uyarısının etkinleştirilmesi ve Windows’ta Gelişmiş Oturum Açma Güvenliği (ESS) özelliğinin kullanılmasının fiziksel saldırılara karşı ek koruma sağlayacağı belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dizin geçişi açığı tespit edildi
ESET araştırmacıları Anton Cherepanov, Peter Košinár ve Peter Strýček tarafından keşfedilen CVE-2025-8088 açığı, WinRAR’ın önceki sürümlerinde dosya çıkartma sırasında saldırgan tarafından belirlenen bir yola yönlendirme yapılmasına imkân veriyor.

Windows başlangıç klasörüne kötü amaçlı dosya
Bu yöntemle saldırganlar, zararlı yürütülebilir dosyaları Windows Başlangıç klasörlerine yerleştirebiliyor. Kullanıcı oturum açtığında dosya otomatik çalışıyor ve uzaktan kod yürütme sağlanıyor.

Phishing kampanyalarında kullanıldı
ESET, RomCom grubunun hedefli kimlik avı e-postaları aracılığıyla gönderilen RAR eklerinde bu açığı kullandığını belirledi. Bu saldırılarla kurban sistemlere RomCom arka kapıları yüklendi.

RomCom’un geçmiş faaliyetleri
Rusya bağlantılı RomCom grubu (Storm-0978, Tropical Scorpius veya UNC2596 olarak da biliniyor), daha önce Cuba ve Industrial Spy fidye yazılımlarıyla ilişkilendirilmişti. Grup, kimlik bilgisi hırsızlığı ve veri gaspı odaklı saldırılarda sıfır gün açıklarını sıkça kullanıyor.

Kullanıcılara güncelleme uyarısı
Uzmanlar, WinRAR’ın otomatik güncelleme özelliği bulunmadığı için tüm kullanıcıların 7.13 sürümünü manuel olarak indirip yüklemesi gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kayıplar 2024’te rekor kırdı
FTC’nin Tüketici Koruma Veri Raporu’na göre 2024 yılında 60 yaş üstü bireyler toplamda 700 milyon dolarını dolandırıcılara kaptırdı. Bu miktar, 2020’deki 121 milyon dolarlık kaybın altı katına, 2023’teki 542 milyon dolarlık kaybın ise yüzde 30 üzerine çıktı.

En büyük kayıp 100 bin dolar üstünde
Rapor, 2024’te 100 bin doların üzerinde kayıp yaşayanların toplam 445 milyon dolar kaybettiğini ortaya koydu. 10 ila 100 bin dolar arası kayıplar 214 milyon dolar, 10 bin dolar altındaki kayıplar ise 41 milyon dolar olarak kaydedildi.

Dolandırıcıların en sık kullandığı yöntemler
Dolandırıcılık yöntemleri arasında resmi kurum ya da şirket kılığına girme, sahte kriz senaryoları ve telefonla baskı en öne çıkanlar oldu. Dolandırıcılar, bankalarda şüpheli işlem, sosyal güvenlik numarasıyla işlenen suç veya bilgisayar korsanlığı iddialarıyla mağdurları kandırdı.

FTC adına sahte aramalar yapıldı
FTC’nin açıklamasına göre bazı dolandırıcılar, ironiyle kurumun adını kullanarak sahte personel kimliğiyle insanları kandırdı. Mağdurlara, paralarını Bitcoin ATM’lerine yatırmaları, nakit veya altın teslim etmeleri gibi asılsız yönlendirmeler yapıldı.

Yaşlılar neden hedef alınıyor
Rapora göre yaşlı yetişkinler, daha büyük finansal birikimlere sahip olmaları, otoritelere duydukları güven ve teknolojiyi daha az bilme sebebiyle hedef oluyor. Birçok kişinin hayat birikimlerini ve emeklilik hesaplarını kaybettiği bildirildi.

Genel dolandırıcılık kaybı 12,5 milyar dolar
FTC, 2024 yılında Amerikalıların toplam dolandırıcılık kaybının 12,5 milyar dolara ulaştığını ve bunun 2023’e göre yüzde 25 artış anlamına geldiğini duyurdu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Politico’nun iddiaları sonrası açıklama geldi
Politico’nun hafta başında yayımladığı haberde, saldırının bazı federal bölgelerde gizli bilgileri ortaya çıkardığı, hatta gizli tanıkların kimliklerini açığa çıkarmış olabileceği öne sürülmüştü. Kurumun yaptığı açıklama bu iddiaları doğrudan teyit etmese de, davacıları etkileyecek verilerin zarar görmüş olabileceğini ima ediyor.

4 Temmuz’da fark edildi
İsimsiz kaynaklara göre, saldırının boyutu 4 Temmuz 2025’te tam olarak anlaşıldı ve ardından kurum içinde gizli bir bilgilendirme yapıldı. Ancak kamuoyuna ilk resmi açıklama ancak Politico’nun haberinden sonra geldi.

Güvenlik önlemleri artırılıyor
Yargı yetkilileri, sistemin güvenliğinin artırıldığını, saldırıları engellemek için yeni önlemler alındığını ve mahkemelerle iş birliği yapılarak davacılar üzerindeki etkinin en aza indirilmeye çalışıldığını duyurdu.

Kamu ve özel sektörde artan tehdit
Federal Yargı, hem kamu hem de özel kurumlara yönelik siber saldırıların artan hacim ve karmaşıklığına dikkat çekerek, eski sistemlerin korunmasının giderek zorlaştığını vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

FPRPC devre dışı bırakılıyor
Microsoft, 365 uygulamalarının 2508 sürümüyle birlikte FPRPC üzerinden dosya erişiminin varsayılan olarak engelleneceğini açıkladı. Engelleme Ağustos sonunda başlayacak, tüm kullanıcılara Eylül 2025 sonuna kadar ulaşacak.

FTP ve HTTP için yeni ayarlar
Yeni Trust Center ayarlarıyla kullanıcılar, yöneticiler izin verdiği sürece FPRPC’yi yeniden etkinleştirebilecek. Ayrıca FTP ve HTTP üzerinden dosya açma işlemleri hâlen varsayılan olarak açık olsa da, kullanıcıların bu protokolleri kapatma seçeneği olacak.

Yöneticiler için CPS kontrolü
Yöneticiler, Cloud Policy Service (CPS) üzerinden kimlik doğrulama protokollerini yönetebilecek. Eğer bir protokol CPS üzerinden devre dışı bırakılırsa, kullanıcılar Trust Center ayarlarıyla yeniden aktif hale getiremeyecek.

Microsoft güvenlik önlemlerini artırıyor
Şirket, son dönemde güvenlik açıklarını azaltmak için art arda önlemler aldı. Ocak 2025’ten itibaren ActiveX kontrolleri Microsoft 365 ve Office 2024’te devre dışı bırakıldı. Temmuz ayında Teams toplantılarında ekran görüntüsü engelleme özelliği devreye alındı. Outlook’ta ise .library-ms ve .search-ms dosya türleri engellenen ekler listesine eklendi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı Mayıs’ta gerçekleşti
Columbia Üniversitesi, 16 Mayıs 2025 civarında yetkisiz erişim yoluyla ağ sistemlerine girildiğini ve belirli dosyaların dışarıya çıkarıldığını duyurdu. Olay, 24 Haziran’da sistemlerde yaşanan kesinti sonrası başlatılan inceleme sırasında ortaya çıktı.

870 bine yakın kişi etkilendi
Üniversitenin Maine Başsavcılığı’na sunduğu belgelerde, 868 bin 969 kişinin ihlalden etkilendiği belirtildi. Bu kişiler arasında mevcut ve eski öğrenciler, başvuru sahipleri, çalışanlar ve bazı aile üyeleri bulunuyor.

Çalınan verilerin kapsamı geniş
Bildirim mektuplarına göre, etkilenen veriler arasında ad, doğum tarihi, Sosyal Güvenlik numarası, iletişim bilgileri, demografik veriler, akademik kayıtlar, mali yardım bilgileri ve sağlık ile sigorta verileri yer alıyor. Üniversite, Columbia University Irving Medical Center hasta kayıtlarının etkilenmediğini duyurdu.

Ücretsiz kimlik koruma desteği
Columbia Üniversitesi, çalınan verilerin henüz dolandırıcılıkta kullanılmadığına dair bir bulgu olmadığını açıklasa da, mağdurlara iki yıl boyunca Kroll üzerinden ücretsiz kredi izleme, dolandırıcılık danışmanlığı ve kimlik hırsızlığına karşı destek hizmetleri sunulacağını bildirdi.

Hacker 460 GB veri çaldığını iddia etti
Üniversite, geçtiğimiz hafta yaptığı ilk açıklamada, saldırganın yaklaşık 460 gigabayt veriyi ele geçirdiği yönündeki iddiaları doğrulamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Çete 2022’den bu yana aktifti
ABD İç Güvenlik Soruşturmaları (HSI), Royal ve BlackSuit olarak bilinen siber suç grubunun altyapısının uluslararası iş birliğiyle geçen ay çökertildiğini duyurdu. Grubun 2022’den bu yana 450’den fazla ABD şirketini hedef aldığı belirlendi.

Çifte şantaj yöntemiyle milyonlarca dolar
Açıklamaya göre saldırganlar, sistemleri şifreleyerek kullanılamaz hale getiriyor, ardından çalınan verileri sızdırma tehdidiyle ödeme talep ediyordu. Bu yöntemle elde edilen fidye miktarı 370 milyon doların üzerine çıktı.

Conti’den Royal’a, oradan BlackSuit’a
Grup ilk kez 2022 başında Quantum fidye yazılımıyla ortaya çıktı ve Conti çetesinin halefi olarak değerlendirildi. Aynı yıl Royal markasıyla yeniden ortaya çıkan grup, 2023’te Dallas şehrini hedef aldıktan sonra BlackSuit adını benimsedi.

Uluslararası operasyonla çökertildi
ABD Adalet Bakanlığı, 24 Temmuz 2025’te yaptığı açıklamada BlackSuit’in karanlık ağ sitelerinin ele geçirildiğini ve yerine “seizure banner” uyarılarının yerleştirildiğini duyurdu. Operasyonun kod adı “Checkmate” olarak açıklandı.

Yeni kimlikle geri dönüş ihtimali
Cisco Talos araştırmacıları, BlackSuit’in yeniden yapılanarak Chaos adıyla faaliyet göstermeye başladığına dair bulgular tespit etti. Yeni yapı, fidye yazılım hizmeti (RaaS) modeliyle çalışıyor ve hem yerel hem uzak depolamayı hedef alan saldırılarda çifte şantaj yöntemi kullanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

NPM’de sahte WhatsApp kütüphaneleri
Siber güvenlik şirketi Socket, NPM platformunda WhatsApp geliştirme araçları kılığına giren iki zararlı paketi tespit etti. “naya-flore” ve “nvlore-hsc” isimli paketler, WhatsApp botları ve otomasyon araçları geliştirenleri hedef alıyor.

Dosya silme komutu çalıştırıyor
Her iki pakette de “requestPairingCode” adlı fonksiyon, WhatsApp eşleştirme işlemi gibi görünse de aslında bir GitHub adresinden gelen verileri işliyor. Belirli telefon numaralarına sahip kullanıcılar hariç, hedef alınan geliştiricilerin sisteminde “rm -rf *” komutu çalıştırılıyor ve bulunduğu dizindeki tüm dosyalar siliniyor.

Veri sızdırma fonksiyonu da var
Paketlerde ayrıca “generateCreeds” adlı, telefon numarası, cihaz kimliği ve anahtar bilgilerini çalabilecek bir fonksiyonun da bulunduğu tespit edildi. Bu fonksiyon şu an yorum satırına alınmış durumda ancak ileride aktif hale getirilebileceği uyarısı yapıldı.

Go geliştiricileri de risk altında
Socket, aynı zamanda Go ekosisteminde 11 zararlı paket keşfetti. Bu paketler, sahte isimlerle yüklenip çalıştırıldığında uzaktan yüklenen zararlı komut dosyalarını çalıştırıyor. Çoğu, yazım hatalarına dayalı “typosquatting” yöntemiyle geliştiricileri yanıltmayı hedefliyor.

Geliştiricilere uyarı
Araştırmacılar, hem NPM hem de Go geliştiricilerinin kullandıkları kütüphaneleri dikkatle doğrulamaları gerektiğini vurguladı. Birçok paket hâlâ aktif durumda bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tespit edilmesi zor
Microsoft’un açıklamasına göre, saldırılar yerel Exchange sunucularından geldiğinde Microsoft Purview gibi bulut tabanlı loglama araçları bu etkinlikleri kaydetmeyebiliyor. Bu durum saldırıların fark edilmesini güçleştiriyor.

Araştırmacı Black Hat’te gösterdi
Outsider Security’den araştırmacı Dirk-Jan Mollema, Black Hat konferansında açığı göstererek Microsoft’a üç hafta önce rapor ettiğini açıkladı. Microsoft, konferansla eş zamanlı olarak güvenlik duyurusu ve gerekli yamaları yayımladı.

Federal kurumlara zorunlu adımlar
CISA’nın 25-02 sayılı acil direktifine göre kurumlar:

• Microsoft Health Checker script ile Exchange ortamlarını tarayacak,

• Destek dışı sunucuları ağdan ayıracak,

• Güncel kümülatif yamaları (Exchange 2019 için CU14/15, 2016 için CU23) yükleyecek,

• Nisan 2025 hotfix’ini uygulayacak,

• Ardından ConfigureExchangeHybridApplication.ps1 scripti ile paylaşımlı servis hesabından özel hibrit uygulamaya geçiş yapacak.

Kurumların teknik düzeltmeleri Pazartesi sabahına kadar tamamlaması ve aynı gün 17.00’ye kadar CISA’ya rapor sunması gerekiyor.

Tüm kuruluşlara uyarı
CISA, zorunluluk yalnızca federal kurumlar için geçerli olsa da, açığın tüm sektörlerde risk oluşturduğunu belirterek özel kuruluşları da güncelleme yapmaya çağırdı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yeni EDR öldürücü aracı
Sophos’un raporuna göre, fidye yazılım grupları tarafından kullanılan yeni EDR öldürücü aracı, güvenlik çözümlerini devre dışı bırakarak saldırganların ağlarda fark edilmeden hareket etmesine olanak sağlıyor. Araç, RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx ve INC grupları tarafından kullanıldı.

BYOVD yöntemiyle kernel ayrıcalıkları
Araç, zararlı bir sürücüyü (çoğu zaman çalıntı ya da süresi dolmuş dijital sertifikayla imzalanmış) yükleyerek “Bring Your Own Vulnerable Driver” (BYOVD) saldırısı gerçekleştiriyor. Böylece çekirdek seviyesinde ayrıcalık kazanarak güvenlik yazılımlarını kapatıyor.

Hedef alınan güvenlik çözümleri
Saldırının hedefinde Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro ve Webroot gibi çok sayıda EDR ve antivirüs ürünü yer alıyor.

Paylaşılan bir geliştirme altyapısı
Sophos, aracın tek bir sızıntı sonucu yayılmadığını, farklı fidye yazılım gruplarının aynı çerçeve üzerinden kendi sürümlerini oluşturduğunu belirtiyor. Tüm varyantlarda HeartCrypt paketleyicisinin kullanıldığı ve bilgi/araç paylaşımının yoğun olduğu ifade edildi.

Benzer araçlar daha önce de kullanıldı
EDRKillShifter dışında, AuKill ve AvNeutralizer gibi araçlar da farklı gruplar tarafından güvenlik yazılımlarını etkisiz hale getirmek için kullanılmıştı. Bu yöntem, fidye yazılım ekosisteminde giderek yaygınlaşıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı 4 Ağustos’ta gerçekleşti
Bouygues Telecom, 4 Ağustos 2025 Pazar günü bir siber saldırıya uğradığını ve yetkisiz erişim sonucu 6,4 milyon müşteriye ait kişisel verilerin ele geçirildiğini doğruladı. Şirketin teknik ekipleri saldırıya hızlı şekilde müdahale ettiklerini ve ek güvenlik önlemlerinin alındığını açıkladı.

Etkilenen müşteri bilgileri
Yapılan açıklamaya göre saldırıda ele geçirilen veriler arasında müşterilerin iletişim bilgileri, sözleşme detayları, medeni durum verileri, kurumsal müşterilere ait şirket bilgileri ve IBAN numaraları bulunuyor. Şirket, kredi kartı bilgilerinin ve müşteri hesap şifrelerinin bu ihlalden etkilenmediğini vurguladı.

Yetkililer bilgilendirildi
Bouygues Telecom, saldırının bilinen bir siber suç grubu tarafından şirket içi kaynaklar hedef alınarak gerçekleştirildiğini belirtti. Konuyla ilgili olarak Fransa Ulusal Siber Güvenlik Ajansı (ANSSI) ve Kişisel Verileri Koruma Kurumu (CNIL) bilgilendirildi. Saldırıyı düzenleyenler için 5 yıla kadar hapis ve 150 bin euroya kadar para cezası öngörülüyor.

Müşterilere dolandırıcılık uyarısı
Şirket, müşterilerini SMS ve e-posta yoluyla bilgilendirmeye başladı. Açıklamada, kimlik avı ve sahte aramalara karşı dikkatli olunması gerektiği, hesap bilgilerini isteyen kişilere güvenilmemesi gerektiği uyarısı yapıldı. Ayrıca, IBAN bilgilerinin tek başına işlem için yeterli olmamasına rağmen müşterilerin hesap hareketlerini yakından takip etmeleri tavsiye edildi.

Fransız telekom sektöründe artan tehdit
Bouygues Telecom’daki ihlal, sadece bir hafta önce Orange’ın yaşadığı ağ saldırısının ardından geldi. Avrupa’daki bu gelişmeler, ABD merkezli telekom şirketlerini hedef alan ve Çin bağlantılı Salt Typhoon grubuna atfedilen saldırılarla benzerlik gösteriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sıfır gün iddiası reddedildi
Geçtiğimiz hafta Arctic Wolf Labs, SonicWall Gen 7 cihazlarını hedef alan saldırıların sıfır gün açığa işaret edebileceğini duyurmuştu. Ancak SonicWall, yaptığı incelemeler sonucunda saldırıların CVE-2024-40766 adlı bilinen bir zafiyet üzerinden gerçekleştiğini bildirdi.

CVE-2024-40766 nedir
Bu açık, SonicOS yazılımındaki SSLVPN erişim kontrol zafiyeti nedeniyle yetkisiz kişilerin VPN oturumlarını ele geçirmesine imkân tanıyor. Açık, Ağustos 2024’te yayımlanan SNWLID-2024-0015 danışma belgesiyle duyurulmuştu.

Migrasyon hataları istismar edildi
SonicWall, 40 farklı olayın incelenmesi sonucunda pek çok vakada Gen 6’dan Gen 7’ye geçişte yerel kullanıcı parolalarının sıfırlanmadığını ve bunun saldırganların sisteme erişimini kolaylaştırdığını belirtti. Oysa parolaların sıfırlanması, orijinal güvenlik tavsiyelerinde kritik bir adım olarak açıklanmıştı.

Yeni önerilen adımlar
Şirket, kullanıcıların cihaz yazılımını 7.3.0 veya daha yeni sürümlere yükseltmesini, SSLVPN için kullanılan tüm yerel hesap parolalarının derhal sıfırlanmasını ve mümkünse erişimin yalnızca güvenilir IP’lerle sınırlandırılmasını tavsiye ediyor.

Kullanıcıların şüpheleri sürüyor
Buna rağmen bazı kullanıcılar, Reddit’te yaptıkları yorumlarda SonicWall’ın açıklamalarının kendi deneyimleriyle örtüşmediğini, hatta bazı log dosyalarının incelenmediğini iddia etti. Bu nedenle uzmanlar, resmi açıklamaların ötesinde yüksek düzeyde dikkat ve hızlı önlem alınması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte cüzdan uzantıları mağazaya sızdı
Koi Security’nin bulgularına göre saldırganlar, sahte kripto cüzdanı uzantılarını ilk etapta zararsız görünecek şekilde mağazaya yükledi. Onay aldıktan sonra ise marka ve logoları değiştirip zararlı kod enjekte ettiler.

Kullanıcı bilgileri keylogger ile çalındı
Uzantılara entegre edilen kod, kullanıcıların cüzdan giriş bilgilerini eklenti pencerelerindeki form alanlarından kaydederek saldırganların kontrolündeki uzak sunuculara gönderdi. Ayrıca kurbanların IP adresleri de izlendi.

Sahte sitelerle desteklendi
Kampanyaya paralel olarak, Trezor ve Jupiter Wallet gibi bilinen cüzdan sağlayıcılarını taklit eden çok sayıda sahte web sitesi açıldı. Bu siteler, LummaStealer gibi bilgi hırsızları ve fidye yazılımları dahil 500’den fazla zararlı yazılımın dağıtımını yaptı. Tüm operasyon, 185.208.156.66 IP adresi üzerinden yönetildi.

AI desteğiyle ölçeklendirildi
Araştırmaya göre kampanyada kullanılan kodlarda yapay zekâ izleri görüldü. Bu sayede saldırganların farklı yükler geliştirmesi, tespitten kaçınması ve saldırıları hızla büyütmesi kolaylaştı.

Mozilla eklentileri kaldırdı
Mozilla, şikâyetlerin ardından uzantıları mağazadan kaldırdı. Ancak kampanyanın büyüklüğü, daha önce Haziran 2025’te devreye alınan koruma sistemine rağmen sahte cüzdan uzantılarının hâlâ mağazaya sızabildiğini gösteriyor.

Chrome mağazasına da sıçrayabilir
Koi Security, GreedyBear grubunun Chrome Web Store’a da geçmeyi planladığını ve şimdiden “Filecoin Wallet” adlı sahte bir Chrome uzantısının tespit edildiğini bildirdi.

Kullanıcılar için öneriler
Uzmanlar, eklenti kurmadan önce yayıncı bilgilerini ve kullanıcı yorumlarını kontrol etmeyi, resmi cüzdan projelerinin yalnızca kendi sitelerinden yönlendirdiği bağlantılarla indirilmesini tavsiye ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kara para aklama itirafı
Rodriguez ve Hill, Samourai Wallet üzerinden kara para aklama faaliyetlerine bilerek aracılık ettiklerini kabul etti. İkilinin, suç gelirlerinin gizlenmesini sağlamak için “Whirlpool” ve “Ricochet” adlı hizmetleri sunduğu ortaya çıktı.

80 bin Bitcoin işlendi
Mahkeme belgelerine göre, 2015–2024 yılları arasında hizmet aracılığıyla 80 binden fazla Bitcoin (2 milyar doların üzerinde) yasa dışı kaynaktan geçirilerek karıştırıldı. Bu işlemlerden yaklaşık 6 milyon dolar hizmet ücreti elde edildi.

Tutuklamalar ve kapatma
Kurucular Nisan 2024’te tutuklandı. Aynı gün İzlanda polisi Samourai’nin internet alan adlarını ve sunucularını ele geçirdi, Google ise uygulamayı Play Store’dan kaldırdı. Uygulama, kapanmadan önce 100 binden fazla kez indirilmişti.

Suçun bilincindeydiler
Savcıların aktardığına göre, Rodriguez WhatsApp yazışmalarında “karıştırmayı bitcoin için kara para aklama” olarak tanımladı. Hill ise karanlık ağ forumlarında Samourai’yi “kirli BTC temizleme aracı” olarak tanıttı.

Mahkeme süreci ve ceza ihtimali
İkili, suçunu kabul ederek kara para aklama operasyonunu yürüttüğünü kabul etti. Anlaşma kapsamında 237,8 milyon dolar tutarında varlığı devlete bırakacaklar. Rodriguez ve Hill, para aklama suçlamasında 20 yıla kadar, izinsiz para transferi suçlamasında ise 5 yıla kadar hapisle yargılanıyordu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yıllardır korsan yayın yapıyordu
Kuzey Carolina merkezli Rare Breed TV, dünyanın en büyük korsan IPTV hizmetlerinden biri olarak öne çıkıyordu. Platform, aylık 15,99 dolardan başlayan aboneliklerle binlerce canlı kanal ve 14 bini aşkın film-dizi arşivi sunuyordu.

ACE’den yaptırım kararı
Amazon, Netflix, Disney, Warner Bros. ve Apple TV+ gibi 50’den fazla şirketin yer aldığı ACE, korsan IPTV hizmetini tespit ettikten sonra işletmecilerle iletişime geçti. Taraflar arasında varılan anlaşmayla platformun kapatılması ve ciddi miktarda tazminat ödenmesi kararlaştırıldı.

Site hâlen erişime açık
ACE açıklamasına rağmen Rare Breed TV’nin web sitesinin habere konu tarihte hâlâ erişime açık olduğu ve abonelik satışına devam ettiği görüldü. Konuyla ilgili olarak ACE’den ek yorum alınamadı.

Küresel korsan yayın operasyonları hedefte
ACE, bugüne kadar Openload, Streamango, Beast IPTV, 123movies.la ve anime platformu Zoro.to gibi çok sayıda korsan servisi kapattı. Geçtiğimiz yıl Jetflicks davasında beş kişiye ceza verilmesine, 22 milyon kullanıcılı ve aylık 250 milyon euro gelir elde eden bir korsan ağının çökertilmesine ve 821 milyon yıllık ziyaretçiye sahip Markkystreams’in kapatılmasına da katkı sağladı.

Uyarı niteliğinde mesaj
ACE’nin bağlı olduğu Sinema Filmleri Derneği (MPA) Başkan Yardımcısı Larissa Knapp, “Bu yaptırım korsan yayıncılara ciddi bir uyarıdır. Yasadışı yayın hizmeti işletmek, davalar, ağır mali cezalar ve kalıcı kapatmalarla sonuçlanır” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı müşteri hizmeti platformunda gerçekleşti
Air France ve KLM, 6 Ağustos 2025’te yaptıkları açıklamada, kullandıkları harici müşteri hizmeti platformunda olağandışı hareket tespit edildiğini ve bunun sonucunda müşteri verilerine yetkisiz erişim sağlandığını açıkladı.

Finansal veriler etkilenmedi
Şirketten yapılan duyuruda, saldırganların isim, e-posta adresi, telefon numarası, ödül programı bilgileri ve son işlem kayıtlarına ulaştığı, ancak müşterilerin finansal bilgilerinin ve kişisel güvenlik verilerinin etkilenmediği vurgulandı.

Yetkililer bilgilendirildi, müşteriler uyarıldı
KLM, olayı Hollanda Veri Koruma Kurumu’na, Air France ise Fransa’daki CNIL’e bildirdi. Etkilenen müşterilere uyarı mesajları gönderilerek şüpheli e-posta ve telefon aramalarına karşı dikkatli olmaları gerektiği belirtildi.

ShinyHunters grubuna bağlanıyor
BleepingComputer’un ulaştığı bilgilere göre olay, Salesforce platformlarını hedef alan ve Adidas, Qantas, Dior, Louis Vuitton, Chanel, Tiffany & Co. ile Google gibi markaları da etkileyen ShinyHunters grubunun sosyal mühendislik saldırılarıyla bağlantılı.

Havacılık sektörü saldırıların odağında
Air France–KLM olayı, son dönemde havacılık ve ulaşım sektörüne yönelen saldırıların bir parçası olarak değerlendiriliyor. Daha önce Scattered Spider grubu WestJet ve Hawaiian Airlines gibi firmaları hedef almıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Meşru sürücüyle güvenlik devre dışı bırakılıyor
Akira fidye yazılımı, ThrottleStop aracıyla kullanılan Intel sürücüsü “rwdrv.sys” üzerinden çekirdek seviyesinde erişim sağlıyor. Ardından “hlpdrv.sys” adlı kötü amaçlı sürücüyü yükleyerek Windows Defender’ın DisableAntiSpyware ayarını değiştiriyor ve korumaları devre dışı bırakıyor.

BYOVD tekniğiyle saldırı
Bu yöntem, “Bring Your Own Vulnerable Driver” (BYOVD) saldırı tekniğinin bir örneği. Yasal olarak imzalı ancak güvenlik açıkları bulunan sürücüler kullanılarak sistemde ayrıcalık yükseltiliyor. Akira’nın bu tekniği son haftalarda tekrarlayan saldırılarda sıkça görüldü.

SonicWall VPN saldırılarıyla bağlantı
Akira grubu kısa süre önce SonicWall SSLVPN servislerini de hedef aldı. Zero-day açık ihtimali gündeme gelse de, SonicWall henüz doğrulama yapmadı. Şirket, SSLVPN’in sınırlandırılması, MFA zorunluluğu, botnet/Geo-IP filtreleri ve kullanılmayan hesapların silinmesi gibi acil önlemler önerdi.

Sahte yazılım siteleriyle yayılıyor
The DFIR Report’a göre saldırılarda trojanlı MSI kurulum dosyaları kullanılıyor. “ManageEngine OpManager” gibi yazılımları arayan kullanıcılar, SEO zehirlemesi yoluyla opmanager[.]pro gibi sahte sitelere yönlendiriliyor. Bu sitelerden indirilen dosyalar, Bumblebee yükleyicisi aracılığıyla Akira’nın sisteme yerleşmesini sağlıyor.

Saldırıların ilerleyişi
Bumblebee, DLL yan yükleme yöntemiyle başlatılıyor, ardından AdaptixC2 ile kalıcı erişim sağlanıyor. Saldırganlar FileZilla üzerinden veri sızdırıyor, RustDesk ve SSH tünelleriyle kalıcılığı sürdürüyor. Ortalama 44 saat içinde “locker.exe” fidye yazılımı devreye giriyor ve etki alanlarındaki sistemler şifreleniyor.

Uzmanlardan uyarı
Güvenlik araştırmacıları, yalnızca resmi kaynaklardan yazılım indirilmesini, Akira ile ilgili IoC’lerin yakından takip edilmesini ve BYOVD tabanlı saldırılara karşı güvenlik çözümlerinin güncel tutulmasını öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Görüşme trafiği kılıfında saldırı
Praetorian araştırmacısı Adam Crosser, “Ghost Calls” yöntemini BlackHat USA’da sundu. Bu teknik, Zoom ve Teams gibi konferans uygulamalarında kullanılan TURN protokolünü kullanarak saldırganların kurban sistem ile kendi altyapıları arasında WebRTC tüneli açmasına olanak sağlıyor.

Nasıl çalışıyor
Bir kullanıcı Zoom ya da Teams toplantısına katıldığında, geçici TURN kimlik bilgileri alıyor. Ghost Calls, bu kimlik bilgilerini kötüye kullanarak saldırgan ile hedef sistem arasında şifrelenmiş bir WebRTC tüneli kuruyor. Bu tünel, saldırı trafiğini normal konferans trafiği gibi gösterdiği için güvenlik duvarları, proxy’ler ve TLS denetimleri tarafından fark edilmiyor.

Yeni araç: TURNt
Crosser, “TURNt” adlı açık kaynak bir araç geliştirdi. Bu araç, saldırgan tarafında bir Controller (SOCKS proxy sunucusu) ve kurban sistemde çalışan bir Relay bileşeninden oluşuyor. TURN sunucuları üzerinden C2 trafiğini tünelleyebilen TURNt, SOCKS proxying, port yönlendirme, veri sızdırma ve gizli VNC bağlantılarına imkân sağlıyor.

Zoom’dan ilk önlem
Zoom, BleepingComputer’a yaptığı açıklamada, Ghost Calls’a karşı TURN altyapısının yalnızca medya sunucularla eşleşmeye izin verecek şekilde güncellendiğini ve peer-to-peer bağlantıların engellendiğini duyurdu. Microsoft’un ek önlem planlarına dair ise henüz bir bilgi bulunmuyor.

Tehditin önemi
Ghost Calls, herhangi bir sıfır gün zafiyetine ihtiyaç duymadan, tamamen mevcut protokollerin doğasından yararlanıyor. Uzmanlara göre bu tür yöntemler, saldırganlara hem performans hem de anonimlik sağlıyor ve geleneksel C2 yöntemlerine göre daha gizli ilerliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Google da saldırıya uğradı
Google, dün gece yaptığı güncellemede Haziran ayında şirketin bir Salesforce CRM örneğinin ShinyHunters tarafından hedef alındığını doğruladı. Saldırıda küçük ve orta ölçekli işletmelere ait iletişim bilgileri ve notların indirildiği belirtildi.

Veriler sınırlı ama risk devam ediyor
Google’ın açıklamasına göre çalınan veriler esasen işletme adı ve iletişim bilgileri gibi büyük ölçüde kamuya açık bilgilerden oluşuyor. Ancak saldırı, müşteri güvenliği açısından dikkat çekici bulunuyor.

ShinyHunters kampanyası genişliyor
ShinyHunters, yıllardır Oracle Cloud, Snowflake, AT&T, Wattpad, MathWay gibi kurumlara yönelik saldırılarla biliniyor. Grup, son dönemde Adidas, Qantas, Allianz Life, Cisco, Louis Vuitton, Dior ve Tiffany & Co. gibi şirketlerin Salesforce sistemlerini de hedef aldı.

Vishing ve şantaj yöntemleri
Saldırılar, çalışanları hedef alan telefonla oltalama (vishing) teknikleriyle başlatılıyor. Grup, ele geçirdiği verileri kullanarak şirketlere e-posta yoluyla fidye talep ediyor. Şirketler ödeme yapmazsa verilerin sızdırılacağı tehdidinde bulunuyor. Bazı firmaların şimdiden ödeme yaptığı, bir şirketin verilerini sızdırmamak için yaklaşık 400 bin dolar değerinde Bitcoin gönderdiği öğrenildi.

Google’ın önlemleri
Google, saldırının ardından etki analizini tamamladığını ve gerekli güvenlik önlemlerini devreye aldığını açıkladı. Ancak ShinyHunters’ın saldırıları hâlen sürdüğü ve daha fazla büyük şirketin risk altında olduğu bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri sızıntısı doğrulandı
Allianz Life, Temmuz 2025’te CRM sistemlerinden büyük çaplı bir veri hırsızlığı yaşadığını açıklamıştı. Hafta sonu itibarıyla ShinyHunters grubu, çalınan “Accounts” ve “Contacts” veritabanı tablolarını internette yayımladı. Bu tablolar, 2,8 milyon müşteri ve iş ortağı kaydını içeriyor.

Hangi veriler ifşa oldu
Sızdırılan dosyalarda kişisel bilgiler (isim, adres, telefon numarası, doğum tarihi, vergi kimlik numarası) ile mesleki bilgiler (lisanslar, kurum bağlantıları, ürün onayları ve pazarlama sınıflandırmaları) yer alıyor. BleepingComputer, verilerin doğruluğunu etkilenen kişilerle teyit etti.

Saldırının yöntemi
2025’in başında başlayan saldırı dalgasında tehdit aktörleri, çalışanları kandırarak şirketlerin Salesforce sistemlerine kötü amaçlı OAuth uygulamaları bağlatıyor. Bu bağlantılar üzerinden veritabanlarını indirip şirketlere fidye talebi gönderiyorlar.

Hacker gruplarının birleşimi
ShinyHunters, saldırının ardından yaptığı açıklamada Scattered Spider ile tek grup olduklarını duyurdu. Grup, daha önce Snowflake saldırısında da benzer yöntemlerle veri çalmıştı. Araştırmacılar, Lapsus$ grubunun eski üyelerinin de bu saldırılarda rol almış olabileceğini değerlendiriyor.

Allianz Life sessiz
Şirket, devam eden soruşturmayı gerekçe göstererek sızdırılan veriler hakkında yorum yapmadı. Ancak uzmanlar, ifşa edilen verilerin kimlik hırsızlığı ve dolandırıcılık risklerini artırdığı uyarısında bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tehlike Docker Hub’da sürüyor
Binarly araştırmacıları, Docker Hub’da barındırılan en az 35 Linux imajında XZ-Utils arka kapısının hâlâ bulunduğunu tespit etti. Bu imajların bazıları, üzerinde inşa edilen yeni imajları da dolaylı olarak enfekte ediyor.

XZ-Utils arka kapısı nedir
XZ-Utils sıkıştırma aracının 5.6.0 ve 5.6.1 sürümlerinde tespit edilen arka kapı, liblzma.so kütüphanesine gizlenmişti. Kod, OpenSSH’deki RSA_public_decrypt fonksiyonunu ele geçiriyor ve özel bir anahtara sahip saldırganın SSH üzerinden root yetkisiyle giriş yapmasına olanak tanıyordu.

Debian imajları kaldırmadı
Araştırmacıların uyarılarına rağmen Debian, 64 bitlik bazı imajları Docker Hub’dan çekmediğini doğruladı. Gerekçe olarak, istismarın düşük ihtimalle gerçekleşebileceği ve eski imajların “tarihsel arşiv” olarak korunması gerektiği belirtildi.

Risk halen devam ediyor
Binarly, bu yaklaşımın yanlış olduğunu ve bu imajların kamuya açık tutulmasının, otomatik yapılar veya yanlışlıkla indirmeler yoluyla ciddi risk oluşturduğunu vurguladı.

Kullanıcılara tavsiye
Uzmanlar, kullanılan imajların manuel olarak kontrol edilmesi ve XZ-Utils’in en az 5.6.2 sürümüne güncellenmiş olduğunun doğrulanması gerektiğini hatırlatıyor. En güncel sürüm 5.8.1 olarak yayımlanmış durumda.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Toplam 107 güvenlik açığı kapatıldı
Microsoft’un bu ay yayımladığı yama paketi 44 yetki yükseltme, 35 uzaktan kod yürütme, 18 bilgi ifşası, 4 hizmet reddi ve 9 sahtecilik açığını gideriyor. Bu açıkların 13’ü “kritik” olarak sınıflandırıldı.

Kerberos’ta sıfır gün açığı
En dikkat çekici güncelleme, CVE-2025-53779 kodlu Windows Kerberos açığı oldu. Bu açık, doğrulanmış bir saldırganın domain yöneticisi ayrıcalıkları elde etmesine imkân tanıyor. Açığın teknik detayları Mayıs 2025’te Akamai’den Yuval Gordon tarafından yayımlanmıştı.

Kritik uzaktan kod yürütme açıkları
Düzeltmeler arasında Microsoft Office (Word, Excel, PowerPoint, Visio), SharePoint, SQL Server, Windows GDI+ ve Message Queuing bileşenlerinde kritik seviyede RCE açıkları da bulunuyor. Bu açıklar, saldırganların kullanıcı etkileşimi olmadan sistem üzerinde zararlı kod çalıştırmasına yol açabiliyor.

Öne çıkan diğer yamalar

• Exchange Server: CVE-2025-53786, hibrit kurulumlarda bulut ortamına yetkisiz erişim sağlayabilecek yetki yükseltme açığı.

• Windows NTLM: Kritik yetki yükseltme zafiyeti.

• Hyper-V: Hem DoS hem de uzaktan kod yürütme açıkları.

• Microsoft Teams: Uzaktan kod çalıştırma açığı.

Diğer üretici yamalarıyla paralel
Ağustos güncellemeleri, son haftalarda diğer üreticilerden gelen yamaları da takip ediyor. 7-Zip, Adobe, Cisco, Fortinet, Google (Android), SAP ve Trend Micro da aktif olarak istismar edilen açıklar için güvenlik güncellemeleri yayımladı.

Uzmanlardan öneri
Siber güvenlik uzmanları, özellikle Kerberos açığı ve Office ürünlerindeki RCE açıklarının kurumlar için ciddi risk oluşturduğunu belirterek güncellemelerin gecikmeden uygulanması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

1 milyon dolarlık kriptoya el konuldu
ABD Adalet Bakanlığı, BlackSuit fidye yazılımı grubuna ait dijital varlıkların 9 Ocak 2024’te ele geçirildiğini açıkladı. Söz konusu varlıkların değeri 1.091.453 dolar olarak açıklandı. Kripto paralar, suçlular tarafından farklı borsalar üzerinden defalarca transfer edilerek izleri gizlenmeye çalışılırken tespit edilip donduruldu.

Fidye ödemesinden kaynaklanıyor
Yetkililere göre el konulan varlıklar, 4 Nisan 2023’te fidye ödemesi yapan bir kurbanın gönderdiği 49,3 Bitcoin’den elde edildi. O dönemde bu ödemenin değeri yaklaşık 1,44 milyon dolardı.

Operation Checkmate ile bağlantılı
Bu duyuru, uluslararası “Operation Checkmate” operasyonu kapsamında BlackSuit’in gasp sitelerinin ele geçirilmesinin ardından geldi. Operasyon, BlackSuit ile bağlantılı Royal, Quantum ve Chaos fidye yazılım platformlarını da hedef aldı.

ABD’de 450 kuruluşa saldırdılar
Geçen hafta ABD İç Güvenlik Bakanlığı, Royal ve BlackSuit çetelerinin sağlık, eğitim, enerji, kamu güvenliği ve devlet kurumları dahil 450’den fazla ABD kuruluşunu hedef aldığını açıkladı. Bu saldırılardan toplam 370 milyon dolar değerinde fidye ödemesi elde edildi.

Daha önce 20 Bitcoin’e el konulmuştu
28 Temmuz’da FBI Dallas, Chaos fidye yazılımı grubuyla bağlantılı bir adreste 20 Bitcoin’e (yaklaşık 2,4 milyon dolar) el koyduğunu duyurmuştu.

Stratejik öneme sahip hamle
Adalet Bakanlığı, suçtan elde edilen gelirlerin ele geçirilmesinin, yakalanamayan operatörlerin finansal gücünü kırmak ve altyapılarını yeniden kurmalarını engellemek için kritik öneme sahip olduğunu vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

En yüksek güvenlik standardı
pKVM, Android cihazlarda sanallaştırma çerçevesinin çekirdeğini oluşturan hipervizör. Google, sistemin DEKRA tarafından akredite laboratuvarlarda test edildiğini ve gelişmiş tehditlere karşı dirençli olduğunun doğrulandığını duyurdu.

SESIP Level 5 nedir
SESIP (Security Evaluation Standard for IoT Platforms), IoT ve mobil platformlar için geliştirilen bir güvenlik standardı. Level 5, Common Criteria’nin (ISO 15408) en yüksek güvenlik seviyesi olan AVA_VAN.5’e eşdeğer. Bu seviye, pKVM’nin sofistike saldırılara karşı dayanıklı olduğunu ortaya koyuyor.

pKVM’nin kullanım alanları
Hipervizör, Android cihazlarda kritik görevlerin güvenli şekilde çalıştırılmasını sağlıyor. Bunlar arasında:

• Google’ın Gemini Nano gibi yapay zekâ modellerinin cihaz üzerinde çalıştırılması,

• biyometrik kimlik doğrulama (yüz, parmak izi),

• DRM korumalı içeriklerin işlenmesi,

• cihazın firmware düzeyinde güvenlik fonksiyonları bulunuyor.

Kullanıcılar için anlamı
Google’a göre akıllı telefonlar artık yalnızca kişisel bilgileri değil, aynı zamanda yapay zekâ modelleriyle işlenen yüksek değerli verileri de barındırıyor. Bu da saldırganlar için cazip bir hedef oluşturuyor. SESIP Level 5 sertifikası, Android cihazlarda bu verilerin güvenliğinin daha üst düzeyde sağlanacağı anlamına geliyor.

Google’dan açıklama
Android Güvenlik ve Gizlilik Başkan Yardımcısı Dave Kleidermacher, “Cihaz üzerinde yapılan işlemeler arttıkça, kişisel veriler daha değerli hale geliyor. Bu nedenle güçlü güvenlik önlemleri zorunlu” diyerek sertifikanın önemini vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Rusya çıkarlarıyla uyumlu operasyonlar
Bitdefender araştırmacıları, Curly COMrades adını verdikleri yeni bir siber casusluk grubunun Gürcistan’daki devlet ve yargı kurumlarını, Moldova’daki enerji şirketlerini hedef aldığını açıkladı. Grup, bilinen APT’lerle doğrudan örtüşmese de operasyonlarının Rusya’nın jeopolitik hedefleriyle paralellik gösterdiği ifade edildi.

MucorAgent arka kapısı
Grubun saldırılarında kullandığı MucorAgent zararlısı üç aşamalı yapıya sahip. İlk aşamada COM nesneleri ele geçirilerek ikinci aşama yükleniyor; bu bileşen Windows’un Antimalware Scan Interface (AMSI) korumasını atlatıyor. Üçüncü aşama ise belirli dizinlerde bulunan şifrelenmiş PNG dosyalarındaki verileri (muhtemelen komut dosyaları) çalıştırıyor.

Kalıcı erişim için yaratıcı yöntemler
Araştırmacılar, saldırganların NGEN (Native Image Generator) bileşenini hedef alarak devre dışı görünen ancak belirli durumlarda çalışan zamanlanmış görevleri kötüye kullandığını tespit etti. Ayrıca, Resocks proxy aracı, SOCKS5 sunucuları, SSH + Stunnel tünelleme ve CurlCat gibi özel geliştirilmiş araçlar kullanıldı.

Hedef: Kimlik bilgileri ve ağ hareketi
Saldırganların etki alanı denetleyicilerinden NTDS veritabanını ve LSASS bellek dökümlerini çıkarmaya çalıştığı, ağda kalıcı erişim için geçerli kimlik bilgilerini toplamaya odaklandığı belirtildi. Ayrıca netstat, tasklist, systeminfo, wmic, ipconfig gibi komutlar ve Active Directory keşfi için PowerShell betikleri kullanıldı.

Gizlilik çabaları sonuçsuz kaldı
Curly COMrades’in “living-off-the-land” teknikleri, açık kaynak araçları ve yoğun COM manipülasyonlarıyla gizlilik sağlamaya çalıştığı, ancak modern EDR/XDR sistemlerinin bu faaliyetleri tespit edecek kadar gürültü oluştuğu kaydedildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kritik açığa karşı cihazlar savunmasız
Citrix NetScaler cihazlarında tespit edilen CVE-2025-5777 (CitrixBleed 2) açığı, yetersiz girdi doğrulaması nedeniyle oluşan “out-of-bounds memory read” hatasından kaynaklanıyor. Hedef alınan cihazlar arasında VPN, ICA Proxy, CVPN, RDP Proxy ve AAA sanal sunucuları bulunuyor.

Oturum ele geçirme riski
Açık, saldırganlara oturum belirteçleri, kimlik bilgileri ve hassas verileri çalma imkânı tanıyor. Böylece kullanıcı oturumlarını ele geçirerek çok faktörlü kimlik doğrulamayı atlatabiliyorlar. Açık ilk olarak sıfır gün saldırılarında istismar edildi, kısa süre sonra da PoC exploit kodları yayımlandı.

Hâlâ binlerce cihaz açıkta
Shadowserver’ın 11 Ağustos raporuna göre dünya genelinde 3.312 cihaz hâlâ CVE-2025-5777’e karşı korunmasız. Ayrıca 4.142 cihaz, DoS saldırılarında aktif olarak istismar edilen başka bir kritik açık (CVE-2025-6543) için de yamalanmamış durumda.

Hollanda’da kritik kurumlar hedef alındı
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), CVE-2025-6543 açığının Mayıs ayından bu yana sıfır gün olarak kullanıldığını, kritik kuruluşların saldırıya uğradığını ve izlerin saldırganlar tarafından silindiğini duyurdu. Temmuz ayında Hollanda Savcılığı’nın (Openbaar Ministerie) saldırı sonrası e-posta sunucularında haftalarca kesinti yaşadığı açıklandı.

ABD kurumlarına zorunlu talimat
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), iki açığı da aktif istismar edilen zafiyetler listesine ekleyerek federal kurumlara CVE-2025-5777 için 1 gün, CVE-2025-6543 için ise 21 Temmuz’a kadar yamaları uygulama talimatı verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ulusal Muhafızlar devreye girdi
29 Temmuz’da yaşanan saldırı sonrası Minnesota Valisi Tim Walz, şehrin olay müdahale kapasitesini aşan bu durum için Ulusal Muhafızları siber koruma desteği vermek üzere görevlendirdi. Şehir, çevrim içi ödemeler de dahil olmak üzere birçok hizmetin geçici olarak kesintiye uğradığını açıkladı.

Interlock saldırıyı üstlendi
Saint Paul Belediye Başkanı Melvin Carter, saldırının Interlock fidye yazılım grubu tarafından gerçekleştirildiğini ve fidye ödenmediğini doğruladı. Carter, vatandaşların kişisel veya finansal bilgilerinin saldırıdan etkilenmediğini söyledi.

66 bin dosya sızdırıldı
Interlock grubu, karanlık ağdaki sitesinde Saint Paul’u hedef olarak listeledi ve 43 GB büyüklüğünde, 66 binden fazla dosyayı ele geçirdiğini öne sürdü. Saldırganlar bu verilerin bir kısmını yayımladı.

Saldırının izleri
PRODAFT’ın açıklamasına göre saldırı, 20 Temmuz civarında şehir sistemlerine bulaştırılan ve Interlock’la ilişkilendirilen özel geliştirilmiş SystemBC RAT zararlısıyla başladı.

Grubun geçmişi
Eylül 2024’te ortaya çıkan Interlock, dünya genelinde özellikle sağlık kuruluşlarını hedef aldı. Daha önce İngiltere’deki üniversitelere NodeSnake trojanıyla saldırmış, DaVita’dan 1,5 TB ve Kettering Health’ten büyük miktarda veri çaldığını duyurmuştu. CISA ve FBI, saldırıdan günler önce Interlock’un kritik altyapılara yönelik çift şantajlı saldırılarında artış olduğunu açıklamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kimsuky’ye karşı etik çıkış
Sızıntıyı gerçekleştiren “Saber” ve “cyb0rg” takma adlı hackerlar, Phrack dergisinin DEF CON 33’te dağıtılan son sayısında, Kimsuky’yi “rejim çıkarlarına hizmet eden, etik dışı bir grup” olarak tanımladı. İkilinin açıklamasında, “Sanatı icra etmek yerine liderlerini zenginleştirmek için çalışan politik bir araçsınız” ifadeleri yer aldı.

8,9 GB veri çevrim içi yayımlandı
Distributed Denial of Secrets platformunda yayımlanan arşiv, Kimsuky’nin oltalama günlüklerini, çalıntı verilerini ve araçlarını içeriyor. Bunlar arasında:

• Güney Kore Savunma Karşı İstihbarat Komutanlığı’na (dcc.mil.kr) ait oltalama kayıtları,

• Güney Kore Dışişleri Bakanlığı’nın e-posta sistemi (“Kebi”) kaynak kodu,

• Vatandaşlık sertifikaları ve akademisyen listeleri,

• Sahte site oluşturma kiti (PHP Generator), canlı oltalama kitleri,

• Cobalt Strike yükleyicileri, ters bağlantı araçları ve Onnara proxy modülleri,

• VPN alımları, GitHub bağlantıları ve hack forumu kullanım kayıtları.

Operasyonel zorluk yaratabilir
Bitirici bir darbe olmasa da, uzmanlara göre bu ifşa Kimsuky’nin altyapısının “yanmasını” sağlayarak devam eden kampanyalarda aksamalara yol açabilir. Ayrıca, sızan belgeler Kimsuky’nin daha önce belgelenmemiş yöntemlerini ortaya çıkarıyor.

Araştırmacılar doğrulamaya çalışıyor
Sızdırılan dosyaların doğruluğu henüz bağımsız olarak tam teyit edilmedi. Ancak içerik, Kimsuky’nin bilinen faaliyetleriyle güçlü örtüşmeler taşıyor. Güvenlik araştırmacıları, sızıntının değerini analiz etmeye devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Bellek taşması sıfır gün olarak kullanıldı
Citrix NetScaler ADC ve Gateway ürünlerinde bulunan CVE-2025-6543, bellek taşması nedeniyle yetkisiz komut çalıştırılmasına veya hizmet reddine yol açabiliyor. Açık, VPN, ICA Proxy, CVPN, RDP Proxy ve AAA sanal sunucularını etkiliyor.

Kritik kurumlar hedef oldu
NCSC, Mayıs 2025’ten itibaren saldırganların açığı sıfır gün olarak kullandığını ve Hollanda’daki birden fazla kritik kuruma sızdığını açıkladı. Saldırganlar izlerini silerek olayları tespit etmeyi zorlaştırdı.

Savcılık saldırıyı doğruladı
Hollanda Savcılığı (Openbaar Ministerie), 18 Temmuz’da sistemlerinin ihlal edildiğini duyurdu. Olay ciddi operasyonel kesintilere neden oldu, e-posta sunucuları ancak Ağustos başında yeniden çalışmaya başladı.

Citrix’in yayımladığı yamalar
Citrix, 25 Haziran’da yayımladığı bültende şu sürümlere güncelleme yapılmasını tavsiye etti:

• 14.1 → 14.1-47.46 ve sonrası

• 13.1 → 13.1-59.19 ve sonrası

• 13.1-FIPS ve 13.1-NDcPP → 13.1-37.236 ve sonrası
  12.1 ve 13.0 sürümleri içinse destek sona erdi, güncel sürümlere yükseltme öneriliyor.

Ek güvenlik adımları
Yamaların ardından aktif oturumların kapatılması (icaconnection, pcoipConnection, aaa, rdp) ve load balancing oturumlarının temizlenmesi tavsiye edildi. Ayrıca NCSC, olağan dışı PHP/XHTML dosyalarının tespiti için GitHub üzerinden bir tarama scripti yayımladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sıfır gün olarak kullanıldı
ESET, 18 Temmuz 2025’te RomCom grubunun WinRAR’daki belirsiz bir yol geçişi açığını istismar ettiğini tespit etti. Açık, alternatif veri akışlarının (ADS) kullanımıyla kötüye kullanılabiliyor ve CVE-2025-8088 olarak kaydedildi.

Zararlı dosyalar Startup klasörüne düşüyor
Hazırlanan RAR arşivlerinde sahte yollarla doldurulmuş çok sayıda ADS girdisi bulunuyor. Bunlar, zararlı DLL, EXE ve LNK dosyalarının arşiv açıldığında %TEMP% ve %LOCALAPPDATA% klasörlerine, kısayolların ise Windows Başlangıç klasörüne yerleştirilmesini sağlıyor.

Üç farklı saldırı zinciri
ESET, saldırılarda kullanılan üç ayrı enfeksiyon zinciri tespit etti:

• Mythic Agent: COM hijacking yoluyla AES şifreli shellcode çalıştırıyor, yalnızca belirli etki alanlarında aktif oluyor.

• SnipBot: Sahte bir PuTTY türeviyle yükleniyor, açılan belgeleri kontrol ederek ek zararlı indiriyor.

• MeltingClaw: RustyClaw üzerinden DLL indirip daha fazla modül çalıştırıyor.

Ek aktörler de açığı kullandı
Bi.Zone, CVE-2025-8088’in yanı sıra CVE-2025-6218 açığını da istismar eden “Paper Werewolf” adını verdiği farklı bir saldırı kümesini raporladı.

Güncelleme manuel yapılmalı
RARLab, açığın kapatıldığı 7.13 sürümünü 30 Temmuz’da yayımladı. Ancak WinRAR otomatik güncelleme özelliği içermediği için kullanıcıların en son sürümü manuel olarak indirip kurmaları gerekiyor.

Risk neden yüksek
Windows 2023’te RAR desteği eklese de kapsamı sınırlı. Kurumsal kullanıcılar ve ileri seviye bireysel kullanıcılar hâlen WinRAR’a bağımlı, bu da yazılımı saldırganlar için cazip hale getiriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

DarkBit saldırıları ve siyasi arka plan
2023’te gerçekleşen saldırıların, İran’daki mühimmat fabrikasına yönelik drone saldırılarının ardından misilleme amacı taşıdığı değerlendiriliyor. DarkBit grubu, daha önce İsrail’deki eğitim kurumlarını hedef almış ve propaganda içerikli fidye notları bırakmıştı. İsrail Ulusal Siber Komutanlığı, saldırıları MuddyWater ile ilişkilendirmişti.

Zayıf şifreleme yöntemi tespit edildi
Profero uzmanları, saldırıda kullanılan DarkBit fidye yazılımını analiz etti. Her dosya için AES-128-CBC ile üretilen anahtarların düşük entropiye sahip olduğu, zaman damgalarıyla birlikte olası kombinasyonların birkaç milyar ihtimale düştüğü keşfedildi.

ESXi sunucularındaki avantaj
Araştırmacılar, VMware sanal disk (VMDK) dosyalarının bilinen başlık baytlarını referans alarak brute force yöntemini hızlandırdı. Ayrıca VMDK dosyalarının seyrek yapısı nedeniyle, şifrelenmemiş geniş boşluklardan değerli verilerin doğrudan kurtarılabildiği belirlendi.

Fidye ödenmeden dosyalar geri alındı
Geliştirilen özel araç sayesinde, saldırganların talep ettiği 80 Bitcoin ödenmeden kritik dosyaların çoğu kurtarıldı. Profero, DarkBit’in fidye yerine veri silici (wiper) kullansaydı amacına daha uygun sonuç alabileceğini belirtti.

Kurtarma aracı halka açılmadı
Profero, DarkBit için geliştirdiği çözüm aracını kamuya açıklamayacağını, ancak gelecekte benzer saldırılardan etkilenen kurumların kendileriyle iletişime geçerek destek alabileceğini duyurdu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dört üst düzey üye iade edildi
Gana merkezli dolandırıcılık örgütünün yöneticileri olduğu belirtilen Isaac Oduro Boateng (“Kofi Boat”), Inusah Ahmed (“Pascal”), Derrick Van Yeboah (“Van”) ve Patrick Kwame Asare (“Borgar”), 7 Ağustos’ta ABD’ye getirildi.

Yöntem: aşk dolandırıcılığı ve e-posta saldırıları
Mahkeme belgelerine göre çete, çoğunlukla yalnız yaşayan yaşlı Amerikalıları sahte romantik ilişkilerle kandırdı. Güven kazandıktan sonra mağdurları para göndermeye ikna ettiler. ABD’deki aracılar parayı akladıktan sonra asıl faillerin bulunduğu Batı Afrika’ya gönderdi.

Çete aynı zamanda şirketleri de hedef aldı. Çalışanların veya müşterilerin e-posta adreslerini taklit eden sahte hesaplarla finans yetkililerini kandırarak milyonlarca dolarlık havaleler yaptırdılar. Sahte imzalı belgelerle transferleri meşrulaştırdılar.

“Chairmen” adıyla yönetilen yapı
Boateng ve Ahmed örgütte “chairman” (başkan) rolünü üstlenirken, Asare ve Van Yeboah da üst düzey konumlarda faaliyet gösterdi. Van Yeboah’ın özellikle aşk dolandırıcılığı operasyonlarında aktif rol aldığı belirlendi.

Ağır cezalar gündemde
Sanıklar; kablolu dolandırıcılık yapmak ve buna teşebbüs (20 yıla kadar), kara para aklama (20 yıl), çalıntı para alma ve buna teşebbüs (5 yıl) ve çalıntı parayı elde tutma (10 yıl) suçlamalarıyla yargılanacak.

Kaynak: CUMHA - CUMHUR HABER AJANSI

29 binden fazla sunucu yamalanmamış
Shadowserver’ın 10 Ağustos tarihli taramalarına göre dünya genelinde 29.098 sunucu halen yamalanmamış durumda. Bunların 7.200’den fazlası ABD’de, 6.700’den fazlası Almanya’da, 2.500’den fazlası ise Rusya’da bulunuyor.

Microsoft ve CISA’dan uyarılar
Microsoft, açığı Nisan 2025’te yayımladığı bir güvenlik danışmanlığı ve hotfix ile duyurdu. Şirket, “kötüye kullanılma ihtimali yüksek” olarak işaretlediği açık için tüm hibrit yapıların yeni mimariye geçirilmesini tavsiye etti.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 25-02 numaralı acil direktifle federal kurumlara 9 Ağustos Pazartesi sabahına kadar yama yapma zorunluluğu getirdi. CISA ayrıca, federal olmayan kurumların da aynı adımları uygulaması gerektiğini vurguladı.

Alınması gereken önlemler

• Microsoft Health Checker script ile ortam taraması,

• EOL sürümlerin internetten ayrılması,

• Exchange 2019 için CU14/15, Exchange 2016 için CU23 yüklenmesi,

• Nisan 2025 hotfix’inin uygulanması.

Uyarı: tam etki alanı ele geçirilebilir
CISA, önlemlerin alınmaması halinde hem hibrit bulut hem de on-premise ortamların tamamen ele geçirilme riskiyle karşı karşıya olduğunu açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

172 bin kişi etkilendi
27 Temmuz’da tamamlanan incelemede, toplam 172 bin üyenin verilerinin risk altında olduğu tespit edildi. Çalınan bilgiler arasında isimler, hesap numaraları, banka kartı verileri, Sosyal Güvenlik numaraları ve devlet kimlikleri bulunuyor. Şirket, üyelerin hesap bakiyelerine erişildiğine dair bir bulgu olmadığını bildirdi.

Dolandırıcılık riski arttı
Connex, resmi internet sitesine koyduğu uyarıyla üyeleri devam eden oltalama saldırılarına karşı bilgilendirdi. Açıklamada, “Connex hiçbir zaman sizden PIN, şifre veya hesap numarası istemez. Şüpheli bir arama veya mesaj alırsanız telefonu kapatıp doğrudan bizi arayın” denildi.

Geniş çaplı saldırı dalgasının parçası
İhlalin, Salesforce platformlarını hedef alan ShinyHunters grubuyla ilişkilendirilen saldırı dalgasının ardından gelmesi dikkat çekti. Son aylarda Allianz Life, Adidas, Qantas, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Google gibi markalar da benzer saldırılardan etkilenmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kritik açık Calendar üzerinden tetiklendi
Gemini, Gmail, Calendar ve Google Home gibi hizmetlere entegre çalışıyor. Açık, saldırganın Google Calendar davetinde etkinlik başlığına zararlı bir “prompt injection” gizlemesiyle tetikleniyordu. Kullanıcı Gemini’ye “Bugün takvimimde ne var” gibi rutin bir soru yönelttiğinde, asistan ilgili başlıkları okuyor ve zararlı komutu da kendi bağlamında yürütüyordu.

Olası saldırı senaryoları
Bu yöntemle saldırganlar:

• Kullanıcının e-posta ve takvim verilerini dışarı aktarabiliyor,

• Akıllı ev cihazlarını uzaktan kontrol edebiliyor,

• Uygulama açabiliyor veya Zoom görüşmesi başlatabiliyor,

• Kullanıcının IP adresini öğrenmek için URL açtırabiliyordu.

Altı davetlik sinsi yöntem
Araştırmacılar, Calendar’da yalnızca son beş etkinliğin doğrudan görüntülendiğini belirledi. Bu nedenle saldırganların görünürlükten kaçınmak için altı davet göndermesi, zararlı prompt’u sonuncuya gizlemesi gerekiyordu. Kullanıcılar bu daveti yalnızca “Daha fazla göster” seçeneğine tıklarsa fark edebiliyordu.

Google açığı kapattı
Google, SafeBreach araştırmacıları Ben Nassi ve ekibinin sorumlu bildirim süreci sayesinde açığın istismar edilmeden kapatıldığını açıkladı. Google Workspace güvenlik ürün yönetimi direktörü Andy Wen, araştırmanın savunma mekanizmalarının geliştirilmesini hızlandırdığını vurguladı.

Daha önce de uyarılar yapılmıştı
Geçen ay Mozilla araştırmacısı Marco Figueroa, Gemini’nin başka bir “prompt injection” tekniğine karşı savunmasız olduğunu ve bunun kimlik avı saldırılarına kapı aralayabileceğini açıklamıştı. Google, yeni koruma önlemlerinin devreye alınmakta olduğunu belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İhlal potansiyel müşterileri etkiledi
Google’ın yaptığı bildirimde, Salesforce üzerinden potansiyel Ads müşterileriyle iletişimde kullanılan verilerin yetkisiz kişilerce erişildiği belirtildi. Etkilenen veriler arasında şirket adları, telefon numaraları ve satış temsilcilerinin notları yer aldı. Ads hesapları, Merchant Center, Analytics ve diğer ürünlerdeki müşteri verilerinin etkilenmediği vurgulandı.

ShinyHunters saldırının arkasında
Saldırının, son aylarda Salesforce müşterilerini hedef alan ShinyHunters grubuyla bağlantılı olduğu doğrulandı. Grup, ele geçirilen verilerin yaklaşık 2,55 milyon kayıttan oluştuğunu iddia etti. Kayıtların arasında mükerrer girişler olabileceği belirtildi.

Scattered Spider ile iş birliği
ShinyHunters, saldırılarda ilk erişimi sağlayan Scattered Spider ile ortak hareket ettiklerini ve birlikte “Sp1d3rHunters” adı altında çalıştıklarını açıkladı. Grup, çalışanlara yönelik sosyal mühendislik saldırılarıyla kimlik bilgisi elde edip, Salesforce ortamlarına kötü amaçlı OAuth uygulamaları bağlatarak tüm veritabanlarını indirdiklerini bildirdi.

Fidye talebi ve yeni araçlar
ShinyHunters, Google’dan 20 Bitcoin (yaklaşık 2,3 milyon dolar) talep ettiklerini, ancak bu talebi “ciddi olmayan” bir hamle olarak nitelendirdiklerini söyledi. Grup ayrıca, artık Salesforce Data Loader yerine kendi geliştirdikleri Python tabanlı araçları kullandıklarını açıkladı.

Google’dan açıklama
Google, Haziran 2025’te bu saldırı yöntemlerine dikkat çekmişti. Şirket, saldırıyı doğrularken kullanıcıların Ads hesaplarının güvende olduğunu yineledi. Ayrıca, yeni araçlarla yapılan saldırıları gözlemlediklerini belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte otomasyon araçlarıyla yayılım
Ruby programlama dilinin resmi paket yöneticisi RubyGems.org üzerinde, farklı takma adlar kullanan saldırganlar tarafından yayımlanan zararlı kütüphaneler, özellikle Güney Koreli kullanıcıları hedef aldı. Paketler, WordPress, Telegram, Naver Café, SEO araçları ve blog platformlarına yönelik otomasyon yazılımları gibi tanıtıldı.

Gerçekte kimlik avı aracı
Kütüphaneler kurulduğunda meşru görünümlü bir arayüz sunuyor, ancak kullanıcı giriş bilgilerini doğrudan saldırganların kontrolündeki alan adlarına (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr) iletiyordu. Çalınan veriler arasında kullanıcı adı, şifre (düz metin), cihaz MAC adresi ve paket adı bulunuyor.

Karanlık ağda satışa çıktı
Araştırmacılar, elde edilen bilgilerin Rusça konuşulan dark web pazarlarında satışa çıkarıldığını tespit etti. Kimlik bilgisi günlüklerinin saldırganların kontrol ettiği marketingduo[.]co[.]kr ile bağlantılı olduğu belirlendi.

16 paket hâlâ yayında
Socket, tüm zararlı paketleri RubyGems ekibine bildirdiğini, ancak en az 16’sının hâlâ indirilebilir olduğunu açıkladı. Bu durum, açık kaynak yazılım depolarına yönelik tedarik zinciri saldırılarının süregelen bir tehdit olduğunu gösteriyor.

Geliştiricilere uyarı
Uzmanlar, kütüphaneleri indirirken yayıncının geçmişini ve paketlerin şüpheli kod içerip içermediğini kontrol etmeyi, bağımlılıkları güvenli sürümlere kilitlemeyi ve obfuscation (gizlenmiş) kod parçaları içeren paketlere karşı dikkatli olunması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ransomware gelirleri takip edildi
Antropenko’nun, Zeppelin fidye yazılımı saldırılarıyla elde ettiği fidye ödemelerini aklamak için ChipMixer gibi kripto para karıştırma hizmetlerini, nakit dönüşüm işlemlerini ve parçalara bölünmüş banka yatırımlarını kullandığı tespit edildi. ChipMixer, Mart 2023’te yetkililer tarafından kapatılmıştı.

Zeppelin’in geçmişi
2019 sonunda VegaLocker/Buran fidye yazılımının bir türevi olarak ortaya çıkan Zeppelin, özellikle sağlık ve bilişim firmalarını hedef aldı. 2021’de güncellenmiş sürümlerle yeniden ortaya çıksa da kullanılan şifreleme yöntemlerinin zayıflığı dikkat çekmişti.

Kasım 2022’de operasyon büyük ölçüde sona erdi. Daha sonra güvenlik araştırmacılarının 2020’den bu yana ücretsiz dosya kurtarma anahtarına sahip olduğu ortaya çıktı. Ocak 2024’te ise Zeppelin kaynak kodunun bir hacker forumunda yalnızca 500 dolara satıldığı bildirildi.

Fidye ödemelerine el konuldu
Ele geçirilen 2,8 milyon doların fidye gelirlerinden kaynaklandığı belirtiliyor. ABD yetkilileri geçtiğimiz haftalarda da BlackSuit grubundan 1 milyon dolar, Chaos grubundan ise 2,4 milyon dolar değerinde Bitcoin’e el koymuştu.

Uzmanlara göre kritik adım
Yetkililer, bu tür el koyma operasyonlarının, siber suçluların yakalanamadığı durumlarda bile fidye gelirlerini kullanarak yeniden yapılanmalarını veya yeni üyeler kazanmalarını engellemede kritik rol oynadığını vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açığın teknik detayları
Araştırmacı Aviv Y’nin “FortMajeure” adını verdiği açık, FortiWeb’in çerez ayrıştırma sürecindeki “Era” parametresinden kaynaklanıyor. Bu parametre beklenmedik bir değer aldığında, sunucu tüm sıfırlardan oluşan gizli anahtar kullanıyor. Sonuç olarak, sahte çerezler kolayca oluşturulabiliyor ve kimlik doğrulama tamamen atlatılabiliyor.

Nasıl istismar ediliyor
CVE-2025-52970’nin sömürülmesi için hedef kullanıcının aktif oturumunun bulunması gerekiyor. Saldırgan, çerezdeki küçük bir sayısal alanı tahmin etmek zorunda, ancak bu değer genellikle 30’un altında olduğundan brute force işlemi yalnızca birkaç denemeyle tamamlanabiliyor.

Etkilenen sürümler ve yamalar
Zafiyet FortiWeb 7.0–7.6 arasındaki sürümleri etkiliyor. Fortinet, aşağıdaki sürümlerde açığı kapattığını duyurdu:

• 7.6.4 ve sonrası

• 7.4.8 ve sonrası

• 7.2.11 ve sonrası

• 7.0.11 ve sonrası

FortiWeb 8.0 sürümlerinin etkilenmediği açıklandı.

Araştırmacının yaklaşımı
Aviv Y, REST uç noktası üzerinden admin taklidi gösteren bir PoC çıktısı paylaştı, ancak CLI’ye bağlanmayı da içeren tam istismar kodunu daha sonra yayımlayacağını belirtti. Amaç, saldırganlardan önce savunuculara sistemlerini yamalama süresi tanımak.

Yama dışında çözüm yok
Fortinet’in güvenlik bülteninde herhangi bir geçici çözüm sunulmadı. Bu nedenle güvenli sürümlere güncelleme yapmak tek etkili adım olarak gösteriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yeni güvenlik katmanları geliyor
Microsoft 365 yol haritasında yer alan güncellemeye göre Teams, sohbet ve kanallarda çalıştırılabilir dosya türlerini (örn. .exe) engelleyerek dosya tabanlı saldırılara karşı koruma sağlayacak. Ayrıca gönderilen kötü amaçlı bağlantılar otomatik olarak tespit edilip kullanıcıya uyarı verilecek.

Defender entegrasyonu
Microsoft, Teams’in artık Defender for Office 365 Tenant Allow/Block List ile entegre olduğunu duyurdu. Bu sayede güvenlik yöneticileri engellenmiş alan adlarından gelen sohbet, kanal, toplantı ve çağrıları bloke edebilecek. Hatta bu alan adlarından gelen geçmiş iletişimler de otomatik olarak silinebilecek. Özellik Eylül 2025 sonunda genel kullanıma açılacak.

Daha önce gelen güvenlik adımları

• Temmuz 2025: Ekran görüntüsü engelleme özelliği devreye alındı. Toplantılarda kullanıcı ekran görüntüsü almaya çalıştığında pencere siyaha düşerek bilgi sızıntısı önleniyor.

• Şubat 2025: Sohbetlerde marka taklitlerine karşı kimlik avı koruması tüm müşterilere sunuldu.

• Enterprise Connect 2024: Microsoft, Teams’in 320 milyon aylık aktif kullanıcıya ulaştığını açıkladı.

Kullanıma sunulma takvimi
Yeni URL ve dosya engelleme özelliklerinin Eylül 2025’ten itibaren dünya çapında kademeli olarak devreye alınması planlanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kesinti dördüncü gününde sürüyor
Colt Telecom, 12 Ağustos’ta başlayan saldırının ardından destek hizmetlerine ait bazı sistemleri koruma amaçlı çevrim dışı bıraktı. Bu durum, müşteri iletişim platformlarını etkilerken yanıt sürelerinde gecikmelere yol açtı. Şirket, ana ağ altyapısının saldırıdan etkilenmediğini vurguladı.

WarLock grubu verileri satışa çıkardı
‘cnkjasdfgd’ takma adlı bir tehdit aktörü, kendisini WarLock fidye yazılımı grubunun üyesi olarak tanıtarak saldırıyı üstlendi. Hacker, şirketten çaldığı bir milyon belgeyi 200 bin dolar karşılığında satışa çıkardı ve içeriğin doğruluğunu göstermek için örnekler paylaştı. Belgeler arasında mali veriler, müşteri ve çalışan kayıtları, iç yazışmalar ve yazılım geliştirme dokümanları olduğu öne sürüldü.

Microsoft SharePoint açığına işaret ediliyor
Siber güvenlik uzmanı Kevin Beaumont, saldırının Microsoft SharePoint’teki CVE-2025-53770 açığı üzerinden gerçekleştirilmiş olabileceğini belirtti. Bu sıfır gün açığı 18 Temmuz’dan itibaren istismar edilmiş, Microsoft ise 21 Temmuz’da güvenlik güncellemesi yayımlamıştı.

Şirketten açıklama
Colt, saldırıyı doğrularken çalındığı iddia edilen veriler hakkında yorum yapmadı. Şirket sözcüsü, “Siber olaya ilişkin iddiaların farkındayız. İç sistemlerimizi yeniden çalışır hale getirmek için üçüncü taraf uzmanlarla birlikte çalışıyoruz” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açık bug bounty ile bildirildi
Plex, hatayı hata ödül programı aracılığıyla öğrendiğini ve hızlıca gidererek yeni sürümü yayımladığını açıkladı. Güvenlik açığına ilişkin CVE kimliği henüz atanmamış olsa da, şirket 1.41.7.x–1.42.0.x sürümlerini çalıştıran tüm sunucuların risk altında olduğunu belirtti.

Yamalanan sürüm
Güvenlik açığını kapatan sürüm Plex Media Server 1.42.1.10060 olarak yayımlandı. Kullanıcılar, sunucu yönetim paneli veya resmi indirme sayfası üzerinden bu sürüme geçiş yapabiliyor.

Acil güncelleme çağrısı
Plex, etkilenen kullanıcılara gönderdiği e-postalarda, sistemlerinin eski sürüm çalıştırdığını belirterek “en kısa sürede güncelleme yapın” uyarısında bulundu. Şirket, saldırganların yamaları analiz ederek istismar geliştirmesinden önce önlem alınması gerektiğini vurguladı.

Plex geçmişte de hedef olmuştu
Mart 2023’te CISA, Plex Media Server’daki üç yıllık bir RCE açığını (CVE-2020-5741) “aktif istismar edilen” açıklar listesine almıştı. Bu zafiyetin, LastPass’in 2022’de yaşadığı büyük veri sızıntısıyla bağlantılı olabileceği düşünülüyor. Aynı yıl Plex de kullanıcı veritabanına sızıldığını ve şifrelerin sıfırlanması gerektiğini duyurmuştu.

Kullanıcılar için öneriler

• Plex Media Server’ınızı 1.42.1.10060 sürümüne güncelleyin.

• Güncellemeleri düzenli takip edin.

• Sunucunuzu internet üzerinden erişime açık bırakmamaya özen gösterin.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Garantex’in kapatılmasının ardından Grinex devreye alındı
ABD Gizli Servisi’nin Mart 2025’te Garantex’in alan adlarına el koymasının ardından şirket yöneticilerinin müşteri varlıklarını Grinex’e aktardığı tespit edildi. ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC), dün itibarıyla Grinex’i yaptırım listesine ekledi.

Yaptırımları aşmak için kuruldu
OFAC açıklamasında, Grinex’in tanıtım materyallerinde borsanın, Garantex’e yönelik yaptırımlar ve varlık dondurmaları sonrası kurulduğunun açıkça ifade edildiği vurgulandı. Grinex’in kuruluşundan bu yana milyarlarca dolarlık kripto para transferine aracılık ettiği belirtildi.

Garantex ve ortaklarına yeni yaptırımlar
OFAC ayrıca Garantex, üç kurucusu (Sergey Mendeleev, Aleksandr Mira Serda, Pavel Karavatsky) ve Rusya ile Kırgızistan’daki altı iş ortağı şirkete (InDeFi Bank, Exved, Old Vector, A7, A71, A7 Agent) yönelik yaptırımları da yeniledi.

Ödül çağrısı
ABD Dışişleri Bakanlığı, Garantex yöneticilerinin yakalanması veya mahkumiyetine yol açacak bilgiler için 6 milyon dolara kadar ödül teklif etti.

Geçmiş bağlantılar
Garantex, Hydra dark web pazarı ve Conti, Black Basta, LockBit, NetWalker, Ryuk, Phoenix Cryptolocker gibi fidye yazılımı gruplarıyla bağlantıları nedeniyle Nisan 2022’de yaptırım listesine alınmıştı. Bakanlığa göre Garantex, Nisan 2019–Mart 2025 arasında 96 milyar dolardan fazla kripto işlemine aracılık etti.

ABD’den mesaj
Hazine Bakanlığı Terörizm ve Mali İstihbarat Müsteşarı John K. Hurley, “Kripto borsalarını kara para aklama ve fidye yazılımlarına destek için kullanmak ulusal güvenliğimizi tehdit ediyor. Bu aktörleri ortaya çıkararak dijital varlık sektörünün bütünlüğünü korumaya kararlıyız” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

T3+ programı ile 250 milyon dolar donduruldu
Eylül 2024’te kurulan T3 Financial Crime Unit, bugüne kadar dünya genelinde 250 milyon dolarlık suç gelirini dondurdu. Bu girişim, TRM Labs, Tether ve TRON tarafından başlatıldı, Binance ise resmi katılımcı oldu. Çalışmalar kapsamında kara para aklama, yatırım dolandırıcılığı, şantaj ve terör finansmanı gibi suçlara yönelik binlerce işlem incelendi.

Öne çıkan vakalardan birinde, Binance iş birliğiyle “romance scam” saldırılarında elde edilen 6 milyon dolarlık kripto varlık donduruldu.

Kanada-ABD iş birliğiyle 74 milyon dolar engellendi
Kanada Ontario Eyalet Polisi’nin yönettiği “Project Atlas” ve Britanya Kolumbiyası Menkul Kıymetler Komisyonu’nun yürüttüğü “Operation Avalanche”, Chainalysis analitiğiyle desteklendi.

Son altı ayda 74,3 milyon dolarlık dolandırıcılık gelirine ulaşıldı ve büyük kısmı donduruldu. Tether iş birliğiyle 50 milyon dolarlık USDT kara listeye alındı.

Küresel etki
Project Atlas, 14 ülkede 2.000’den fazla kripto cüzdan adresini mağdurlarla ilişkilendirdi. Kanada, ABD, Almanya, Avustralya ve Birleşik Krallık mağdurlar arasında yer aldı.

Yöntem: blockchain seviyesinde müdahale
Her iki girişimde de koordineli operasyonlar ve blockchain düzeyinde doğrudan müdahalelerle suç gelirlerinin transfer edilmesi veya nakde çevrilmesi engellendi. Uzmanlar, bu modelin siber suçluların hareket alanını daraltmada kritik bir adım olduğunu belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

3,3 milyon dolarlık zarar
Sanığın, 8,4 milyon dolarlık sahte vergi iadesi başvurusu yaparak yaklaşık 2,5 milyon dolar elde ettiği, ayrıca sahte SBA kredi başvurularıyla 819 bin dolar çaldığı belirtildi. Toplam zarar 3,3 milyon doları aştı.

Sahte yatırım planı da yürüttü
Savcılığa göre Amachukwu, aynı dönemde sahte yatırım teklifleriyle de mağdurları kandırdı. “Standby letter of credit” gibi gerçekte var olmayan finansal araçları satarak milyonlarca doları kendi hesabına aktardı.

Fransa’dan iade edildi
Amachukwu, 4 Ağustos 2025’te Fransa’dan ABD’ye iade edildi ve ertesi gün New York Güney Bölgesi’nde hâkim karşısına çıkarıldı. Henüz duruşma tarihi belirlenmedi.

Ciddi cezalarla karşı karşıya
Sanık hakkında bilgisayar korsanlığına teşebbüs (5 yıl), iki kez kablolu dolandırıcılık (her biri 20 yıl), iki kez kablolu dolandırıcılığa teşebbüs (her biri 20 yıl) ve ağırlaştırılmış kimlik hırsızlığı (zorunlu 2 yıl ek ceza) suçlamaları bulunuyor. Ayrıca elde ettiği tüm malvarlıklarına el konulması talep ediliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

145 bin kişi bilgilendirildi
Maine Başsavcılığı’na yapılan bildirimde, 144.189 kişinin verilerinin saldırıdan etkilendiği belirtildi. Çalınan veriler arasında kimlik bilgileri, pasaport taramaları, sosyal güvenlik numaraları, adresler, iletişim bilgileri ve test sonuçları yer alabileceği aktarıldı.

RansomHub saldırıyı üstlendi
RansomHub fidye yazılımı grubu, Ocak 2025’te saldırıyı üstlendiğini açıkladı. Grup, Manpower’ın sistemlerinden yaklaşık 500 GB veri çaldığını ve bunun içinde yıllara ait yazışmalar, mali tablolar, insan kaynakları verileri, gizli sözleşmeler ve NDA’ların bulunduğunu iddia etti. Daha sonra verilerin sızdırılacağına dair paylaşımlar grubun sızdırma sitesinden kaldırıldı, bu da fidyenin ödenmiş olabileceği ihtimalini gündeme getirdi.

Şirketten açıklama
ManpowerGroup sözcüsü, olayın yalnızca bağımsız bir franchise şubesini etkilediğini, şirketin kurumsal ağının saldırıdan etkilenmediğini vurguladı. Şirket, FBI ile iş birliği yaptığını ve etkilenen kişilere Equifax üzerinden ücretsiz kredi izleme ve kimlik hırsızlığına karşı koruma hizmeti sunduğunu açıkladı.

RansomHub’ın geçmişi
RansomHub, daha önce Halliburton, Rite Aid, Kawasaki, Christie's, Frontier Communications ve Planned Parenthood gibi kurumları da hedef aldı. Grup ayrıca Change Healthcare saldırısında 190 milyondan fazla kişinin etkilendiği verileri sızdırmıştı. FBI, Ağustos 2024 itibarıyla grubun 200’den fazla kritik altyapı kuruluşunu hedef aldığını bildirmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hangi sürümler etkileniyor
Cisco’ya göre açık, FMC yazılımının 7.0.7 ve 7.7.0 sürümlerinde, RADIUS kimlik doğrulaması aktifken ortaya çıkıyor. Bu, özellikle kurumsal ve devlet ağlarında merkezi kimlik doğrulama için sık kullanılan bir konfigürasyon.

Güncellemeler yayımlandı
Cisco, güvenlik açığını gidermek için ücretsiz yazılım güncellemelerini yayımladı. Yama, geçerli hizmet sözleşmesine sahip müşteriler için standart kanallar üzerinden erişilebilir durumda.

Geçici çözüm seçeneği
Yama yüklenemeyen ortamlarda önerilen tek geçici çözüm, RADIUS kimlik doğrulamasını devre dışı bırakarak yerine yerel kullanıcı hesapları, LDAP ya da SAML tabanlı kimlik doğrulama yöntemlerinin kullanılması.

Henüz istismar edilmedi
Açık, Cisco güvenlik araştırmacısı Brandon Sakai tarafından dahili testlerde keşfedildi. Şirket, açığın sahada istismar edildiğine dair herhangi bir bulguya sahip olmadığını açıkladı.

Ek güvenlik yamaları
Cisco ayrıca Snort 3, ASA, FTD, IOS ve IOS XE gibi ürünlerde hizmet reddi (DoS) ve HTML enjeksiyonu gibi 13 yüksek önem dereceli güvenlik açığını da kapattı. Bu açıkların hiçbirinin aktif olarak istismar edildiği raporlanmadı.

beykoz haber

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber suçlarla bağlantılı kripto paraların izlenmesi ve engellenmesine yönelik iki farklı girişim kapsamında, 300 milyon dolardan fazla değerde dijital varlık donduruldu. Çalışmalar, uluslararası kolluk kuvvetleri ile özel sektör iş birliğinde yürütüldü.

T3 FCU girişimi
TRM Labs, TRON ve Tether tarafından 2024 yılında başlatılan T3 Finansal Suç Birimi (T3 FCU), bugüne kadar 250 milyon doların üzerinde suç gelirini dondurdu. Binance’in ilk resmi üye olarak katıldığı girişimde, milyonlarca işlem analiz edilerek kara para aklama, yatırım dolandırıcılığı, terör finansmanı ve fidye yazılımları gibi vakalarla ilgili soruşturmalara destek sağlandı.

TRM Labs tarafından yapılan açıklamada, Eylül 2024’ten bu yana beş kıtada 3 milyar doların üzerinde işlem hacminin izlendiği, bu kapsamda özellikle “romantik tuzak” adı verilen dolandırıcılık yöntemlerine yönelik 6 milyon doların dondurulduğu belirtildi.

Kanada ve ABD merkezli operasyonlar
Diğer girişim ise ABD ve Kanada’nın yürüttüğü, Chainalysis uzmanlarının destek verdiği operasyonlarla gerçekleşti. Ontario Eyalet Polisi tarafından yürütülen “Project Atlas” ve Britanya Kolumbiyası Menkul Kıymetler Komisyonu tarafından yönetilen “Operation Avalanche” kapsamında, son altı ayda 74,3 milyon dolarlık kayıp tespit edildi.

Chainalysis verilerine göre, bu operasyonlar kapsamında 14 farklı ülkede 2.000’den fazla kripto cüzdan adresi belirlendi. Tether ile yapılan iş birliği sayesinde 50 milyon dolardan fazla USDT kara listeye alındı ve suçluların bu varlıkları nakde çevirmesi engellendi.

Uzmanlara göre, bu tür küresel iş birlikleri, siber suçların finansman kaynaklarını kurutma ve suç gelirlerinin dolaşımını blockchain üzerinde doğrudan engelleme açısından kritik önem taşıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı yöntemi nasıl işliyor
PyPI üzerindeki proje geliştiricilerinin hesapları, e-posta adresleriyle bağlantılı olarak çalışıyor. Bazı adresler özel alan adlarına bağlı olduğunda, bu alan adı süresi dolduğunda saldırganlar aynı alan adını yeniden kaydedebiliyor. Sonrasında bir e-posta sunucusu kurarak parola sıfırlama talebinde bulunabiliyor ve ilgili PyPI hesabının kontrolünü ele geçirebiliyor.

Bu tür saldırılar tedarik zinciri riski yaratıyor. Ele geçirilen hesaplarla popüler Python paketlerinin kötü amaçlı sürümleri yayımlanabiliyor ve bu paketler pip üzerinden otomatik yüklenebiliyor. Daha önce Mayıs 2022’de “ctx” paketine yapılan saldırıda saldırganlar Amazon AWS anahtarlarını hedef alan kötü amaçlı kod eklemişti.

Yeni koruma sistemi
PyPI, alan adlarının yaşam döngüsünü (aktif, ek süre, kurtarma süresi, silinme beklemede) Domainr’ın Status API servisini kullanarak kontrol ediyor. Alan adı süresi dolmuş veya sona erme aşamasına girmişse, bu e-posta adresleri doğrulamasını kaybediyor ve parola sıfırlama ya da hesap kurtarma işlemlerinde kullanılamıyor.

Yeni sistemin geliştirilmesi Nisan 2025’te başladı ve Haziran 2025’te günlük taramalarla devreye alındı. O tarihten bu yana 1.800’den fazla e-posta adresi bu kapsamda geçersiz sayıldı.

Kullanıcılara öneriler
PyPI, kullanıcıların hesaplarına özel alan adı yerine genel e-posta servislerinden yedek bir adres eklemelerini ve hesap güvenliği için iki faktörlü kimlik doğrulama kullanmalarını öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Okta, Auth0 kullanıcılarının güvenlik tehditlerini daha hızlı tespit edebilmesi için Sigma tabanlı kurallardan oluşan açık kaynaklı bir “Customer Detection Catalog” yayımladı. Yeni kurallar seti, şüpheli etkinliklerin log kayıtları üzerinden daha kolay analiz edilmesini sağlayarak hesap ele geçirme ve yapılandırma hataları gibi risklere karşı koruma sunuyor.

Yeni katalog neler içeriyor
Auth0, dünya genelinde birçok kurum tarafından kimlik doğrulama ve kullanıcı yönetimi amacıyla kullanılan bir platform. Daha önce kullanıcıların şüpheli aktiviteleri tespit etmek için kendi kurallarını yazmaları gerekiyordu. Okta’nın yayımladığı katalog ise, topluluk katkısına açık şekilde sürekli güncellenen hazır sorgular sunuyor.

Şirketin açıklamasına göre bu kurallar, anormal kullanıcı davranışlarını, potansiyel hesap ele geçirmelerini, hatalı yapılandırmaları ve sahte yönetici hesaplarının oluşturulmasını ortaya çıkarabiliyor. Ayrıca SMS bombardımanı ve token hırsızlığı gibi saldırı yöntemlerinin log kayıtları üzerinden izlenmesine de imkan tanıyor.

Kullanım süreci
Kullanıcılar, kurallara GitHub üzerinden erişebiliyor. Sigma uyumlu sorgular, sigma-cli gibi dönüştürücüler aracılığıyla farklı SIEM veya log analiz sistemlerine uyarlanabiliyor. Kurallar önce geçmiş loglar üzerinde test edilerek yanlış pozitif sonuçlar ayıklanabiliyor, ardından canlı ortama aktarılabiliyor.

Okta, kullanıcıların kendi geliştirdikleri kuralları da GitHub deposuna “pull request” yoluyla ekleyebileceğini, böylece topluluk temelli bir güvenlik katmanı oluşturulacağını belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İddialar
AshES Cybersecurity, Elastic Defend’in elastic-endpoint-driver.sys adlı sürücüsünde NULL pointer dereference hatası bulunduğunu, bunun da EDR korumasını atlatmaya, uzaktan kod yürütmeye ve kalıcılık sağlamaya yol açabileceğini öne sürdü. Araştırmacı, kendi hazırladığı sürücü ile bu hatayı tetiklediğini, Windows’un çökmesini ve calc.exe dosyasının EDR tarafından engellenmeden açılmasını gösteren iki video yayımladı.

Elastic’in yanıtı
Elastic Güvenlik Mühendisliği ekibi, iddiaları inceleyerek rapor edilen açığın yeniden üretilemediğini belirtti. Şirket, AshES tarafından gönderilen raporların tekrarlanabilir bir sömürü kanıtı içermediğini ve araştırmacının PoC paylaşmayı reddettiğini duyurdu.

Elastic açıklamasında, güvenlik araştırmalarında koordineli açıklamanın esas olduğunu, ancak bu raporda sürecin takip edilmediğini vurguladı. Şirket, 2017’den bu yana hata ödül programı kapsamında güvenlik araştırmacılarına 600.000 dolardan fazla ödeme yapıldığını hatırlattı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin Indiana eyaletinde faaliyet gösteren ilaç şirketi Inotiv, 8 Ağustos 2025’te gerçekleşen bir fidye yazılım saldırısının şirketin operasyonlarını etkilediğini açıkladı. U.S. Securities and Exchange Commission (SEC) başvurusunda paylaşılan bilgilere göre saldırganlar, şirketin bazı sistemlerine yetkisiz erişim sağladı ve verileri şifreledi.

Saldırıyı Qilin üstlendi
Qilin fidye yazılım grubu, saldırıyı kendi sızıntı sitesinde duyurarak yaklaşık 176 GB büyüklüğünde 162.000 dosyayı ele geçirdiğini öne sürdü. Grup, çaldığı verilerden bazı örnekleri de yayımladı.

Alınan önlemler
Inotiv, olayın ardından harici siber güvenlik uzmanlarıyla birlikte soruşturma başlattı ve kolluk kuvvetlerini bilgilendirdi. Şirketin IT ekibi, etkilenen sistemleri yeniden işler hale getirmek için çalışmalar yürütüyor. Bazı iş süreçleri ise çevrimdışı alternatiflere taşınarak kesintilerin etkisi azaltılmaya çalışılıyor.

Şirket, saldırının veritabanları ve iş süreçlerinde kullanılan bazı iç uygulamaları etkilediğini, bu nedenle operasyonlarda aksaklıkların bir süre daha devam etmesini beklediklerini duyurdu. Normal işleyişe dönüş için net bir tarih verilmedi.

Inotiv hakkında
Yaklaşık 2.000 kişiyi istihdam eden ve yıllık 500 milyon dolardan fazla gelir elde eden Inotiv, ilaç keşfi, geliştirilmesi, güvenlik değerlendirmesi ve canlı hayvan araştırma modelleri konularında uzmanlaşmış bir sözleşmeli araştırma kuruluşu olarak faaliyet gösteriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Altı ay sonra tespit edildi
BCNYS, saldırıyı yaklaşık altı ay sonra, 4 Ağustos’ta fark etti. Yapılan incelemelerde, tehdit aktörlerinin kişisel, finansal ve sağlık bilgilerini içeren dosyalara erişerek kopyaladığı ortaya çıktı.

Çalınan veriler
Etkilenen bilgiler arasında ad-soyad, Sosyal Güvenlik numarası, doğum tarihi, eyalet kimlik numarası, banka ve hesap bilgileri, kredi kartı numarası, PIN kodları, kart son kullanma tarihleri ve vergi mükellefi kimlik numaraları yer alıyor. Ayrıca tıbbi sağlayıcı adı, teşhis ve tedavi bilgileri, reçete bilgileri ve sağlık sigortası verileri de saldırıda ifşa edildi.

Alınan önlemler
BCNYS, olayın ardından dış uzmanlardan destek alarak sistemlerini güvenceye aldığını ve kapsamlı bir soruşturma başlattığını açıkladı. Şimdiye kadar finansal dolandırıcılık veya kimlik hırsızlığına dair kanıt bulunmadığı ifade edildi. Sosyal Güvenlik numarası ifşa olan kişilere ücretsiz kredi izleme hizmeti sağlanacak.

Kurum, etkilenen bireyleri hesap ekstrelerini ve ücretsiz kredi raporlarını düzenli olarak kontrol etmeleri konusunda uyardı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’de faaliyet gösteren ve Allianz SE’nin iştiraki olan Allianz Life, Temmuz ayında gerçekleşen büyük çaplı bir veri ihlalini doğruladı. Şirketin 1,4 milyon müşterisinin “çoğunluğunu” etkileyen olayda, 1,1 milyon kişinin kişisel bilgileri saldırganlar tarafından ele geçirildi.

Saldırının yöntemi
Siber saldırı, 16 Temmuz’da üçüncü taraf bulut tabanlı CRM sistemi Salesforce üzerinden gerçekleştirildi. ShinyHunters grubu, çalışanları kandırarak şirketin Salesforce altyapısına kötü amaçlı bir OAuth uygulaması bağladı. Bu erişim üzerinden müşteri ve iş ortaklarına ait veritabanları indirildi.

Çalınan veriler
Sızdırılan bilgiler arasında ad-soyad, e-posta adresi, cinsiyet, doğum tarihi, telefon numarası ve fiziksel adresler yer alıyor. Bazı dosyalarda vergi kimlik numaraları ve diğer finansal bilgiler de bulundu. Veri ihlali bildirim hizmeti Have I Been Pwned, toplamda 2,8 milyon kaydın sızdırıldığını açıkladı.

ShinyHunters’ın rolü
ShinyHunters grubu, Allianz Life’ın yanı sıra Google, Adidas, Qantas, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Workday gibi birçok büyük kurumu da hedef aldı. Grup, geçmişte Snowflake, AT&T ve PowerSchool gibi saldırılarla da gündeme gelmişti.

Allianz Life’ın açıklaması
Şirket, devam eden soruşturma nedeniyle ayrıntı veremeyeceğini, ancak bazı çalışanların da veri ihlalinden etkilendiğini doğruladı. Allianz Life, etkilenen müşterilerle iletişime geçtiğini ve incelemelerin sürdüğünü bildirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Trellix tarafından yayımlanan rapora göre, devlet destekli olduğu değerlendirilen bir casusluk kampanyası Güney Kore’deki yabancı elçilikleri hedef alıyor. Kampanyada XenoRAT zararlı yazılımı, sahte diplomatik e-postalarla dağıtılıyor.

Çok aşamalı saldırılar
Saldırılar Mart ayında başladı ve halen devam ediyor. İlk olarak Orta Avrupa’daki bir elçilik hedef alınırken, Mayıs ayında Batı Avrupa elçiliklerine sahte toplantı davetleri gönderildi. Haziran ve Temmuz aylarında ise ABD–Kore askeri iş birliği temalı oltalama e-postaları öne çıktı.

E-postalar, diplomat kimliğine bürünerek sahte toplantı davetleri, resmi yazılar ve etkinlik çağrıları şeklinde hazırlandı. İçerikler çok dilli olarak Korece, İngilizce, Fransızca, Arapça, Farsça ve Rusça yazıldı ve çoğu zaman gerçek diplomatik etkinliklerle eşleştirildi.

Zararlı yazılım dağıtımı
Saldırganlar, Dropbox, Google Drive ve Daum gibi servislerde barındırılan parola korumalı ZIP dosyaları kullandı. Dosyalarda PDF gibi görünen LNK dosyaları yer aldı. Bu dosyalar çalıştırıldığında gizlenmiş PowerShell komutları devreye girerek GitHub veya Dropbox’tan XenoRAT yükünü indiriyor ve sistemde kalıcılık sağlıyor.

XenoRAT, tuş kaydı alma, ekran görüntüsü alma, kamera ve mikrofon erişimi, dosya transferi ve uzaktan komut yürütme gibi özelliklere sahip. Bellekte doğrudan yüklenmesi ve Confuser Core ile gizlenmesi sayesinde tespit edilmesi zorlaşıyor.

Kimin arkasında olduğu tartışılıyor
Saldırılarda kullanılan altyapı ve teknikler, Kuzey Kore bağlantılı Kimsuky (APT43) grubunu işaret ediyor. Ancak saldırıların zamanlaması ve tatil dönemlerindeki duraksamalar Çin takvimine uyum gösteriyor. Bu nedenle Trellix, kampanyayı APT43’e “orta düzey güvenle” atfederek Çin desteği ihtimalini de göz ardı etmiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin Nebraska eyaletinde yaşayan Charles O. Parks III, “CP3O” takma adıyla yürüttüğü kripto madenciliği operasyonu nedeniyle 1 yıl hapis cezasına mahkum edildi. Parks, iki büyük bulut bilişim sağlayıcısını 3,5 milyon dolar dolandırarak yaklaşık 1 milyon dolar değerinde kripto para elde etti.

Dolandırıcılık yöntemi
Savcılık belgelerine göre Parks, “CP3O LLC” ve “MultiMillionaire LLC” gibi sahte şirketler kurarak Microsoft ve Amazon merkezli bulut hizmet sağlayıcıları da kapsayan platformlardan yüksek seviyeli işlem gücü aldı. Ocak–Ağustos 2021 arasında faturaları ödemeyerek sağlayıcıların dikkatini farklı bahanelerle dağıttı. Bir şirket yetkililerine, küresel bir çevrimiçi eğitim platformu kurduğunu ve 10 bin öğrenciye hizmet vermeyi planladığını söyledi.

Kripto madenciliği ve kara para aklama
Elde ettiği işlem gücüyle Monero (XMR), Ether (ETH) ve Litecoin (LTC) üreten Parks, kripto varlıklarını çeşitli borsalar, çevrimiçi ödeme hizmetleri, New York merkezli bir NFT pazarı ve banka hesapları üzerinden akladı. Tüm varlıkları nakde çevirerek lüks bir Mercedes-Benz S AMG otomobil, mücevherler ve birinci sınıf seyahatler satın aldı.

Kamuoyuna yansımaları
Savcılık açıklamasında Parks’ın kendisini kripto alanında “inovatif bir düşünce lideri” gibi gösterdiği, ancak gerçekte “yalnızca bir dolandırıcı” olduğu ifade edildi. Parks’ın, 2022’de YouTube kanalında “MultiMillionaire Mentality” başlıklı bir video yayımlayarak sözde zenginlik ipuçlarını paylaştığı da belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sızıntının içeriği
Arşivde zararlının PHP tabanlı komuta-kontrol altyapısı, React ile hazırlanmış operatör paneli, Go dilinde yazılmış veri sızdırma sunucusu, Kotlin tabanlı arka kapı ve özelleştirilmiş APK üreticisi yer aldı. Analizler, ERMAC 3.0’ın önceki sürümlere kıyasla kapsamını önemli ölçüde genişlettiğini gösterdi.

Hedefler ve yetenekler
ERMAC’ın yeni sürümü, bankacılık, alışveriş ve kripto para uygulamaları dahil olmak üzere 700’den fazla mobil uygulamayı hedefliyor. Zararlı yazılım; SMS, kişi listesi ve hesap bilgilerini çalabiliyor, Gmail içeriklerine erişebiliyor, sahte bildirimler gösterebiliyor, cihaz kamerasıyla fotoğraf çekebiliyor ve uzaktan uygulama yönetimi yapabiliyor. Ayrıca, cihazdan dosya indirme, çağrı yönlendirme ve SMS gönderme gibi iletişim suiistimali özelliklerine de sahip.

Altyapı zafiyetleri
Hunt.io, sızıntı sayesinde ERMAC’ın canlı komuta-kontrol sunucularını ve operatör panellerini tespit etti. İncelemelerde sabitlenmiş JWT tokenleri, varsayılan kök kullanıcı bilgileri ve korumasız yönetim panelleri gibi ciddi güvenlik açıkları bulundu. Bu durum, altyapının dışarıdan erişime ve manipülasyona açık hale gelmesine neden oldu.

Olası etkiler
Kaynak kod sızıntısının, ERMAC’ı “hizmet olarak kötü amaçlı yazılım” (MaaS) modelinde kullanan suçluların güvenini zedelemesi bekleniyor. Güvenlik çözümlerinin ERMAC’ı daha iyi tespit etmesi mümkün olsa da, kodun diğer tehdit aktörlerinin eline geçmesi durumunda daha gelişmiş ve tespit edilmesi zor yeni varyantların ortaya çıkabileceği değerlendiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İngiltere’de 26 yaşındaki Al-Tahery Al-Mashriky, binlerce web sitesine saldırdığı ve milyonlarca kişiye ait bilgileri çaldığı suçlamalarını kabul ederek 20 ay hapis cezası aldı.

Soruşturmanın geçmişi
Mashriky, 2022 yılında ABD kolluk kuvvetlerinden gelen bilgiler doğrultusunda İngiltere’de tutuklandı. Mart 2025’te görülen davada suçunu kabul ederek dokuz suçtan hüküm giydi. Suçlamalar arasında Facebook kullanıcılarına ait milyonlarca giriş bilgisinin çalınması, Yemen hükümeti ve İsrail merkezli bir haber sitesi gibi kurumların hacklenmesi yer aldı.

Hedef alınan kurumlar
Adli incelemeler, Yemen Dışişleri Bakanlığı ve Yemen Güvenlik Medya Bakanlığı’nın sitelerine sızıldığını ve bu sitelerde kullanıcı adı tarama araçları yerleştirildiğini ortaya koydu. Ayrıca İsrail’deki Live News sitesinin yönetici sayfalarına erişildi ve tüm içerik indirildi. ABD ve Kanada’daki dini kuruluşlar ile Kaliforniya Su Kurulu da hedefler arasında bulundu.

Çalınan veriler
Mashriky’nin elinde 4 milyondan fazla Facebook kullanıcısına ait veriler, ayrıca Netflix ve PayPal gibi hizmetlere ait çalıntı kullanıcı bilgileri bulundu. Saldırıların bazılarında web siteleri siyasi ve dini içeriklerle tahrif edildi.

Ulusal Suç Ajansı açıklaması
İngiltere Ulusal Suç Ajansı (NCA) Siber Suç Birimi Başkanı Paul Foster, Mashriky’nin saldırılarının büyük ölçüde kesinti yarattığını belirterek, “Bu saldırılar yalnızca siyasi ve ideolojik mesaj yaymak için yapıldı. Ayrıca milyonlarca kişiyi dolandırmaya imkân sağlayacak kişisel verileri de ele geçirdi” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Popüler ağ yönetim platformu N-able N-central’da keşfedilen iki kritik güvenlik açığı, dünya genelinde yüzlerce sunucuyu risk altında bırakıyor. CVE-2025-8875 ve CVE-2025-8876 olarak takip edilen açıklar, kimliği doğrulanmış saldırganların komut enjeksiyonu yapmasına ve güvenli olmayan serileştirme zafiyeti üzerinden komut çalıştırmasına imkân tanıyor.

Durumun ciddiyeti
N-able, açıkların yamalandığını ve 2025.3.1 sürümüyle kapatıldığını duyurdu. Ancak Shadowserver Foundation verilerine göre hâlâ 880 sunucu güncellenmedi. Çoğu ABD, Kanada ve Hollanda’da bulunuyor. Shodan aramalarında internete açık yaklaşık 2.000 N-central örneği görüldü.

N-able, yaptığı açıklamada güvenlik ihlallerinin yalnızca sınırlı sayıda şirket içi ortamda gözlemlendiğini, kendi bulut ortamlarında ise istismar tespit edilmediğini bildirdi.

CISA’dan zorunlu talimat
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), açıkları “bilinen istismar edilen güvenlik açıkları” listesine ekledi. Federal kurumların, özellikle İç Güvenlik Bakanlığı, Hazine Bakanlığı ve Enerji Bakanlığı’nın sistemlerini 20 Ağustos’a kadar yamalaması zorunlu hale getirildi.

CISA, özel sektör kuruluşlarına doğrudan yükümlülük getirmese de tüm ağ yöneticilerini N-able’ın yayımladığı yamaları uygulamaya, aksi halde ürünü devre dışı bırakmaya çağırdı. Açıklamada, “Bu tür açıklar kötü niyetli aktörler için sık kullanılan saldırı vektörleri olmaya devam ediyor” denildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin California eyaletinde merkezi bulunan Workday, üçüncü taraf müşteri ilişkileri yönetim (CRM) platformuna yönelik bir sosyal mühendislik saldırısında veri ihlali yaşandığını duyurdu. Şirket, olayda müşteri kiracı verilerine erişim sağlanmadığını ancak bazı iş iletişim bilgilerinin sızdırıldığını açıkladı.

Saldırının ayrıntıları
Workday’in 16 Ağustos’ta yaptığı duyuruya göre saldırganlar, şirket çalışanlarını hedef alan sosyal mühendislik yöntemleriyle CRM platformuna erişim sağladı. Açığa çıkan veriler arasında ad, e-posta adresi ve telefon numaraları gibi bilgilerin bulunduğu belirtildi. Şirket, bu tür bilgilerin sonraki oltalama saldırılarında kullanılabileceği uyarısında bulundu.

Olayın 6 Ağustos’ta tespit edildiği ve saldırganların kendilerini İK veya BT çalışanı gibi tanıtarak mesaj ve telefon yoluyla bilgi toplamaya çalıştığı bildirildi.

ShinyHunters bağlantısı
Olay, ShinyHunters grubuyla ilişkilendirilen küresel saldırı dalgasının bir parçası. Grup, yıl başından bu yana Salesforce tabanlı CRM sistemlerini hedef alarak kötü amaçlı OAuth uygulamaları üzerinden veritabanlarına erişiyor. Daha önce Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Google gibi büyük şirketler de benzer saldırılardan etkilendi.

Çalınan veriler, e-posta yoluyla kurbanlardan fidye talep etmek amacıyla kullanılıyor. ShinyHunters, daha önce Snowflake, AT&T ve PowerSchool saldırılarıyla da gündeme gelmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Fortinet’in FortiWeb ürününde bulunan kritik bir güvenlik açığı, saldırganların herhangi bir kullanıcıyı, hatta yöneticileri taklit etmesine imkân tanıyor. CVE-2025-52970 olarak izlenen açık, 12 Ağustos’ta yayımlanan güncelleme ile kapatıldı.

Açığın teknik ayrıntıları
Araştırmacı Aviv Y tarafından “FortMajeure” adı verilen açık, FortiWeb’in çerez ayrıştırmasındaki “out-of-bounds read” hatasından kaynaklanıyor. Saldırgan, Era parametresine beklenmedik bir değer atayarak sunucunun tüm sıfırlardan oluşan gizli anahtarı kullanmasına neden oluyor. Bu durum, sahte kimlik doğrulama çerezlerinin kolayca oluşturulmasını sağlıyor.

Açığın başarılı şekilde istismar edilmesi için hedef kullanıcının aktif oturum açmış olması gerekiyor. Ardından saldırgan, çerezdeki küçük bir sayısal alanı brute-force yöntemiyle tahmin etmek zorunda. Ancak bu alanın değer aralığının 30’dan küçük olması, saldırıyı pratikte kolaylaştırıyor.

Etkilenen sürümler ve yamalar
Açık, FortiWeb’in 7.0 ile 7.6 arasındaki sürümlerini etkiliyor. Güvenli sürümler ise şu şekilde:

• FortiWeb 7.6.4 ve üzeri

• FortiWeb 7.4.8 ve üzeri

• FortiWeb 7.2.11 ve üzeri

• FortiWeb 7.0.11 ve üzeri

FortiWeb 8.0 sürümleri bu açıktan etkilenmiyor. Fortinet, geçici çözüm bulunmadığını ve tek etkili adımın güncelleme olduğunu duyurdu.

Araştırmacının kararı
Aviv Y, açığın temelini gösteren bir PoC paylaştı, ancak REST endpoint üzerinden yönetici taklidi dışında tüm istismar zincirini yayımlamadı. Tam kodun daha sonra açıklanacağını, böylece sistem yöneticilerine yamaları uygulama süresi tanındığını belirtti.

Araştırmacıya göre, eksik detaylar bilgili saldırganların bile tek başına tam bir istismar geliştirmesine imkân vermiyor. Ancak duyuruların ardından siber suçluların hızlıca harekete geçtiği düşünüldüğünde, FortiWeb kullanıcılarının derhal güncelleme yapması gerekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hizmetlerde kesinti
Colt’un açıklamasına göre kesintiler; Colt Online, Voice API platformu ve barındırma/numara taşıma hizmetlerini etkiliyor. Müşteri iletişimi çevrimiçi portallar üzerinden sağlanamıyor, yalnızca e-posta ve telefon ile destek veriliyor. Şirket, etkilenen sistemlerin destek hizmetleri olduğunu, temel müşteri ağ altyapısının zarar görmediğini belirtti.

WarLock’un iddiası
‘cnkjasdfgd’ takma adlı bir tehdit aktörü, WarLock fidye yazılım grubu adına saldırıyı üstlendi. Aktör, Colt’tan çalındığını iddia ettiği bir milyon belgeyi 200.000 dolara satışa sundu ve bazı örnek dosyaları yayımladı. İddialara göre dosyalar; finansal veriler, çalışan ve müşteri bilgileri, üst düzey yöneticilere ait veriler, dahili e-postalar ve yazılım geliştirme belgelerini içeriyor.

Olası güvenlik açığı
Siber güvenlik araştırmacısı Kevin Beaumont, saldırganların Microsoft SharePoint’te bulunan ve CVE-2025-53770 olarak izlenen kritik uzaktan kod yürütme açığını kullanmış olabileceğini belirtti. Bu açık en az 18 Temmuz’dan itibaren sıfır gün olarak istismar edilmiş ve Microsoft tarafından 21 Temmuz’da yamalanmıştı.

Beaumont’a göre saldırganlar yüzlerce gigabaytlık müşteri verisi ve iç dokümanı sistemlerden dışarı çıkardı.

Colt’un açıklaması
Şirket sözcüsü, BleepingComputer’a yaptığı açıklamada, “Siber olayla ilgili iddiaların farkındayız, incelemelerimiz sürüyor. Teknik ekibimiz, üçüncü taraf uzmanlarla birlikte etkilenen sistemleri geri yüklemeye odaklanmış durumda” ifadelerini kullandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İmzalanmamış mikrokod yüklemesi mümkün hale geldi
Google’ın güvenlik araştırmacıları, AMD Zen 1’den Zen 4’e kadar olan işlemcilerde, imzasız mikrokod yamalarının yüklenmesini mümkün kılan bir açığı daha önce tespit etmişti. Bu durumun Zen 5 serisinde de geçerli olduğu sonradan anlaşıldı. Beek, bu açıklardan yola çıkarak, donanım seviyesinde çalışan ve şifreleme işlemlerini yöneten bir fidye yazılımı prototipi geliştirdi.

İşletim sistemi yeniden yüklenince bile etkisini sürdürüyor
Beek’in geliştirdiği yazılım, sistem formatlansa dahi etkisini yitirmiyor. Çünkü yazılım doğrudan işlemcinin mikrokod seviyesinde çalışıyor. Kodun kamuya açıklanmayacağı belirtilse de, böyle bir yazılımın geliştirilmiş olması, benzer saldırıların başkaları tarafından da gerçekleştirilebileceğini gösteriyor.

UEFI içindeki fidye yazılımı planları ifşa oldu
Beek, analizinde 2022 yılında sızdırılan Conti fidye yazılımı çetesine ait sohbet kayıtlarına da değindi. Bu kayıtlarda çete üyeleri, fidye yazılımını UEFI’ye yerleştirme fikrini tartışıyor ve Windows yeniden yüklense bile sistemin şifreli kalmasını hedefliyorlardı.

Donanım güvenliği ön plana çıkıyor
Christiaan Beek, yaşanan gelişmenin ardından donanım güvenliğinin siber savunma stratejilerinin merkezine alınması gerektiğini belirtiyor. Ona göre CPU ve firmware düzeyindeki açıklar kapatılmadıkça, güçlü parolalar ve yazılımsal çözümler yetersiz kalacak.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Zero-Click özelliğiyle çalışıyor
Söz konusu açık, ‘zero-click’ olarak adlandırılan ve kullanıcıdan hiçbir etkileşim gerektirmeyen saldırı türlerinden biri. Zararlı .ics uzantılı bir takvim dosyasıyla bu açığın tetiklenebildiğini aktaran siber güvenlik araştırmacısı Ebubekir Bastama, açığın çalışması için hedefin gelen takvim davetlerini otomatik kabul etmesinin yeterli olduğunu belirtiyor.

Açık eski ancak hâlâ tehlikeli
Ebubekir Bastama’ya göre, her ne kadar bu açık 2022 yılında keşfedilip Apple tarafından düzeltme yayınlanmış olsa da, güncelleme yapılmamış bazı cihazlarda bu zafiyet aktif olarak sömürülebiliyor. Özellikle eski iOS ve macOS sürümlerini kullanan kullanıcılar ciddi risk altında.

Hangi sistemler etkileniyor?
Bu güvenlik açığı, Apple’ın macOS ve iOS işletim sistemlerinde geçerli. Windows ve Android sistemlerde benzeri bir açık henüz tespit edilmedi. Otomatik takvim davetlerini kabul eden cihazlar ise özellikle hedef konumunda.

Saldırganlar ne yapabiliyor?
Açığın istismarıyla saldırganlar aşağıdaki işlemleri gerçekleştirebiliyor:

• Dosya sistemine yazma ve silme işlemleri

• Uzak kod çalıştırma (RCE) yetkisi kazanma

• SMB bağlantıları yoluyla Gatekeeper’ı atlatma

• iCloud senkronizasyonunu kullanarak kişisel fotoğraflara erişme

Tüm bu işlemler, kullanıcıdan herhangi bir onay alınmaksızın yapılabiliyor.

Nasıl korunmalı?
Ebubekir Bastama, bu tür saldırılardan korunmak için cihazların güncel tutulması gerektiğini vurguluyor. Ayrıca Takvim uygulamasında “otomatik davet kabulü” özelliği kapatılmalı, bilinmeyen kişilerden gelen davetler açılmamalı ve dosya sistemi düzenli olarak kontrol edilmelidir.

Uyarı: Güncelleme yapılmayan cihazlar tehdit altında
Bastama, bu tür açıkların yaygınlaşmadan önce fark edilip giderilmesinin büyük veri sızıntılarının önüne geçtiğini ve güncelleme almayan cihazların halen aktif olarak bu zafiyetten etkilenebileceğini belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Teknik detaylar ve saldırı vektörü
Söz konusu açık, aaedge.dll bileşeninde yer alan CTsgMsgServer::GetCTsgMsgServerInstance fonksiyonunda tespit edilen bir use-after-free (UAF) hatasından kaynaklanıyor. RD Gateway başlatılırken birden fazla iş parçacığının (thread) eşzamanlı olarak bu fonksiyona erişmesi, senkronizasyon eksikliği nedeniyle m_pMsgSvrInstance işaretçisinin hatalı biçimde yeniden yazılmasına yol açıyor. Bu durum bellek bozulmasına neden olurken, saldırganların bu süreci manipüle ederek uzaktan kod çalıştırmasını mümkün kılıyor.

Ebubekir Bastama: 'Sunucu kontrolü saldırganın eline geçebilir'
Siber güvenlik araştırmacısı Ebubekir Bastama, söz konusu güvenlik açığının ciddiyetine dikkat çekerek şu ifadeleri kullandı:
'Bu tür zafiyetlere hızlı müdahale edilmezse, özellikle büyük sistemlerde yıkıcı etkileri olabilir. CVE-2025-21297 gibi bir açık, istismar edildiğinde saldırgana RD Gateway sunucusu üzerinde tam yetki kazandırabilir. Kurumsal sistemler için ciddi bir tehlike söz konusu.

Riskin boyutu ve etkilenen sistemler
Güvenlik açığı, CVSS puanı 8.1 ile 'yüksek' risk kategorisine alınmış durumda. Açığın istismarı, 9 adımlı heap çarpışmaları içeren karmaşık bir süreci gerektirse de, saldırının başarıya ulaşması durumunda RD Gateway sunucularının tüm kontrolü ele geçirilebiliyor. Açık, aşağıdaki Windows Server sürümlerini etkiliyor:

• Windows Server 2016

• Windows Server 2019

• Windows Server 2022

• Windows Server 2025
  (Core ve Standard yapıları dahil)

Kurumsal ağlar tehdit altında
RD Gateway, kurumsal ağlara güvenli uzak erişim sağlamak amacıyla kullanıldığından, bu zafiyet kritik öneme sahip. Açığın kötüye kullanılması durumunda, kurum ağına yetkisiz erişim sağlanabilir ve veri sızıntısı ya da sistem çökmesi gibi ciddi güvenlik ihlalleri yaşanabilir.

Microsoft’tan güvenlik güncellemeleri
Microsoft, söz konusu güvenlik açığını gidermek üzere Mayıs 2025 itibarıyla çeşitli güvenlik güncellemeleri yayınladı. Etkilenen sistemler için ilgili yama kodları şöyle:

• Windows Server 2016 → KB5050011

• Windows Server 2019 → KB5050008

• Windows Server 2022 → KB5049983

• Windows Server 2025 → KB5050009

Kurumlara acil eylem çağrısı
Uzmanlar, kullanıcıların acilen ilgili yamaları uygulamasını ve RD Gateway sistemlerini sadece güvenilir IP adreslerine erişime açmasını tavsiye ediyor. Ayrıca, RD Gateway loglarının olağandışı aktiviteler açısından düzenli olarak gözden geçirilmesi gerektiği belirtiliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kuantum teknolojilerinin siber güvenlikteki rolü artıyor
Kuantum bilişimdeki hızlı ilerleme, klasik şifreleme sistemlerinin güvenliğini tehdit ediyor. Yeni geliştirilen kuantum kriptografi sistemi, özellikle güçlü kuantum bilgisayarların ileride oluşturabileceği şifre kırma tehditlerine karşı veri güvenliğini sağlamak amacıyla tasarlandı.

QKD ve PQC teknolojileri tek sistemde birleşti
Yeni sistem, Kuantum Anahtar Dağıtımı (QKD) ve Kuantum Sonrası Kriptografi (PQC) teknolojilerini bir araya getirerek siber güvenlikte çığır açıyor. QKD, şifreleme anahtarlarını fiziksel kuantum prensiplerine dayalı olarak güvenli biçimde iletirken; PQC, geleneksel algoritmaların kuantum bilgisayarlarca kırılmasını önlemek için gelişmiş matematiksel yöntemler kullanıyor.

China Telecom’dan iki yeni kuantum güvenlik ürünü daha
China Telecom, kuantum şifreli telefon sistemine ek olarak iki yeni ürün tanıttı. Bunlardan ilki, kuantum güvenli taşıyıcı sınıfı anlık mesajlaşma platformu olan Quantum Secret; diğeri ise finansal denetim ve iş akış yönetimi için geliştirilen Quantum Cloud Seal platformu oldu. Her iki ürün de Çin’in kuantum teknolojileri konusundaki stratejik kararlılığını ortaya koyuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber suçlulara hizmet sunuyorlardı
Söz konusu platformların çalınan verilerin paylaşımı, kara para aklama hizmetleri ve telekomünikasyon altyapısı temini gibi yasa dışı faaliyetlerde kullanıldığı açıklandı. Blockchain analiz şirketi Elliptic’e göre bu operasyon, çevrimiçi dolandırıcılık faaliyetlerini önemli ölçüde sekteye uğratacak.

ABD, Huione Group'u hedef aldı
Huione Guarantee platformunun sahibi olan Huione Group, ABD Hazine Bakanlığı tarafından suç örgütlerine destek vermekle suçlandı. Şirketin, Kuzey Kore’nin siber soygunlarından 37 milyon dolar, dolandırıcılık olarak bilinen ‘domuz kesimi’ yönteminden ise 36 milyon doları akladığı öne sürüldü. Bu gelişmelerin ardından şirketin ABD finans sistemine erişimi engellendi.

Telegram sözcüsünden açıklama
Kapatılan hesaplar ve yasaklanan platformlar hakkında konuşan bir Telegram sözcüsü, Reuters’a yaptığı açıklamada ‘Dolandırıcılık veya kara para aklama gibi suç faaliyetlerinin hizmet şartları tarafından yasaklandığını ve keşfedildiğinde her zaman kaldırıldığını’ ifade etti. Telegram daha önce de binlerce kripto para dolandırıcılığı hesabını platformdan kaldırmıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Smishing ve vishing saldırıları artışta
Söz konusu saldırılarda, SMS (smishing) ve sesli arama (vishing) yoluyla kullanıcıların güvenini kazanarak hassas verileri ele geçirmeye çalışıldığı bildirildi. FBI, bu yöntemlerin özellikle insanların duygularını hedef alarak hızlı ve düşünmeden karar vermelerine neden olduğunu vurguladı.

Sesli mesajlar tehlike taşıyor
FBI, tehdit aktörlerinin özellikle güvenilir ses ve metin mesajları oluşturmak için yapay zeka ve deepfake teknolojilerinden faydalandığını, çoğu durumda mevcut ve eski üst düzey yetkililer veya onların bağlantılarının taklit edildiğini aktardı.

Güvenlik için öneriler
FBI açıklamasında, "Üst düzey bir ABD yetkilisinden geldiğini iddia eden bir mesaj alırsanız, bunun gerçek olduğunu varsaymayın." uyarısında bulundu. Ayrıca kimlik doğrulaması yapılmadan mesajlara itibar edilmemesi gerektiği, ses tonu ve kelime seçimlerindeki tutarsızlıkların dikkatle incelenmesi gerektiği ifade edildi.

Ünlüler de hedefte
Üretken yapay zeka ve deepfake teknolojilerinin yaygınlaşmasıyla birlikte dolandırıcılık olaylarının arttığına dikkat çekilirken, Elon Musk gibi kamuya mal olmuş kişilerin dahi sıkça taklit edildiği belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Üst düzey yetkililer taklit ediliyor
Duyuruda, siber suçluların hem federal hem de eyalet düzeyindeki mevcut ya da eski üst düzey hükümet yetkililerini veya onların yakın çevresini taklit ettiği belirtildi. Bu kişilerin adları ve görselleri, güvenilirlik hissi yaratmak amacıyla deepfake ve GenAI teknolojileriyle sahte sesli ve yazılı mesajlara dönüştürülüyor.

Smishing ve vishing saldırılarında artış
FBI, dolandırıcıların smishing (SMS ile kimlik avı) ve vishing (sesli kimlik avı) yöntemleriyle insanları hedef aldığına dikkat çekti. Bu tür saldırıların amacı, kullanıcıları ikincil bir mesajlaşma platformuna yönlendirerek kötü amaçlı yazılım bulaştırmak ya da değerli kişisel bilgileri ele geçirmek olarak tanımlandı.

Vatandaşlara güvenlik önerileri
FBI, dolandırıcılık girişimlerine karşı vatandaşlara çeşitli güvenlik önerilerinde bulundu. Bu kapsamda, özellikle üst düzey bir kişiden geldiği iddia edilen mesajların gerçekliğinin sorgulanması, sesli mesajların tonlama ve kelime seçimi açısından dikkatlice incelenmesi gerektiği vurgulandı.

Ünlü isimler de hedefte
Uyarıda, Elon Musk gibi kamuoyunda tanınan isimlerin de bu tür sahte içeriklerde sıkça kullanıldığı ifade edildi. Yapay zeka tabanlı teknolojilerin yaygınlaşması, dolandırıcıların ikna edici içerikler üretmesini kolaylaştırırken, kullanıcıların bu konuda daha bilinçli olması gerektiği belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kaynak: CUMHA - CUMHUR HABER AJANSI

AirBorne açığı nedir?
Yapılan araştırmada, 'AirBorne' adı verilen bu açıkların hem Apple’ın AirPlay sisteminde hem de üçüncü taraf cihazların AirPlay uyumlu hale gelmesini sağlayan yazılım geliştirme kitinde (SDK) yer aldığı belirtildi. Söz konusu açıklar, hackerların aynı Wi-Fi ağına bağlı cihazlara uzaktan erişmesini sağlıyor.

Test saldırısı: Hoparlöre erişim sağlandı
Oligo araştırmacıları, AirPlay destekli bir Bose hoparlöre uzaktan erişim sağlayarak sistemdeki açıklardan nasıl yararlanılabileceğini gösterdi. Uzak kod yürütme (RCE) saldırısı ile hoparlörün ekranına 'AirBorne' logosu yerleştirildi.

Mikrofonlu cihazlar casusluk tehdidiyle karşı karşıya
Güvenlik firması, bu açıkların özellikle mikrofon bulunan cihazlarda casusluk amacıyla kullanılabileceğini belirtti. Oligo'nun CTO’su Gal Elbaz, Wired'a yaptığı açıklamada milyonlarca cihazın bu açıklardan etkilenebileceğini ifade etti.

Apple ve CarPlay açıklaması
Apple ise yaptığı açıklamada, söz konusu güvenlik zafiyetlerinin etkisinin 'sınırlı' olduğunu savundu. Ancak araştırmacılar, benzer risklerin CarPlay destekli sistemlerde de bulunduğunu, özellikle tahmin edilebilir ya da bilinen Wi-Fi şifreleri kullanıldığında tehlikenin arttığını bildirdi.

Kullanıcılara öneri: Özelliği devre dışı bırakın
Uzmanlar, AirPlay özelliğini kullanmayan kullanıcıların güvenlik riski yaşamamak adına bu özelliği cihaz ayarlarından devre dışı bırakmasını tavsiye ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Manuel süreçler güvenlik zaafı yaratıyor
Kurumlar, kimlik güvenliği konusunda kâğıt üzerinde yeterli görünse de gerçekler farklı. Çok faktörlü kimlik doğrulama (MFA) etkinleştirme, şifrelerin güvenli biçimde saklanması ve eski çalışanların sistemden çıkarılması gibi işlemlerin büyük bölümü hâlâ manuel olarak yürütülüyor. Cerby'nin araştırmasına göre, yalnızca %4’lük bir kesim bu süreçleri tamamen otomatikleştirebildi.

İnsan hatası en büyük risklerden biri olmaya devam ediyor
Verizon’un 2025 Veri İhlali Raporu'na göre, güvenlik ihlallerinin %60'ında insan faktörü yer aldı. Cerby’nin verileri de bu tabloyu destekliyor: Şirketlerin %41’i şifreleri hâlâ e-posta ve elektronik tablolar gibi güvenli olmayan yöntemlerle güncelliyor. %89’luk kesim ise MFA işlemlerini kullanıcıların manuel olarak devreye almasını bekliyor. Bu da saldırganlar için ciddi bir açık anlamına geliyor.

Erişim yönetimi hâlâ manuel ilerliyor
Şirketlerin %59’u, kullanıcı erişimlerinin başlatılması ve sonlandırılması işlemlerini manuel olarak sürdürüyor. Bu da biletleme sistemlerine ya da sözlü takiplere dayanarak ilerleyen yavaş, dağınık ve güvenlik açıklarına açık bir yapı oluşturuyor. Ponemon Enstitüsü'nün verilerine göre, şirketlerin %52’si manuel işlemler nedeniyle güvenlik ihlali yaşadı.

Otomasyon açığı neden kapanmıyor?
Araştırmaya göre, uygulama yığını hızla büyürken altyapı dağınık kaldı. Şirketlerin kullandığı birçok uygulama, modern kimlik standartlarıyla entegre olamıyor. Bu da geçici çözümler ve manuel müdahaleleri kalıcı hale getiriyor. Parola yöneticileri ve komut dosyaları gibi araçlar ise sürdürülebilir olmaktan uzak.

Yapay zekâ destekli çözümler kapıda
Cerby, otomasyon açığını kapatmak için yapay zekâ destekli hibrit çözümler öneriyor. Güvenlik liderlerinin %78’i yapay zekânın tüm süreci tek başına devralmasına henüz güvenmese de %45’i insan destekli otomasyon modelini benimsiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hedef: Şifreler, kripto paralar ve kişisel bilgiler
ABD Adalet Bakanlığı tarafından yapılan açıklamada, Lumma gibi kötü amaçlı yazılımların milyonlarca kullanıcının oturum bilgilerini çalarak banka dolandırıcılığı ve kripto para hırsızlığı gibi suçlarda kullanıldığı belirtildi. Sadece FBI, Lumma yazılımının 10 milyondan fazla enfeksiyona neden olduğunu tespit etti.

Microsoft 394 binden fazla bulaşma tespit etti
Europol, 16 Mart ile 16 Mayıs 2025 tarihleri arasında Microsoft’un dünya genelinde 394.000 Windows bilgisayarın Lumma ile enfekte olduğunu belirlediğini aktardı. Operasyonun, kötü amaçlı yazılım ile kullanıcılar arasındaki iletişimi tamamen kestiği vurgulandı. Lumma, Europol tarafından ‘dünyanın en büyük bilgi çalan yazılım tehdidi’ olarak tanımlandı.

Arkasındaki isim: 'Shamel'
Microsoft Dijital Suçlar Birimi (DCU), ESET, BitSight, Lumen, Cloudflare, CleanDNS ve GMO Registry gibi firmalarla iş birliği yaptı. Lumma’nın geliştiricisinin 'Shamel' takma adını kullanan Rus bir kişi olduğu, Telegram gibi platformlarda yazılımı farklı seviyelerde hizmet paketleriyle pazarladığı tespit edildi. Yazılımın fiyatları 250 dolardan başlayıp 20.000 dolara kadar çıkıyor. En pahalı paket, kaynak kod erişimi ve yeniden satış hakkı sunuyor.

Sürekli evrilen altyapı ve gizlenme teknikleri
ESET, yazılımın farklı kullanıcılar için özelleştirilebilir yapıda olduğunu, gelişmiş tespit önleme sistemlerine ve sahte yazılım paketleriyle yayılma stratejilerine sahip olduğunu belirtti. Lumma, genellikle sahte yazılım indirme siteleri, tıklama tuzakları ve reklam ağları aracılığıyla yayılıyor. Microsoft, yazılımın yayılmasında Prometheus gibi trafik dağıtım sistemlerinin kullanıldığını da açıkladı.

Cloudflare: İş yapamaz hale geldiler
Cloudflare, kötü niyetli alan adlarına bir uyarı sayfası yerleştirildiğini ve bu alan adlarını kontrol eden hesaplara karşı da işlem başlatıldığını açıkladı. Cloudforce One yetkilisi Blake Darché, yapılan müdahaleyle Lumma operatörlerinin para kazanma yeteneklerinin engellendiğini ve operasyonlarının ciddi şekilde sekteye uğratıldığını ifade etti.

Geri dönmeleri muhtemel
Uzmanlar, Lumma operasyonunun büyük oranda sekteye uğratıldığını ancak tehdit aktörlerinin taktik değiştirerek yeniden faaliyet göstermeye çalışacaklarını belirtiyor. Lumma geliştiricisi Ocak 2025’te yaptığı açıklamada, sonbaharda operasyonlarını sonlandırmayı planladıklarını belirtmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dijital Verilerin Arasındaki Gerçeği Aramak
Günümüz dünyasında neredeyse her olayın izi dijital ortamda bir şekilde saklanıyor. Metin mesajları, e-postalar, sosyal medya hareketleri, silinmiş dosyalar… Her biri, çözülmesi gereken bir bilmecenin parçası olabilir. İşte bu noktada devreye dijital adli bilişim giriyor.

Dijital Adli Bilişim Nedir?
Dijital adli bilişim, elektronik cihazlardan veri toplama, bu verileri analiz etme ve gerektiğinde yasal süreçlerde kullanılabilecek şekilde raporlama sürecidir. Bilgisayarlar, cep telefonları, sabit diskler, bulut depoları ve sosyal medya hesapları gibi dijital kaynaklar analiz edilir. Sadece görünen veriler değil; silinmiş mesajlar, geçmiş konum verileri, tarayıcı geçmişleri ve gizlenmiş dosyalar da bu kapsamda incelenir. Amaç, bu dijital ipuçlarını delil niteliğinde kullanmaktır.

Özel Dedektiflerin Yeni Yüzü
Geçmişin trençkotlu, kamera taşıyan dedektiflerinin yerini artık ekran başında çalışan, karmaşık veri analizleri yapan profesyoneller aldı. Bugünün özel dedektifleri; hukuka uygun şekilde hareket eder, detaylı döküm hazırlar, çevrimiçi davranışları takip eder ve büyük resme odaklanır. Geleneksel kolluk kuvvetlerinden farklı olarak birebir çalışırlar; aldatma vakalarından iş yerindeki veri sızıntılarına, çevrimiçi tehditlerden sahte profillere kadar çok sayıda konuda hizmet verirler.

Dijital Adli İncelemelerin Kullanıldığı Başlıca Alanlar
Bu tür tekniklerin kullanıldığı bazı yaygın senaryolar şunlardır:

• İlişki ve Aile Davaları: Aldatma şüphesi, gizli hesaplar, çocukların dijital güvenliği.

• İşyeri İncelemeleri: Gizli veri sızıntıları, şirket cihazlarının kötüye kullanımı.

• Siber Suçlar: Sahte sosyal medya hesapları, tehdit mesajları, dijital takip.

• Boşanma Süreçleri: Gizlenmiş banka hesapları, maddi varlıkların tespiti.

Bu tür durumlarda dijital veriler, şüpheleri doğrulayan sessiz tanıklar gibidir.

Kullandıkları Araçlar ve Teknikler
Özel dedektiflerin dijital adli incelemelerde kullandığı bazı başlıca araçlar şunlardır:

• GPS takip kayıtları

• Sosyal medya analiz araçları

• Adli görüntüleme yazılımları

• Silinmiş dosya kurtarma programları

• Anahtar kelime tarama sistemleri
  Bazı uzmanlar yapay zeka destekli yüz tanıma yazılımları ya da deepfake analiz sistemleri de kullanabilir. Ancak bu araçlar doğru şekilde kullanılmadığında hukuki geçerliliğini yitirebilir.

Adım Adım Dijital Adli Soruşturma Süreci
Bir dijital adli inceleme süreci genellikle şu adımlarla ilerler:

1. İlk danışma: Olay hakkında bilgi toplanır ve hedefler belirlenir.

2. Cihazların temini: İlgili cihazlara yasal izinle erişim sağlanır.

3. Veri yedekleme: Orijinal veriye zarar verilmeden birebir kopyalar alınır.

4. Analiz: Mesajlar, geçmiş kayıtları, silinmiş içerikler ve daha fazlası incelenir.

5. Raporlama: Tüm bulgular zaman damgası ve görsellerle birlikte rapor haline getirilir.

Yasal Sınırlar İçinde Kalmak Neden Önemli?
Bu alanda çalışan uzmanlar, yasal sınırların dışına çıkmadan veri toplamaya özen gösterir. Özel dedektifler; kişisel gizlilik yasalarına uyar, cihazlara yalnızca yazılı izinle erişir, yetkisiz takip veya dinleme işlemlerinden kaçınır ve her adımı belgelendirir. Aksi halde elde edilen veriler hem geçersiz sayılır hem de yasal sorun doğurabilir.

Neden Profesyonel Yardım Şart?
Her ne kadar teknolojiye hakim bireyler kendi araştırmalarını yapabileceğini düşünse de, dijital adli bilişim uzmanları hem teknik bilgiye hem de hukuk bilgisine sahiptir. Bilgilerin yanlışlıkla silinmesi, sürecin geçersiz hale gelmesi gibi riskleri ortadan kaldırırlar. Bu nedenle özel dedektif desteği, çoğu zaman sürecin güvenli ve yasal şekilde yürütülmesini sağlar.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hedefte NATO üyeleri ve lojistik zinciri var
Avustralya, Kanada, Çekya, Danimarka, Estonya, Fransa, Almanya, Hollanda, Polonya, Birleşik Krallık ve ABD gibi ülkelerin resmi kurumları tarafından yayımlanan ortak uyarıya göre, APT28 özellikle savunma, ulaştırma, denizcilik, hava trafiği yönetimi ve bilgi teknolojileri alanlarında faaliyet gösteren kuruluşları hedef aldı. Etkilenen ülkeler arasında Bulgaristan, Yunanistan, İtalya, Moldova, Romanya, Slovakya ve Ukrayna da bulunuyor.

Saldırı yöntemleri: E-posta açıklarından VPN zafiyetlerine kadar
Kampanyada kullanılan yöntemler arasında parola püskürtme, hedefli kimlik avı saldırıları, Microsoft Exchange sistemlerinde posta kutusu izinlerinin değiştirilmesi, Outlook ve Roundcube gibi e-posta servislerindeki güvenlik açıklarının istismarı öne çıkıyor. Ayrıca kurumsal VPN sistemlerine yönelik SQL enjeksiyonu saldırıları da dikkat çekiyor. Özellikle CVE-2023-23397 ve CVE-2023-38831 gibi kritik zafiyetler üzerinden erişim sağlanıyor.

Tehdit sonrası faaliyetler daha tehlikeli
Saldırganlar sisteme giriş yaptıktan sonra, ulaşım koordinasyonundan sorumlu personeli ve mağdur kuruluşlarla işbirliği yapan şirketleri belirlemeye yönelik keşif çalışmaları yapıyor. İç ağlarda yanal hareket sağlamak için Impacket, PsExec ve RDP gibi araçlar, Active Directory’den bilgi sızdırmak içinse Certipy ve ADExplorer.exe kullanılıyor. Ayrıca Office 365 kullanıcı listelerini çıkarmak ve sürekli e-posta takibi için posta kutusu izinleri manipüle ediliyor.

Fransa ve ESET’ten ayrı ayrı uyarılar geldi
Fransa Dışişleri Bakanlığı, APT28’i 2021’den bu yana ülkenin çeşitli kurumlarına yönelik istikrarsızlaştırıcı siber saldırılar düzenlemekle suçlamıştı. Öte yandan ESET tarafından geçtiğimiz hafta duyurulan Operation RoundPress kapsamında, grup Roundcube, Horde ve Zimbra gibi e-posta servislerini kullanarak Doğu Avrupa, Afrika ve Güney Amerika’daki hükümetleri hedef alıyor.

Gözler internet kameralarında
Ajanslara göre, Rus askeri istihbarat biriminin hedefleri yalnızca dijital sistemlerle sınırlı değil. Ukrayna sınır kapılarındaki internet bağlantılı kameralar da bu izleme faaliyetlerinin bir parçası olarak hedef alınıyor. HeadLace, MASEPIE, OCEANMAP ve STEELHOOK gibi kötü amaçlı yazılım aileleriyle veri sızdırma faaliyetlerinin sürdüğü, verilerin PowerShell komutları ve IMAP protokolü aracılığıyla aktarıldığı bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

400 binden fazla cihaz hedef alındı
Lumma Stealer, dünya çapında yaklaşık 400.000 Windows cihazına bulaşarak yaygın kimlik hırsızlığı ve dolandırıcılık faaliyetlerine aracılık etti. Araç; kimlik avı e-postaları, kötü amaçlı reklamlar ve sahte yükleyiciler yoluyla yayılıyordu. Hatta bu yılın başlarında bir kampanyada saldırganlar, Booking.com’un taklidiyle kullanıcıları zararlı dosyaları indirmeye yönlendirmişti.

2.300’den fazla alan adı ele geçirildi
Microsoft’un Dijital Suçlar Birimi (DCU) tarafından yürütülen çalışma sonucunda, Lumma Stealer ile ilişkili 2.300’den fazla alan adı ele geçirildi. ABD'nin Georgia eyaletindeki Kuzey Bölge Mahkemesi’nden alınan karar doğrultusunda yapılan bu müdahaleyle, kötü yazılımın komuta ve kontrol altyapısı devre dışı bırakıldı. Ele geçirilen alan adları, şu anda Microsoft’un kontrolündeki sunuculara yönlendirilmiş durumda.

Lumma Stealer 'abonelik' modeliyle satıldı
Lumma, yalnızca bir kötü yazılım değil, aynı zamanda ticari bir yapıydı. Farklı abonelik paketleriyle satışa sunulan yazılım, temel sürümü için 250 dolardan, tüm kaynak koduna erişim için 20.000 dolara kadar fiyatlandırılıyordu. Yazılımın geliştiricisi olduğu bilinen ve “Shamel” takma adını kullanan kişi, 2023 yılında verdiği bir röportajda 400 aktif müşterisi olduğunu iddia etmişti.

Uluslararası iş birliği vurgusu
Operasyona destek veren kuruluşlar arasında ESET, Cloudflare, Lumen, CleanDNS, BitSight ve GMO Registry gibi önemli siber güvenlik firmaları da yer aldı. Black Duck firmasında görev yapan Altyapı Güvenliği Direktörü Thomas Richards, 'Kolluk kuvvetleri ve özel sektör iş birliğinin ne kadar etkili olabileceğini gösteren bir örnek' değerlendirmesinde bulundu.

Siber tehditler devam ediyor
Uzmanlara göre Lumma operasyonunun başarılı olması, kötü amaçlı yazılımlara karşı savaşın kazanıldığı anlamına gelmiyor. Microsoft, kullanıcıları e-posta eklerine karşı dikkatli olmaya, güvenilir antivirüs çözümleri kullanmaya, sistem güncellemelerini ihmal etmemeye ve çok faktörlü kimlik doğrulamayı etkinleştirmeye çağırdı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı zinciri nasıl ilerliyor?
Kampanya, kullanıcılara gönderilen bir e-postada, RAR arşivi gibi görünen ve çift uzantı taşıyan ("doc_054_[düzenlendi].pdf.rar") dosyalarla başlıyor. Arşiv dosyasının içindeki zararlı yazılım, çalıştırıldığında kendisini Windows sistem dizinine 'task.exe' adıyla kopyalıyor ve otomatik çalıştırma için 'Task.vbs' adında bir script oluşturuyor.

Bu süreçte 'task.exe', bir diğer çalıştırılabilir dosya olan 'ckcfb.exe'yi aktive ediyor ve ardından 'InstallUtil.exe' isimli sistem yardımcı programını devreye alarak zararlı modülü enjekte ediyor. 'Ckcfb.exe', içerisinde PureRAT zararlısının ana yükünü taşıyan 'Spydgozoi.dll' adlı DLL dosyasını çıkarıyor ve sistem üzerinde kontrol kuruyor.

Kontrol sunucusuna veri aktarımı
PureRAT, uzaktaki komut ve kontrol (C2) sunucusuyla SSL üzerinden bağlantı kuruyor. Sistemde kurulu antivirüs programları, bilgisayar adı ve sistemin çalışma süresi gibi detayları toplayarak sunucuya iletiyor. Bu sayede sunucu, sisteme çeşitli zararlı komutlar gönderebiliyor.

Kullanılan modüller arasında kendini silme, sistemi yeniden başlatma, açık pencere başlıklarına göre izleme yapma, yetkisiz para transferlerini tetikleme ve panodaki kripto cüzdan adreslerini değiştirme gibi yetenekler bulunuyor.

PureLogs ile bilgi hırsızlığı
Saldırganlar, PureRAT ile birlikte PureLogs adlı bir bilgi hırsızı modülünü de kullanıyor. Bu modül, web tarayıcıları, e-posta istemcileri, parola yöneticileri, kripto cüzdanlar ve FTP yazılımları gibi çok sayıda uygulamadan veri toplayabiliyor.

StilKrip ve Ttcxxewxtly.exe zinciri
PureCrypter olarak bilinen "StilKrip.exe" adlı indirici yazılım da saldırılarda kullanılıyor. Bu yazılım, "Bghwwhmlr.wav" adında bir dosya indirerek zincirin sonraki adımlarını başlatıyor. Nihayetinde, "Ttcxxewxtly.exe" adlı yürütülebilir dosya ile PureLogs yükleniyor.

Kaspersky, PureRAT ve PureLogs'un birlikte kullanımının, saldırganlara hedef sistem üzerinde tam yetki sağladığını ve hassas kurumsal verilerin tehlikeye girmesine neden olduğunu belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kimlik Avı Saldırıları Neden Hâlâ Bu Kadar Tehlikeli?
Günümüzde tek bir dikkatle hazırlanmış e-posta, tüm bir sistemin güvenliğini tehlikeye atabiliyor. Kurumsal e-posta filtrelerini aşabilen bu iletiler, çalışanları kandırarak saldırganlara sistemlere erişim sağlayabiliyor. Özellikle Tycoon2FA gibi gelişmiş kimlik avı araçları, otomatik analiz çözümleriyle tespit edilmesi zor hale gelmiş durumda.

İlk Adım: Şüpheli Ögeleri Sandbox Ortamında İncelemek
SOC (Güvenlik Operasyon Merkezi) ekipleri, şüpheli dosya veya URL’leri ANY.RUN gibi etkileşimli sanal alan ortamlarına yükleyerek analiz gerçekleştirebiliyor. Bu tür sanal makineler, dosyaların açılmasını, bağlantıların tıklanmasını ve davranışların gözlemlenmesini güvenli şekilde sağlıyor. ANY.RUN, bu analizleri dakikalar içinde tamamlayabiliyor.

Gerçek Bir Örnek: Tycoon2FA E-postasıyla Yapılan Saldırı
Analiz edilen örnek e-posta, kullanıcıyı kandırmak amacıyla içine büyük, yeşil bir ‘Ses Çal’ butonu yerleştirilmiş bir tasarım içeriyor. Butona tıklanması, kullanıcıyı CAPTCHA’lı başka sayfalara yönlendiriyor. Bu aşamada birçok otomatik sistem devre dışı kalıyor. Ancak ANY.RUN ortamında manuel veya otomatik CAPTCHA çözümü ile analiz devam ettirilebiliyor ve nihai hedef olan sahte Microsoft giriş ekranına ulaşılabiliyor.

İkinci Adım: Tüm Saldırı Zincirini Görselleştirmek
Etkileşimli analiz sayesinde saldırının her aşaması detaylı şekilde izlenebiliyor. Şüpheli yönlendirmeler, kimlik avı ekranları ve kullanıcı davranışlarını taklit eden mekanizmalar açıkça gözlemlenebiliyor. Otomatik araçların kaçırabileceği ipuçları — örneğin eksik favicon, alakasız URL yapısı — manuel analizle ortaya çıkarılıyor.

Üçüncü Adım: IOC’leri Toplamak ve Güvenliği Güçlendirmek
Tamamlanan analiz sonrasında elde edilen IOC’ler (kompromize göstergeleri), tehdit önleme sistemlerine entegre edilebiliyor. ANY.RUN aracı, zararlı süreçleri, şüpheli ağ bağlantılarını, IP’leri ve domainleri anında işaretleyerek kapsamlı bir rapor oluşturuyor. Bu veriler hem mevcut saldırıya karşı hem de gelecekteki tehditlere karşı kullanılabiliyor.

Etkileşimli Sandbox Kullanmanın Kurumsal Faydaları
Etkileşimli sanal alan çözümleri, yalnızca deneyimli güvenlik ekipleri için değil, yeni başlayan analistler için de uygun bir analiz ortamı sunuyor. Eğitim, olay yanıtı, tehdit tespiti ve işbirliği açısından birçok avantaj sağlıyor. Bulut tabanlı yapısı sayesinde altyapı kurulumu gerektirmeyen sistem, her yerden analiz yapılmasına imkân tanıyor.

Özel Kampanya Duyurusu
ANY.RUN, 19-31 Mayıs 2025 tarihleri arasında 9. kuruluş yılını özel kampanyalarla kutluyor. Sandbox lisansları, tehdit istihbarat araçları ve eğitim laboratuvarları için geçerli tekliflerle kurumlar, analiz kapasitelerini artırabilecek.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kling AI üzerinden yapılan kimlik hırsızlığı
Gerçekte Çin merkezli Kuaishou Technology tarafından geliştirilen Kling AI, yapay zeka destekli bir içerik üretim platformudur ve 2025 itibarıyla 22 milyondan fazla kullanıcıya sahiptir. Ancak saldırganlar, bu popülerliğin arkasına saklanarak Kling AI'yı taklit eden sahte web siteleri (örneğin klingaimedia[.]com, klingaistudio[.]com) kurdu. Bu siteler, kullanıcılara dosya indirmelerini önerdi. İndirilen dosyalar, içinde uzaktan erişim Truva Atı (RAT) ve bilgi hırsızlarını barındıran ZIP arşivleri içeriyordu.

PureHVNC RAT ile sistemlere sızıldı
Check Point'in tespitine göre, kurbanların bilgisayarlarına indirilen yükleyici dosyalar, çeşitli güvenlik analiz araçlarını algılayabiliyor ve Windows Kayıt Defteri üzerinde değişiklik yaparak sistemde kalıcılığını sağlıyor. Ayrıca meşru sistem süreçlerine sızarak, PureHVNC RAT adlı ikinci aşama zararlı yazılımı aktive ediyor. Bu yazılım, tarayıcı verilerini, kripto cüzdan bilgilerini ve ekran görüntülerini hedef alarak hassas verileri sızdırıyor.

Vietnam bağlantısı ve yaygınlaşan taktikler
Check Point araştırmacıları, sahte Kling AI sayfalarına ait en az 70 farklı tanıtım gönderisi tespit ettiklerini duyurdu. Kampanyayı yürüten kişi veya grupların kimliği netleşmemekle birlikte, deliller Vietnam merkezli siber suçlulara işaret ediyor. Bu tür grupların, daha önce de sahte yapay zeka araçları aracılığıyla kullanıcıları zararlı yazılım indirmeye teşvik ettiği biliniyor.

Sosyal medya tabanlı saldırılar yükselişte
The Wall Street Journal’a göre, Meta platformlarında son dönemde büyük bir dolandırıcılık artışı yaşanıyor. Facebook ve Instagram, romantik dolandırıcılıklardan sahte promosyonlara kadar çeşitli siber suçlara ev sahipliği yapıyor. Ayrıca, Telegram ve benzeri platformlar üzerinden yayılan sahte iş ilanları, genç bireyleri Güneydoğu Asya’daki dolandırıcılık ağlarına yönlendirmek için kullanılıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

c/side araştırmacısı Himanshu Anand tarafından Salı günü yayımlanan analizde, saldırının dikkat çeken yönünün kullanılan teslimat yöntemi olduğu belirtildi. Anand, 'Yükün kendisi yeni bir şey değil (bir başka yetişkin kumar dolandırıcılığı), ancak teslimat yöntemi öne çıkıyor' dedi.

Tam işlevli PWA ile sahte uygulama mağazası simülasyonu
Saldırıda kullanılan kötü amaçlı açılış sayfasının, tam teşekküllü bir İleri Web Uygulaması (PWA) olduğu ve kullanıcıların daha uzun süre etkileşimde kalmasını sağlamak ile temel tarayıcı korumalarını aşmayı hedeflediği ifade edildi. Bu yöntemle saldırganlar, mobil cihaz kullanıcılarını tespit ederek özel olarak mobil odaklı bir saldırı düzenliyor.

Yalnızca mobilde çalışan JavaScript saldırısı
Kampanya, yalnızca mobil cihazlarda tetiklenen istemci tarafı JavaScript saldırısı olarak tanımlandı. JavaScript kodu, belirli web sitelerine enjekte edilerek çalışıyor ve Android, iOS ve iPadOS kullanıcılarını yönlendirme sayfalarına taşıyor. Bu yönlendirme sayfaları, kullanıcıları yetişkin içerikli sahte uygulamaların reklamını yapan bağlantılara ulaştırıyor.

PWA’lar yeni kimlik avı stratejilerinde kullanılıyor
PWA’lar, web teknolojileri kullanılarak geliştirilen ve kullanıcıya yerel uygulama benzeri bir deneyim sunan yapılar olmaları nedeniyle saldırganlar için cazip hale geliyor. Anand, 'PWA'ların kullanımı, saldırganların daha kalıcı kimlik avı yöntemlerini denediğini gösteriyor. Sadece mobil odaklı olmaları, birçok tespit mekanizmasından kaçmalarına olanak sağlıyor' dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kötü niyetli uzantılar aşırı izinler alıyor
Kötü amaçlı eklentiler, manifest.json dosyaları aracılığıyla kendilerine geniş kapsamlı izinler tanıyor. Bu sayede tarayıcıda ziyaret edilen her siteyle etkileşim kurabiliyor, saldırganın kontrolündeki etki alanlarından zararlı komutlar alıp çalıştırabiliyor ve kullanıcıyı istenmeyen sitelere yönlendirebiliyor.

Meşru hizmetleri taklit ederek yayılıyorlar
Uzantıların dağıtımı, DeepSeek, Manus, DeBank, FortiVPN ve Site Stats gibi bilinen hizmetleri taklit eden sahte web siteleri üzerinden gerçekleştiriliyor. Bu siteler, kullanıcılara sahte uzantıları yükletmek için meşruymuş gibi tasarlanıyor. Uzantılar ayrıca, DOM üzerindeki "onreset" olay işleyicisi aracılığıyla içerik güvenlik politikalarını (CSP) atlatmaya çalışıyor.

Facebook araçları da kullanılmış olabilir
DTI ekibi, saldırganların kullanıcıları sahte uzantılara yönlendirmek için sosyal medya platformlarını da kullandığını düşünüyor. Bazı sahte sitelerin Facebook izleme kimlikleri içerdiği ve kullanıcı çekmek amacıyla Facebook sayfaları, grupları ve reklamlarının kullanıldığı değerlendiriliyor.

Google harekete geçti, kullanıcılar uyarıldı
Tespit edilen kötü amaçlı uzantılar, Google tarafından Chrome Web Mağazası’ndan kaldırıldı. Ancak uzmanlar, kullanıcıların hâlâ dikkatli olmaları gerektiğini belirtiyor. Uzantı yüklemeden önce geliştiricilerin doğrulanması, izinlerin kontrol edilmesi ve kullanıcı yorumlarının dikkatle incelenmesi tavsiye ediliyor.

Manipülasyon riski devam ediyor
DomainTools'un bulgularına göre, bazı uzantılar kullanıcı puanlamalarını manipüle etmek amacıyla düşük puan veren kullanıcıları özel geri bildirim formlarına yönlendirirken, yüksek puan verenleri doğrudan Chrome Mağazası'na yönlendiriyor. Bu da, değerlendirmelerin güvenilirliğini sorgulatıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sistemlere entegre edilen gizli iletişim donanımları
İddialara göre, Çin menşeli bazı güneş invertörleri ve batarya sistemlerinde hücresel iletişim donanımları yer aldı. Bu sistemler, enerjiyi şebekeye aktaran ve depolayan temel ekipmanlar arasında yer alıyor. Uzmanlara göre, bu donanımlar kötü niyetli kişiler tarafından uzaktan devre dışı bırakılabilir ve bu da geniş çaplı elektrik kesintilerine neden olabilir.

Kasım 2024’te sinyal müdahalesi yaşandığı öne sürüldü
Reuters’ın haberinde, Kasım 2024’te bazı invertörlerin Çin'den gelen sinyallerle uzaktan kapatıldığı vakalar bildirildi. Vakaların tüm etkisi henüz netleşmese de, yetkililer arasında ciddi güvenlik endişeleri doğurduğu belirtildi.

Belgelerde yer almayan bileşenler
Güneş sistemlerinde uzaktan erişim ve performans izleme için iletişim modülleri standart hale gelmiş durumda. Ancak uzmanların dikkat çektiği nokta, bu bileşenlerin hiçbir teknik belgede belirtilmemiş olması. Bu durum, sistemlerin siber güvenlik önlemlerine entegre edilmemesine ve dış müdahalelere açık hale gelmesine yol açıyor.

ABD Enerji Bakanlığı uyarıyor
ABD Enerji Bakanlığı sözcüsü, “Bu işlevsellik kötü niyetli olmayabilir, ancak satın alanların ürünlerin tam özelliklerini bilmesi gerekir” diyerek, belgelenmemiş donanımların güvenlik açıkları oluşturduğuna dikkat çekti.

Çin iddiaları reddediyor
Olayda adı geçen Çinli firmaların sayısı netleşmezken, Çin’in Washington Büyükelçiliği iddiaları reddetti. Yapılan açıklamada, ‘ulusal güvenlik kavramının genelleştirilmesine ve Çin’in teknoloji başarılarının karalanmasına’ karşı çıkıldığı belirtildi.

ABD’de Çin menşeli ekipman oranı yüksek
Enerji danışmanlığı şirketi Wood Mackenzie’nin verilerine göre, dünyadaki güneş invertörlerinin yüzde 78’i Çin üretimi. ABD’deki güneş paneli üretim kapasitesinin yüzde 39’u da Çinli firmalara ait. Bu durum, ABD enerji altyapısının Çin’e olan yüksek bağımlılığını gözler önüne seriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Uluslararası akredite eğitim programları
2007 yılında kurulan Abadnet Institute, yıllık 10.000'den fazla öğrenciye hizmet veren, uluslararası akredite programlarıyla dikkat çeken bir eğitim kuruluşu. Ortaklık kapsamında INE Security, Abadnet’in eğitim kamplarını Junior Penetration Tester (eJPT) içeriği, uygulamalı laboratuvarlar ve CompTIA Security+ gibi sertifika hazırlıkları ile destekliyor. Bu sayede öğrencilere hem teorik hem de uygulamalı eğitim sunulacak.

İlk akademi tamamen doldu
Yeni iş birliği, 200 öğrencilik ilk akademiyle başladı ve tüm lisans kontenjanları tamamen doldu. INE Security Baş Gelir Sorumlusu Brett Erskine, yapılan açıklamada şu ifadeleri kullandı: ‘Suudi Arabistan ve GCC bölgesinde güçlü bir üne sahip olan Abadnet ile çalışmaktan heyecan duyuyoruz. Bu ortaklık, öğrencilere pratik beceriler ve sektörel sertifikalar sunarak kariyerlerinde önemli bir sıçrama imkanı veriyor.’

Abadnet, INE içerikleriyle eğitim kalitesini artırıyor
Abadnet Institute Operasyon Direktörü Ahmed Alkathiri, INE Security’nin içerik kalitesine dikkat çekerek şunları söyledi: ‘INE’nin eğitim materyalleri kariyerim boyunca bana büyük katkı sağladı. Bu ortaklık sayesinde öğrencilerimize en ileri düzeyde eğitim verebilme kapasitemizi artırıyoruz.’ Abadnet Siber Güvenlik Bölüm Başkanı Ahmed Fatouh ise, INE içeriklerinin eğitim müfredatına entegre edilmesinin önemli bir adım olduğunu belirtti.

Gelecek odaklı yatırım
Bu iş birliği, INE Security’nin bölgedeki dijital istihdam ekosistemini güçlendirme ve yüksek nitelikli siber güvenlik uzmanları yetiştirme hedefinin bir parçası olarak değerlendiriliyor. Ortaklık sayesinde, penetrasyon testi ve etik hackleme gibi alanlarda işe hazır yetenekler geliştirilmesi amaçlanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

23'e yakın açık tespit edildi
Siber güvenlik firması Oligo tarafından yapılan araştırmada, Apple'ın AirPlay protokolünde 23 farklı güvenlik açığı bulunduğu belirlendi. Bu açıkların büyük kısmının, üçüncü taraf üreticilerin AirPlay ile uyumlu hale getirdiği cihazlarda kullanılan AirPlay Yazılım Geliştirme Kiti (SDK) içinde yer aldığı ifade edildi.

Cihazlar kullanıcı etkileşimi olmadan ele geçirilebiliyor
Oligo'nun CTO'su Gal Elbaz, keşfedilen açıkların 'sıfır tıklama' (zero-click) saldırılarına olanak sağladığını belirtti. Bu durum, siber korsanların kullanıcı herhangi bir işlem yapmadan cihazlara sızmasına, kötü amaçlı yazılım yüklemesine veya veri çalmasına neden olabiliyor. Açıkların çoğu zaman yamanmasının zor olduğu, bazı cihazlarda ise bu yamaların hiçbir zaman yapılmayabileceği vurgulandı.

Apple’dan alınması gereken önlemler
Apple, bu güvenlik risklerini azaltmak amacıyla kullanıcıların cihazlarını acilen en son iOS sürümüne güncellemelerini ve AirPlay özelliğini devre dışı bırakmalarını öneriyor. Ayrıca, AirPlay üzerinden yalnızca güvenilir kişilerden dosya alınması da önemli bir güvenlik adımı olarak değerlendiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kart şifreleri siber saldırıların hedefinde
Nakit paranın alım gücünün azaldığı günümüzde, kredi kartları günlük hayatın ayrılmaz bir parçası haline geldi. Bu durum, kart şifrelerinin güvenliğini her zamankinden daha önemli hale getiriyor. Ancak uzmanlar, kullanıcıların büyük kısmının ciddi şifre hataları yaptığını ifade ediyor.

En çok tercih edilen şifreler hackerların ilk denemesi oluyor
Siber güvenlik araştırmalarına göre, en çok tercih edilen 4 haneli şifreler arasında “1234”, “0000”, “1111” ve doğum yılı gibi kolay tahmin edilebilecek rakamlar yer alıyor. Bu tür kombinasyonlar, dolandırıcılar tarafından ilk denenenler arasında bulunuyor. Otomatik yazılımlar sayesinde bu tarz şifreler saniyeler içinde çözülebiliyor.

Uzmanlardan güvenli şifre tavsiyeleri
Uzmanlar, kart şifresi belirlerken tahmin edilmesi zor ve rastgele sayı kombinasyonlarının kullanılmasını öneriyor. Ayrıca, şifrenin telefon PIN koduyla aynı olmaması ve düzenli aralıklarla değiştirilmesi de güvenlik açısından kritik öneme sahip.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte güvenlik mesajlarıyla tuzak kuruluyor
Bu saldırı yöntemi, “no-reply e-posta saldırısı” olarak adlandırılıyor. Kullanıcılara, hesaplarıyla ilgili sözde “yasal süreç” gerekçesiyle bilgi talep eden e-postalar gönderiliyor. Mesajlarda yer alan bağlantılar, sahte bir Google destek sayfasına yönlendirme yaparak kişisel bilgilerin paylaşılması hedefleniyor.

Bağlantılara tıklamak büyük risk taşıyor
Siber güvenlik uzmanları, bu e-postalardaki bağlantılara tıklanmasının ciddi sonuçlara yol açabileceğini belirtiyor. Bu bağlantılar aracılığıyla zararlı yazılımlar indirilebiliyor ya da parola hırsızlığına neden olan sahte sayfalara erişim sağlanabiliyor. Bazı durumlarda, sadece bağlantıdaki belgelerin görüntülenmesi bile Gmail ve Google Drive içeriklerine kısmi erişim sağlayabiliyor.

OAuth sistemi üzerinden yetkisiz erişim sağlanıyor
Yazılım geliştiricisi Nick Johnson, saldırganların Google’ın OAuth sistemini suistimal ettiğini açıkladı. Bu yöntemle sahte uygulamalar oluşturularak, kullanıcıdan bu uygulamalara erişim izni vermesi isteniyor. Johnson, bu tekniği “en tehlikeli tuzak” olarak tanımlıyor ve yalnızca resmi Google bildirimlerine güvenilmesi gerektiğini vurguluyor.

Google’dan korunma önerileri
Google, ‘güvenlik’, ‘hesap doğrulama’ ya da ‘yasal işlem’ gibi aciliyet içeren ifadelerle gelen e-postalara karşı dikkatli olunması gerektiğini belirtti. Bu tür mesajlar genellikle kullanıcıları korkutarak harekete geçirmeyi amaçlayan dolandırıcılık girişimleridir. Şirket, kullanıcıların e-posta gönderen adresini mutlaka kontrol etmesi ve şüpheli e-postaları açmadan silmesi gerektiğini ifade etti.

Ayrıca Google, kullanıcıların hesap güvenliğini artırmak için şu iki adımı atmasını öneriyor:

• İki Aşamalı Kimlik Doğrulama (2FA) özelliğini aktif hale getirin.

• Gmail hesabınıza erişimi olan üçüncü taraf uygulamaları düzenli olarak kontrol edin ve ihtiyaç dışı olanların erişim iznini kaldırın.

Kaynak: CUMHA - CUMHUR HABER AJANSI

23 ayrı güvenlik açığı tespit edildi
Siber güvenlik firması Oligo’nun yaptığı araştırmaya göre, Apple’ın AirPlay protokolünde 23’e kadar güvenlik açığı bulunuyor. Bu açıkların büyük çoğunluğu, üçüncü taraf cihazların AirPlay uyumluluğu için kullanılan Yazılım Geliştirme Kiti (SDK) üzerinden kaynaklanıyor.

Uzaktan erişim ve sıfır tıklama saldırısı riski
Oligo CTO’su Gal Elbaz, bu açıkların bilgisayar korsanları tarafından sıfır tıklamalı saldırılar düzenlemek için kullanılabileceğini belirtti. Saldırganlar, aynı Wi-Fi ağına bağlı cihazlara kullanıcı etkileşimi olmadan erişebiliyor, kötü amaçlı yazılım yükleyebiliyor ve veri çalabiliyor.

Apple'dan kullanıcılarına güvenlik çağrısı
Apple, bu güvenlik açıklarına karşı alınabilecek en etkili önlemin, AirPlay özelliğinin devre dışı bırakılması ve iPhone'ların en son sürüme güncellenmesi olduğunu açıkladı. Ayrıca yalnızca güvenilir kaynaklardan dosya alınması gerektiği vurgulandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İhlal 17 Mayıs’ta tespit edildi
Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından 17 Mayıs 2025 tarihinde Kuruma yapılan bildirimde, ihlalin bir çalışan tarafından Siber Güvenlik Olaylarına Müdahale Ekibine iletilen bir e-posta ile fark edildiği belirtildi. Söz konusu e-postada, üçüncü bir şahsın müşteri verilerine eriştiği iddia edildi ve eki dosyada yer alan bilgilerin büyük olasılıkla Adidas’a ait olduğu tespit edildi.

Sızdırılan veriler arasında neler var?
KVKK'nın açıklamasına göre, sızdırılan bilgiler arasında kullanıcıların isimleri, e-posta adresleri, cinsiyet bilgileri, doğum tarihleri ve telefon numaraları yer alıyor. Ancak her kullanıcının tüm veri tiplerinden etkilenmediği, bazı kullanıcıların yalnızca belirli bilgileri sızdırılmış olabileceği ifade edildi.

Adidas’tan teknik açıklama gelmedi
Adidas tarafından yürütülen teknik analiz ve güvenlik önlemlerine dair herhangi bir bilgi henüz paylaşılmadı. Saldırının kaynağı ve yöntemine ilişkin soruşturmanın ise halen sürdüğü belirtildi.

KVKK açıklamasına göre süreç devam ediyor
Kurum, Kişisel Verilerin Korunması Kanunu’nun 12. maddesine dayanarak 22 Mayıs 2025 tarihli kararla, söz konusu veri ihlali bildirisinin internet sitesinde yayımlanmasına karar verdi. Sürece ilişkin gelişmelerin kamuoyuyla paylaşılacağı belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tehditler giderek artıyor
Günümüzde dijitalleşmenin hızla yayılması, siber saldırganlar için daha fazla hedef yaratmaktadır. Fidye yazılımlar, kimlik avı saldırıları, veri sızıntıları ve devlet destekli siber casusluk faaliyetleri, en sık karşılaşılan tehdit türleri arasında yer alıyor. Bu tehditler yalnızca maddi zarara yol açmakla kalmıyor, aynı zamanda kişisel mahremiyeti ve ulusal güvenliği de riske atıyor.

Koruma yöntemleri çeşitleniyor
Gelişen tehditlere karşı savunma stratejileri de evriliyor. Antivirüs yazılımları, güvenlik duvarları, çok faktörlü kimlik doğrulama sistemleri ve yapay zekâ destekli izleme teknolojileri, siber güvenlik alanında sıkça kullanılan önlemler arasında. Ayrıca çalışanların bilinçlendirilmesi ve düzenli güvenlik eğitimleri de saldırıların başarı oranını düşürmede önemli bir rol oynuyor.

Kritik altyapılar hedefte
Enerji, ulaşım, sağlık gibi sektörlerde kullanılan dijital altyapılar, siber saldırılar açısından öncelikli hedefler arasında yer alıyor. Bu altyapıların güvenliği, kamu güvenliği ve ekonomik istikrar açısından büyük önem taşıyor. Bu nedenle hem özel sektör hem de kamu kurumları siber güvenliğe yatırım yapma konusunda daha hassas davranıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri güvenliği ve gizliliği sağlıyor
Özellikle halka açık Wi-Fi ağlarında yapılan internet bağlantıları, kötü niyetli kişiler tarafından kolaylıkla takip edilebilmektedir. VPN kullanımı, bu tür riskleri minimize ederek kullanıcının IP adresini gizler, veri paketlerini şifreler ve kimlik koruması sağlar.

Farklı kullanım alanları mevcut
VPN’ler sadece güvenlik için değil, aynı zamanda coğrafi engelleri aşmak ve erişimi kısıtlanmış içeriklere ulaşmak için de kullanılmaktadır. Örneğin, bazı ülkelerde yasaklı olan sosyal medya platformlarına ya da yayın servislerine VPN sayesinde erişim sağlanabilir.

Kurulum ve kullanım kolaylığı sağlıyor
VPN hizmetleri, mobil cihazlardan masaüstü bilgisayarlara kadar geniş bir platformda desteklenmektedir. Çoğu VPN sağlayıcısı, kullanıcı dostu arayüzleri sayesinde hızlı bir kurulum ve kolay kullanım imkânı sunmaktadır.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Protokol ve sponsor konuşmalarıyla başlayacak
Zirve, saat 09.00’da kayıt süreciyle başlayacak. 09.45-11.00 saatleri arasında yapılacak protokol konuşmalarında Türkiye Bilişim Derneği Genel Başkanı Kenan Altınsaat ve T.C. Sanayi ve Teknoloji Bakan Yardımcısı Zekeriya Coştu konuşma yapacak.

11.00-11.15 arasında platin sponsor SAYTEC adına CTO Yakup Saygın konuşacak.

Kritik altyapılar ve yapay zekâ tehditleri gündemde
Saat 11.15’te başlayacak ilk oturumda, 'Kritik Altyapılarda Sessiz Savaş: Dijital Saldırılar, Fiziksel Etkiler, Yapay Zekânın Getirdiği Tehditler' başlığı altında çeşitli alanlardan uzmanlar görüşlerini paylaşacak. Panelin moderatörlüğünü SAU Kritik Altyapılar Ulusal Test Yatağı Merkezi Koordinatörü Prof. Dr. İbrahim Özçelik üstlenecek. Panelde; Ahmet Pekel, Can Demirel, Cem Dursun ve Mahmut Küçük konuşmacı olarak yer alacak.

Yerlileşme ve girişimcilik vurgusu
Öğle yemeğinin ardından saat 13.30’da Türkiye Bilişim Derneği tarafından verilen Siber Güvenlik Ekosistemine Katkı Ödülleri sahiplerini bulacak. 14.00’te Altın Sponsor İNDAS Cybersecurity Kurucu Ortağı Yavuz Aydın konuşma yapacak.

Aynı saatlerde TED Üniversitesi’nden Prof. Dr. Murat Karakaya, ‘Büyük Dil Modellerinin İmkân ve Kabiliyetleri ile Getirdiği Riskler’ konulu eğitim oturumunu gerçekleştirecek.

14.15’te başlayacak ikinci panelde ise ‘Siber Savunmada Yerlileşme: Sorunlar ve Fırsatlar; Girişimci, Yatırımcı ve Kamu Perspektifi’ başlığı altında sektörel değerlendirmeler yapılacak. Panelin moderatörlüğünü SSB Türkiye Siber Güvenlik Kümelenmesi Genel Koordinatörü Alpaslan Kesici üstlenecek. Konuşmacılar arasında Hakan Terzioğlu, İsmail Güneş ve Savaş Ergen yer alacak.

Eğitimler ve TEDx konuşmaları ile kapanış
Saat 15.00’te Ankara Üniversitesi’nden Öğr. Gör. Muhammed Saadettin Kaya, 'Mahremiyet Koruyucu Tekniklerin Yapay Zekâ Eğitiminde Kullanımı' konulu eğitimi sunacak.

15.45-16.45 saatleri arasında TEDx konuşmaları gerçekleştirilecek. Zirve, 16.45-17.15 saatleri arasında yapılacak kapanış ve ödül töreni ile sona erecek.

Thu, 07 Aug 2025 13:47:10 +0300 Haber Koordinatörü Hangi Asus router modelleri etkilenmiş olabilir, SSH arka kapısı nasıl çalışıyor, kullanıcılar cihazlarının ele geçirilip geçirilmediğini nasıl anlar, saldırının arkasında kim olabilir
GreyNoise, kalıcı arka kapıyı ortaya çıkardı
Güvenlik şirketi GreyNoise tarafından yayımlanan son rapora göre, dünya genelinde yaklaşık 9.000 Asus marka router cihazı, kullanıcıların bilgisi dışında gizli bir arka kapı ile ele geçirilmiş durumda. Saldırganların, daha önce Asus tarafından yaması yayınlanan ancak bazıları kamuoyunda pek bilinmeyen güvenlik açıklarını kullanarak router cihazlarına erişim sağladığı belirtiliyor.