Bu hafta, saldırganların her zaman büyük numaralara ihtiyaç duymadığını hatırlattı. Küçük bir hata, eski bir erişim yolu, kaçırılan bir yama ve aniden kapı açılır.
Gürültü de sadece gürültü değil. Forumlar konuşuyor, araştırmacılar kolay çatlaklar buluyor ve savunucuların daha fazla temizleme beklentisi var.
İşte tam Pazartesi özeti.
⚡ Haftanın Tehdidi
Yeni DirtyClone Linux Çekirdek Kusuru, Yerel Kullanıcıların Klonlanmış Paketler Yoluyla Kök Kazanmasına Olanak Sağlıyor — Siber güvenlik araştırmacıları, Dirty Frag Linux çekirdek kusurunun yeni bir çeşidini ayrıntılı olarak açıkladı. DirtyClone (aka CVE-2026-43503) olarak adlandırılan bu özellik, yerel kullanıcıların klonlanmış paketler aracılığıyla kök ayrıcalıkları kazanmasına olanak tanır. Bu istismar, varsayılan ad alanı yapılandırmalarıyla Debian, Ubuntu ve Fedora sistemlerinde başarıyla çalışıyor. JFrog, "CAP_NET_ADMIN yeteneğine (sıklıkla ayrıcalıksız kullanıcı ad alanları aracılığıyla elde edilebilir) sahip olan veya bu yeteneği elde edebilen, savunmasız bir çekirdeği çalıştıran bir sunucu veya cihazdaki herhangi bir yerel kullanıcı [istismar edilebilirdir]" dedi. "Bu, çok kiracılı bulut ortamları, Kubernetes kümeleri ve kullanıcı ad alanlarının etkinleştirildiği veya ayrıcalıklı kapsayıcıların dağıtıldığı kapsayıcılı iş yükleri için en yüksek riski oluşturuyor."
🔔 En Önemli Haberler
Kritik PTC Windchill PDMlink ve PTC FlexPLM Kusurundan Suistimal Edildi — PTC Windchill PDMlink ve PTC FlexPLM kurumsal Ürün Veri Yönetimi (PDM) ve Ürün Yaşam Döngüsü Yönetimi (PLM) yazılımını etkileyen kritik bir uzaktan kod yürütme güvenlik açığı, JSP web kabuklarını duyarlı sistemlere dağıtmak için vahşi ortamda aktif olarak istismar edildi. CVE-2026-12569 olarak takip edilen güvenlik açığı, bir saldırganın ağa kötü amaçlı bir istek göndererek rastgele kod yürütmesine olanak tanıyan hatalı giriş doğrulama durumudur. Güvenlik açığına yönelik yamalar yayınlandı.
— PTC Windchill PDMlink ve PTC FlexPLM kurumsal Ürün Veri Yönetimi (PDM) ve Ürün Yaşam Döngüsü Yönetimi (PLM) yazılımlarını etkileyen kritik bir uzaktan kod yürütme güvenlik açığı, JSP web kabuklarını duyarlı sistemlere dağıtmak için vahşi ortamda aktif olarak istismar edildi. CVE-2026-12569 olarak takip edilen güvenlik açığı, bir saldırganın ağa kötü amaçlı bir istek göndererek rastgele kod yürütmesine olanak tanıyan hatalı giriş doğrulama durumudur. Güvenlik açığına yönelik yamalar yayınlandı. OpenAI Önizlemeleri GPT-5.6 Sol, Terra ve Luna — OpenAI, GPT-5.6 Sol, Terra ve Luna'yı resmi olarak tanıttı; Sol, siber güvenlik açısından şimdiye kadarki en yetenekli model olarak tanımlandı. Modeller ABD hükümetinin onayıyla kademeli olarak piyasaya sürülüyor. Bu sürüm, şirketin Daybreak girişiminin bir parçası olarak GPT‑5.5‑Cyber modelinin geliştirilmiş bir sürümünü güvenilir savunuculara yayınlamasından ve açık kaynaklı projelerin güvenliğini sağlamaya yardımcı olmak için Trail of Bits ile işbirliği içinde Patch the Planet adlı yeni bir proje başlatmasından birkaç gün sonra geldi. OpenAI aynı zamanda teknolojinin çift kullanımlı doğası hakkında da uyardı; kırmızı takım oyuncusunun sıfır günü bulmasına yardımcı olan aynı yeteneğin aynı zamanda kötü bir aktörün sıfır günü kullanmasına da yardımcı olabileceğini ve modele göre jailbreak tekniklerini yamalamaya öncelik vereceğini kabul etti. Buna ek olarak, saldırganlar aynı avantajı elde etmeden önce, araçların daha fazla savunmacının eline geçmesi çabasını çerçeveledi. Sınır modelleriyle ilgili endişelerin çoğu, yapay zekanın artık kod tabanlarındaki mevcut hataları tespit edebilmesi ve bunlar için açıklardan yararlanmaya yönelik çalışabilmesinden kaynaklanıyor. Siber suçların otomasyonu yeni olmasa da, bu araçların kötü aktörlerin giriş engelini daha da azaltma potansiyeli olduğu şüphesizdir.
— OpenAI, GPT-5.6 Sol, Terra ve Luna'yı resmi olarak tanıttı; Sol, siber güvenlik açısından şimdiye kadarki en yetenekli model olarak tanımlandı. Modeller ABD hükümetinin onayıyla kademeli olarak piyasaya sürülüyor. Bu sürüm, şirketin Daybreak girişiminin bir parçası olarak GPT‑5.5‑Cyber modelinin geliştirilmiş bir versiyonunu güvenilir savunuculara yayınlamasından ve açık kaynak güvenliğinin sağlanmasına yardımcı olmak için Trail of Bits ile işbirliği içinde Patch the Planet adlı yeni bir proje başlatmasından birkaç gün sonra geldi.
ce projeleri. OpenAI aynı zamanda teknolojinin çift kullanımlı doğası hakkında da uyardı; kırmızı takım oyuncusunun sıfır günü bulmasına yardımcı olan aynı yeteneğin aynı zamanda kötü bir aktörün sıfır günü kullanmasına da yardımcı olabileceğini ve modele göre jailbreak tekniklerini yamalamaya öncelik vereceğini kabul etti. Buna ek olarak, saldırganlar aynı avantajı elde etmeden önce, araçların daha fazla savunmacının eline geçmesi çabasını çerçeveledi. Sınır modelleriyle ilgili endişelerin çoğu, yapay zekanın artık kod tabanlarındaki mevcut hataları tespit edebilmesi ve bunlar için açıklardan yararlanmaya yönelik çalışabilmesinden kaynaklanıyor. Siber suçların otomasyonu yeni olmasa da, bu araçların kötü aktörlerin giriş engelini daha da azaltma potansiyeli olduğu şüphesizdir. Yeni Gaslight macOS Kötü Amaçlı Yazılımı Keşfedildi — Gaslight adlı yeni keşfedilen bir macOS kötü amaçlı yazılımı, yerleşik istem enjeksiyon dizeleri ve yürütülebilir dosyadaki sahte hata ayıklama verileri aracılığıyla yapay zeka destekli kötü amaçlı yazılım analiz araçlarını karıştırmak için tasarlandı. Siber güvenlik araştırmacılarının, kötü amaçlı yazılım analizine ve tersine mühendisliğe yardımcı olmak için yapay zeka destekli araçlar kullanması nedeniyle, kötü amaçlı yazılım, bu tür araçları bir sorun olduğunu düşünmeye yönlendirerek potansiyel olarak eserin analizini iptal etmelerine, kesmelerine veya reddetmelerine neden olur. Gaslight, Kuzey Kore bağlantılı bir tehdit aktörüne büyük güvenle atfediliyor. Kötü amaçlı yazılımın kendisi, arka kapı ve bilgi çalma işlevine sahip bir Rust ikili programıdır ve operatörün virüslü ana bilgisayar üzerinde kalıcı bir yer edinmesini sağlar. Bulgular, tehdit aktörlerinin yapay zeka destekli güvenlik platformlarını atlatmak için özel olarak tasarlanmış analiz karşıtı yöntemleri nasıl denediğini ortaya koyuyor.
— Gaslight olarak adlandırılan yeni keşfedilen bir macOS kötü amaçlı yazılımı, yerleşik istem enjeksiyon dizeleri ve yürütülebilir dosyadaki sahte hata ayıklama verileri aracılığıyla yapay zeka destekli kötü amaçlı yazılım analiz araçlarını karıştırmak için tasarlandı. Siber güvenlik araştırmacılarının, kötü amaçlı yazılım analizine ve tersine mühendisliğe yardımcı olmak için yapay zeka destekli araçlar kullanması nedeniyle, kötü amaçlı yazılım, bu tür araçları bir sorun olduğunu düşünmeye yönlendirerek potansiyel olarak eserin analizini iptal etmelerine, kesmelerine veya reddetmelerine neden olur. Gaslight, Kuzey Kore bağlantılı bir tehdit aktörüne büyük güvenle atfediliyor. Kötü amaçlı yazılımın kendisi, arka kapı ve bilgi çalma işlevine sahip bir Rust ikili programıdır ve operatörün virüslü ana bilgisayar üzerinde kalıcı bir yer edinmesini sağlar. Bulgular, tehdit aktörlerinin yapay zeka destekli güvenlik platformlarını atlatmak için özel olarak tasarlanmış analiz karşıtı yöntemleri nasıl denediğini ortaya koyuyor. Turla, Ukrayna Saldırılarında STOCKSTAY Arka Kapısını Kullanıyor — Turla olarak bilinen Rus devleti destekli tehdit aktörü, Ukrayna'daki hükümet ve askeri kuruluşları ve İtalyan dış politikasıyla ilgisi olan kuruluşları hedef alan saldırılarda STOCKSTAY adı verilen daha önce belgelenmemiş bir .NET arka kapısından yararlandı. STOCKSTAY, düşman tarafından 2017'den bu yana kullanılmaya başlanan temel implant Kazuar ile önemli kod ve işlevsel örtüşmeler paylaşıyor. Kötü amaçlı yazılım geliştirme faaliyetinden şüphelenilen faaliyetin tarihi Aralık 2022'ye kadar uzanıyor.
— Turla olarak bilinen Rus devleti destekli tehdit aktörü, Ukrayna'daki hükümet ve askeri kuruluşları ve İtalyan dış politikasıyla ilgisi olan kuruluşları hedef alan saldırılarda STOCKSTAY adı verilen daha önce belgelenmemiş bir .NET arka kapısından yararlandı. STOCKSTAY, düşman tarafından 2017'den bu yana kullanılmaya başlanan temel bir implant olan Kazuar ile önemli kod ve işlevsel örtüşmeleri paylaşıyor. Kötü amaçlı yazılım geliştirme faaliyeti şüphesi Aralık 2022'ye kadar uzanıyor. Amadey, StealC Kötü Amaçlı Yazılım Operasyonları Endgame Operasyonunda Kesinti — Özel sektör şirketleriyle ortaklaşa yürütülen koordineli bir yasa uygulama operasyonu, Amadey ve StealC'ye güç veren suç altyapısını ortadan kaldırdı. Europol'e göre operasyon, 326 sunucunun ve 142 alan adının kesintiye uğramasına, suç faaliyetleriyle bağlantılı 41 milyon Euro'dan (47 milyon dolar) fazla kripto para biriminin tespit edilmesine ve birçok yerden çalınan yaklaşık 27 milyon kimlik bilgilerinin kurtarılmasına yol açtı.
385k güvenliği ihlal edilmiş sistem. Amadey ve StealC, hizmet olarak kötü amaçlı yazılım (MaaS) modeli kapsamında siber suçlulara satılıyor. Microsoft, suçluların, StealC gibi ek kötü amaçlı yazılımları dağıtmak için kurban cihazlarında ilk tutunma noktası elde etmek amacıyla Amadey'i kullandığını ve bunun daha sonra kimlik bilgilerini, kripto para birimi cüzdanlarını ve daha sonra satılabilecek veya sonraki saldırılarda yararlanılabilecek diğer hassas bilgileri çaldığını söyledi. İki kötü amaçlı yazılım ailesi, yalnızca Mayıs 2026'nın ilk iki haftasında 140.000'den fazla virüslü cihazla bağlantılıydı. Operasyon kapsamında herhangi bir gözaltının yaşanmadığı belirtildi.
️🔥 Trend Olan CVE'ler
Hatalar haftalık olarak düşüyor ve yama ile açıktan yararlanma arasındaki fark hızla daralıyor. Bunlar haftanın ağır vurucuları: yüksek şiddette, yaygın olarak kullanılan veya halihazırda vahşi doğada dürtülmekte olan.
Listeyi kontrol edin, elinizdeki yamaları yapın ve önce acil olarak işaretlenenleri seçin — CVE-2026-47729 diğer adıyla Squidbleed (Squid), CVE-2026-12957 (Amazon Q Developer), CVE-2026-12569 (PTC Windchill PDMlink ve PTC FlexPLM), CVE-2026-43503 diğer adıyla DirtyClone, CVE-2026-46331 diğer adıyla pedit COW (Linux Çekirdeği), CVE-2026-30040, CVE-2026-30041 (FastStone Image Viewer), CVE-2026-45585 (Microsoft WinRE), CVE-2026-8461 diğer adıyla PixelSmash (FFmpeg), CVE-2026-55200 (libssh2), CVE‑2026‑20971 (Samsung KNOX çekirdeği), CVE-2026-10086, CVE-2026-10712, CVE-2026-12053 (GitLab CE ve EE), CVE-2026-13028, CVE-2026-13032, CVE-2026-13033, CVE-2026-13038 (Google Chrome), CVE-2026-53605 (Reachy Mini Kablosuz görüntüsü), CVE-2026-13136, CVE-2025-15660, CVE-2026-13135 (Synology MailPlus Sunucusu), CVE-2026-11374 (ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus ve ADAudit Plus) ve kritik bir Infoblox NIOS ayrıcalık yükseltme güvenlik açığı (CVE yok).
🎥 Siber Güvenlik Web Seminerleri
Yapay Zeka Odaklı Siber Saldırıları İşinizi Durdurmadan Durdurun → Bilgisayar korsanları artık siber saldırıları makine hızında başlatmak için yapay zekayı kullanıyor. Savunmalarınız insan hızına yönelik tehditlere karşı oluşturulmuşsa risk altındasınız demektir. Mücadeleye yönelik adım adım bir plan almak için bu web seminerine katılın. Yapay zeka odaklı saldırıları nasıl engelleyeceğinizi ve bir kriz ortaya çıkmadan önce şirketinizi nasıl koruyacağınızı tam olarak öğrenin.
→ Bilgisayar korsanları artık makine hızında siber saldırılar başlatmak için yapay zekayı kullanıyor. Savunmalarınız insan hızına yönelik tehditlere karşı oluşturulmuşsa risk altındasınız demektir. Mücadeleye yönelik adım adım bir plan almak için bu web seminerine katılın. Yapay zeka odaklı saldırıları nasıl engelleyeceğinizi ve bir kriz ortaya çıkmadan önce şirketinizi nasıl koruyacağınızı tam olarak öğrenin. Yapay Zeka Haydut Olduğunda: Yeni Siber Saldırı Yüzeyi Nasıl Güvenceye Alınır → Şirketler yapay zekayı benimsemek için acele ederken, bilgisayar korsanları yapay zeka aracılarını ele geçirerek ve ticari sırları sızdırarak bu araçları büyük bir sorumluluğa dönüştürüyor. Saldırganların yapay zekayı işletmelere karşı nasıl silah haline getirdiğini tam olarak görmek için bu acil web seminerine katılın. Kurulumlarınızı kilitlemek, riskli yapılandırmaları düzeltmek ve kendi teknolojinizin kötüye gitmesini engellemek için pratik bir plan elde edeceksiniz.
Şirketler yapay zekayı benimsemek için acele ederken, bilgisayar korsanları yapay zeka ajanlarını ele geçirerek ve ticari sırları sızdırarak bu araçları büyük bir sorumluluğa dönüştürüyor. Saldırganların yapay zekayı işletmelere karşı nasıl silah haline getirdiğini tam olarak görmek için bu acil web seminerine katılın. Kurulumlarınızı kilitlemek, riskli yapılandırmaları düzeltmek ve kendi teknolojinizin kötüye gitmesini engellemek için pratik bir plan elde edeceksiniz. Makine Hızında Geliştirme: Yapay Zeka Yazılım Teslimatı Nasıl Güvenceye Alınır → Yapay zeka araçları, güvenlik ekiplerinin inceleyebileceğinden daha hızlı kod üretiyor ve yazılım işlem hatlarına gizli riskler katıyor. Geliştirmeyi yavaşlatmadan güvenlik açıklarını nasıl yakalayacağınızı ve yapay zeka riskini nasıl yöneteceğinizi öğrenmek için bu web seminerine katılın. Yazılım tedarik zincirinizi korumak ve yapay zeka mühendisliğini güvenli bir şekilde ölçeklendirmek için pratik bir yol haritasına sahip olacaksınız.
📰 Siber Dünya'da
Çin'in Yeni Zhipu Yapay Zekasının Güvenlik Açığı Keşfinde Claude Mythos'la Eşleştiği Bildirildi - The Wall Street Journal, Çin'in Zhipu Yapay Zekası tarafından piyasaya sürülen yeni bir model olan GLM-5.2'nin, güvenlik açıklarını bulma konusunda Antropik Mythos'un performansıyla eşleştiğini ve en iyi ABD modelleri ile Çinli şirketler tarafından geliştirilenler arasındaki boşluğu daralttığını bildirdi. Yapay zeka sistemlerinin yazılımdaki güvenlik kusurlarını otonom olarak bulma yeteneği yeni bir istek yarattı
Kötü aktörler tarafından istismar edilmeden önce bunları hızlı bir şekilde kapatmak için modellerin kullanılmasını gerektiren çabalara yönelme. Ayrıca bu modellerin yanlış ellere geçmesi halinde siber savaşın potansiyel kolaylaştırıcıları haline gelebileceğine dair endişeler de mevcut. Trump yönetimi, federal hükümete yapay zeka modellerinin yeteneklerini değerlendirme ve hangilerinin gelişmiş siber yeteneklere sahip yapay zeka sistemleri için bir tanım olan "kapsanan sınır modelleri" olarak nitelendirileceğini belirleme yeteneği veren bir çerçeve oluşturulması çağrısında bulundu.
— The Wall Street Journal, Çin'in Zhipu yapay zekası tarafından piyasaya sürülen yeni bir model olan GLM-5.2'nin, güvenlik açıklarını bulma konusunda Anthropic Mythos'un performansıyla eşleştiğini ve en iyi ABD modelleri ile Çinli şirketler tarafından geliştirilenler arasındaki boşluğu daralttığını bildirdi. Yapay zeka sistemlerinin yazılımdaki güvenlik kusurlarını otonom olarak bulma yeteneği, kötü aktörler tarafından istismar edilmeden önce bu kusurların hızlı bir şekilde kapatılması için modellerin kullanılmasını gerektiren çabalara yeni bir aciliyet kazandırdı. Ayrıca bu modellerin yanlış ellere geçmesi halinde siber savaşın potansiyel kolaylaştırıcıları haline gelebileceğine dair endişeler de mevcut. Trump yönetimi, federal hükümete yapay zeka modellerinin yeteneklerini değerlendirme ve hangilerinin gelişmiş siber yeteneklere sahip yapay zeka sistemleri için bir tanım olan "kapsanan sınır modelleri" olarak nitelendirileceğini belirleme yeteneği veren bir çerçeve oluşturulması çağrısında bulundu. Aracı Kodlama Araçlarında Dolaylı İstem Ekleme — Mozilla'nın Sıfır Gün Araştırma Ağı (0DIN), dolaylı istem enjeksiyonunu "çoğu geri döndürülemez olan yıkıcı hasarlarla sonuçlanabilecek çok gerçek ve ciddi bir saldırı vektörü" olarak nitelendirdi. Ajansal IDE'ler ve kodlama aracıları söz konusu olduğunda, çeşitli araçlara erişim talebinde bulunabilirler; bu araçlar onaylandıktan sonra kod yürütmenin, dosya sistemi işlemlerinin ve ağ çağrılarının önünü açabilir. Özellikle bir saldırgan, güvenilir kurulum talimatlarını, rutin hata işlemeyi ve otomatik aracı davranışını zincirleyerek görünüşte zararsız bir depo kullanarak kod yürütme elde edebilir. Saldırganın kontrolündeki deponun herhangi bir kötü amaçlı kod içermesine bile gerek yoktur. Bunun yerine, bir geliştiricinin depo bağlantısını kopyalayıp aracıya onu çalıştırması talimatını verdiğinde kurulum aşamasında önemli bir adım olarak çerçevelenerek çalışma zamanında bir DNS TXT kaydından alınır. 0DIN, "Kısacası, aracılı kodlama araçları bunun için ihtiyaç duydukları her şeye erişebilir: ortam değişkenleri, kimlik bilgileri, API anahtarları ve yerel yapılandırma dosyaları dahil özel veriler" dedi. "Depolar, belgeler ve yakın zamanda yüklenen paketlerden gelen hata mesajları gibi güvenilmeyen içerikler, bu verileri çalmak için kötü amaçlı modeller enjekte edebilir."
— Mozilla'nın Sıfır Gün Araştırma Ağı (0DIN), dolaylı anında enjeksiyonu "çoğunluğu geri döndürülemez olan yıkıcı hasarlarla sonuçlanabilecek çok gerçek ve ciddi bir saldırı vektörü" olarak nitelendirdi. Ajansal IDE'ler ve kodlama aracıları söz konusu olduğunda, çeşitli araçlara erişim talebinde bulunabilirler; bu araçlar onaylandıktan sonra kod yürütmenin, dosya sistemi işlemlerinin ve ağ çağrılarının önünü açabilir. Özellikle bir saldırgan, güvenilir kurulum talimatlarını, rutin hata işlemeyi ve otomatik aracı davranışını zincirleyerek görünüşte zararsız bir depo kullanarak kod yürütme elde edebilir. Saldırganın kontrolündeki deponun herhangi bir kötü amaçlı kod içermesine bile gerek yoktur. Bunun yerine, bir geliştiricinin depo bağlantısını kopyalayıp aracıya onu çalıştırması talimatını verdiğinde kurulum aşamasında önemli bir adım olarak çerçevelenerek çalışma zamanında bir DNS TXT kaydından alınır. 0DIN, "Kısacası, aracılı kodlama araçları bunun için ihtiyaç duydukları her şeye erişebilir: ortam değişkenleri, kimlik bilgileri, API anahtarları ve yerel yapılandırma dosyaları dahil özel veriler" dedi. "Depolar, belgeler ve yakın zamanda yüklenen paketlerden gelen hata mesajları gibi güvenilmeyen içerikler, bu verileri çalmak için kötü amaçlı modeller enjekte edebilir." Yeni KuinaExtractor Rust Infostealer Tespit Edildi — KuinaExtractor adı verilen yeni Rust tabanlı bilgi hırsızı, web br'lerini toplama yetenekleriyle donatılmış olarak geliyor
Roblox, Steam ve Discord gibi hizmetler için kullanıcı verileri, kripto cüzdanları ve kimlik bilgileri. Aralık 2025'ten bu yana aktif olarak geliştirildiği söylenen hırsız, aynı zamanda Chrome uygulamasına bağlı şifreleme (ABE) bypassını da içeriyor. Buna paralel olarak kötü amaçlı yazılım geliştiricisi, terk edilmeden önce KuinaCookieExtractor ve Zenith C2 olarak bilinen iki kısa ömürlü proje üzerinde çalıştı. KuinaCookieExtractor, Roblox ve Steam oturumlarını, Minecraft ve FileZilla girişlerini, Telegram tdata'sını ve Discord belirteçlerini içerecek şekilde tarayıcı çerezlerinin ötesine geçer ve Telegram yerine Discord web kancası üzerinden sızar.
— KuinaExtractor adı verilen yeni Rust tabanlı bilgi hırsızı, Roblox, Steam ve Discord gibi hizmetler için web tarayıcı verilerini, kripto cüzdanlarını ve kimlik bilgilerini toplama yetenekleriyle donatılmıştır. Aralık 2025'ten bu yana aktif olarak geliştirildiği söylenen hırsız, aynı zamanda Chrome uygulamasına bağlı şifreleme (ABE) bypassını da içeriyor. Buna paralel olarak kötü amaçlı yazılım geliştiricisi, terk edilmeden önce KuinaCookieExtractor ve Zenith C2 olarak bilinen iki kısa ömürlü proje üzerinde çalıştı. KuinaCookieExtractor, Roblox ve Steam oturumlarını, Minecraft ve FileZilla girişlerini, Telegram tdata'sını ve Discord belirteçlerini içerecek şekilde tarayıcı çerezlerinin ötesine geçer ve Telegram yerine Discord web kancası üzerinden sızar. Yeni LokiBot Kampanyası Bir Aranın Ardından Ortaya Çıkıyor — Yeni bir e-posta kimlik avı kampanyasının LokiBot'u bir JavaScript eki aracılığıyla dağıttığı gözlemlendi. Komut dosyası başlatıldığında, LokiBot kötü amaçlı yazılımını dağıtan bir .NET enjektör yükünü çalıştıran bir PowerShell yükleyicisinin yürütülmesini tetikler. LokiBot, 1Password, Enpass ve KeePass gibi şifre yöneticilerinden kimlik bilgilerini toplayabilir ve komutları almak ve yürütmek için harici bir sunucuyla bağlantı kurabilir.
— LokiBot'u bir JavaScript eklentisi aracılığıyla dağıtan yeni bir e-posta kimlik avı kampanyası gözlemlendi. Komut dosyası başlatıldığında, LokiBot kötü amaçlı yazılımını dağıtan bir .NET enjektör yükünü çalıştıran bir PowerShell yükleyicisinin yürütülmesini tetikler. LokiBot, 1Password, Enpass ve KeePass gibi şifre yöneticilerinden kimlik bilgilerini toplayabilir ve komutları almak ve yürütmek için harici bir sunucuyla bağlantı kurabilir. Kimlik Avı Kampanyası Kötü Amaçlı Chrome Uzantısını Düşürüyor — İtalyanca yazılmış fatura temalı e-posta kimlik avı tuzakları, PDF belgeleri gibi görünen JavaScript eklerini başlatmak için kullanılıyor. D3 Lab, "Bu enfeksiyonun en ilginç kısmı başlangıçtaki JavaScript değildi. Kötü amaçlı yazılım, kötü amaçlı bir Google Chrome uzantısı yükledi ve onu Yerel Mesajlaşma Ana Bilgisayarıyla eşleştirdi" dedi. "Bu kombinasyon, Chrome'un içinde çalışan kodun Windows sisteminde PowerShell komutları istemesine olanak sağladı."
— İtalyanca yazılmış fatura temalı e-posta kimlik avı tuzakları, PDF belgeleri gibi görünen JavaScript eklerini başlatmak için kullanılıyor. D3 Lab, "Bu enfeksiyonun en ilginç kısmı başlangıçtaki JavaScript değildi. Kötü amaçlı yazılım, kötü amaçlı bir Google Chrome uzantısı yükledi ve onu Yerel Mesajlaşma Ana Bilgisayarıyla eşleştirdi" dedi. "Bu kombinasyon, Chrome'un içinde çalışan kodun Windows sisteminde PowerShell komutları istemesine olanak sağladı." Saldırı Yüzeyi Olarak Zaman — NCC Group'un yeni araştırması, saat kayması, zaman senkronizasyonu hataları ve kasıtlı osilatör manipülasyonunun kriptografiyi, kimlik doğrulamayı, endüstriyel otomasyonu ve güvenlik sistemlerini zayıflatmak için kullanılabileceğini belirterek, zamanı "birinci sınıf bir saldırı yüzeyi" olarak ele alma ihtiyacını savundu. NCC Group'tan Andy Davis, "Risk, daha geniş teknolojik trendlerle artıyor" dedi. "Bulut bilişim, konteynerleştirme ve sanal makineler, zamanı fiziksel donanımdan uzaklaştırarak onu hipervizörlerin ve orkestrasyon katmanlarının kontrolü altına yerleştiriyor. Aynı zamanda, Endüstriyel Kontrol Sistemleri, Nesnelerin İnterneti cihazları ve güvenlik açısından kritik platformlar, çevresel etkilere ve fiziksel manipülasyona karşı savunmasız olan düşük maliyetli osilatörlere ve ticari bileşenlere giderek daha fazla güveniyor. Bir zamanlar izole edilmiş, deterministik zamanlama kaynaklarına dayanan sistemler artık birbirine bağlı, senkronize edilmiş ve kullanıma açık durumda."
— NCC Group'tan yeni araştırma
zamanın "birinci sınıf bir saldırı yüzeyi" olarak ele alınması gerektiğini savundu ve saat kayması, zaman senkronizasyonu hataları ve kasıtlı osilatör manipülasyonunun kriptografiyi, kimlik doğrulamayı, endüstriyel otomasyonu ve güvenlik sistemlerini zayıflatmak için kullanılabileceğini belirtti. NCC Group'tan Andy Davis, "Risk, daha geniş teknolojik trendlerle artıyor" dedi. "Bulut bilişim, konteynerleştirme ve sanal makineler, zamanı fiziksel donanımdan uzaklaştırarak onu hipervizörlerin ve orkestrasyon katmanlarının kontrolü altına yerleştiriyor. Aynı zamanda, Endüstriyel Kontrol Sistemleri, Nesnelerin İnterneti cihazları ve güvenlik açısından kritik platformlar, çevresel etkilere ve fiziksel manipülasyona karşı savunmasız olan düşük maliyetli osilatörlere ve ticari bileşenlere giderek daha fazla güveniyor. Bir zamanlar izole edilmiş, deterministik zamanlama kaynaklarına dayanan sistemler artık birbirine bağlı, senkronize edilmiş ve kullanıma açık durumda." Tehdit aktörleri Proxy SDK'sı Sunmak İçin Xiongmai DVR Kusurunu İstismara Uğradı — Tehdit aktörleri, Mirai botnet'ten türetilmiş bir HTTP indiricisi kullanarak ticari konut proxy SDK'larını dağıtmak için Xiongmai DVR'deki bir güvenlik açığı olan CVE-2024-3765'ten yararlanıyor. Nokia Deepfield Acil Müdahale Ekibi (ERT) "Tüm DDoS ve tarama kapasitesinin kaldırıldığını" söyledi. "Geriye kalan minimal bir HTTP istemcisi ve yerleşik bir kullanıcı alanı ELF yükleyicisidir; Mirai bir teslimat kamyonuna indirgenmiştir." Başarılı bir uzlaşmanın ardından kurulan ana sahneleyici, bu yılın başlarında Google tarafından kesintiye uğrayan IPIDEA yerleşik proxy ağının bir parçası olan PacketSDK adlı bir proxy ikili dosyasını dağıtıyor. Stager ayrıca her 2 dakikada bir güncellemeler için harici bir sunucuyu yoklayan bir uzaktan kod yürütme arka kapısı içerir.
— Tehdit aktörleri, Mirai botnet'ten türetilmiş bir HTTP indirici kullanarak ticari konut proxy SDK'larını dağıtmak için Xiongmai DVR'deki bir güvenlik açığı olan CVE-2024-3765'ten yararlanıyor. Nokia Deepfield Acil Müdahale Ekibi (ERT) "Tüm DDoS ve tarama kapasitesinin kaldırıldığını" söyledi. "Geriye kalan minimal bir HTTP istemcisi ve yerleşik bir kullanıcı alanı ELF yükleyicisidir; Mirai bir teslimat kamyonuna indirgenmiştir." Başarılı bir uzlaşmanın ardından kurulan ana sahneleyici, bu yılın başlarında Google tarafından kesintiye uğrayan IPIDEA yerleşik proxy ağının bir parçası olan PacketSDK adlı bir proxy ikili dosyasını dağıtıyor. Stager ayrıca her 2 dakikada bir güncellemeler için harici bir sunucuyu yoklayan bir uzaktan kod yürütme arka kapısı içerir. Su Sistemlerinin Ulus-Devlet Hedefi — DomainTools, su ve atık su altyapısının Çin, İran ve Rusya'daki devlet ve devlet bağlantılı aktörler için stratejik baskı noktaları haline geldiği konusunda uyardı. Şirket, "Kronik yetersiz yatırım ve zayıf temel operasyonel teknoloji (OT) güvenliğinin birleşimi, bu kritik sistemlerin çoğunun tehlikeye atılmasını kolaylaştırıyor" dedi. "Bu tür izinsiz girişlerin hem fiziksel hem de psikolojik etkileri olabilir ve aksaklıklar genellikle sivil yaşamı, halk sağlığını ve hükümete olan güveni etkiler."
— DomainTools, su ve atık su altyapısının Çin, İran ve Rusya'daki devlet ve devlet bağlantılı aktörler için stratejik baskı noktaları haline geldiği konusunda uyardı. Şirket, "Kronik yetersiz yatırım ve zayıf temel operasyonel teknoloji (OT) güvenliğinin birleşimi, bu kritik sistemlerin çoğunun tehlikeye atılmasını kolaylaştırıyor" dedi. "Bu tür izinsiz girişlerin hem fiziksel hem de psikolojik etkileri olabilir ve aksaklıklar genellikle sivil yaşamı, halk sağlığını ve hükümete olan güveni etkiler." Anthropic, Alibaba'yı Claude'a Yasadışı Erişim Sağlamakla Suçluyor — Anthropic, Çinli şirket Alibaba'yı "Claude'un yeteneklerini yasadışı bir şekilde ele geçirmeye yönelik en büyük kampanya" olarak tanımladığı şeyle suçladı. Saldırılar, Anthropic'e göre "Alibaba ve Alibaba'nın yapay zeka laboratuvarı Alibaba Qwen ile bağlantılı operatörlerin" "neredeyse 25.000 sahte hesap aracılığıyla Claude ile 28,8 milyondan fazla alışveriş" yaptığı iddia edilen 22 Nisan ile 5 Haziran 2026 arasında gerçekleşti. Damıtma kampanyası, nesnel muhakeme, yazılım mühendisliği ve uzun vadeli görevler gibi yeteneklerini hedef alırken ob kullanarak tespitten kaçındı.
fuscation teknikleri ve proxy ağları.
— Anthropic, Çinli şirket Alibaba'yı "Claude'un yeteneklerini yasadışı bir şekilde ele geçirmeye yönelik en büyük kampanya" olarak tanımladığı şeyle suçladı. Saldırılar, Anthropic'e göre "Alibaba ve Alibaba'nın yapay zeka laboratuvarı Alibaba Qwen ile bağlantılı operatörlerin" "neredeyse 25.000 sahte hesap aracılığıyla Claude ile 28,8 milyondan fazla alışveriş" yaptığı iddia edilen 22 Nisan ile 5 Haziran 2026 arasında gerçekleşti. Damıtma kampanyası, ajansal akıl yürütme, yazılım mühendisliği ve uzun vadeli görevler gibi yeteneklerini hedef alırken, gizleme teknikleri ve proxy ağları kullanarak tespitten kaçındı. Linux Vakfı, Akrites ve OSERA'yı Tanıttı — Linux Vakfı, Akrites'i, yapay zekanın güvenlik açığı keşfinin hem ölçeğini hem de hızını artırması nedeniyle, kritik açık kaynaklı yazılımlardaki güvenlik açıklarını ele almak ve ortaya çıkarmak için koordineli bir çaba olarak duyurdu. Vakıf, "Girişim, koordine edilmemiş raporlar seli yerine bakımcılar için öngörülebilir bir ortak olarak hizmet veren ortak bir SIRT (Güvenlik Olay Müdahale Ekibi) ile koordinasyon, iyileştirme ve açıklama için tek ve güvenilir bir yer sağlıyor" dedi. Girişim ayrıca, kullanımdan önce düzeltmelerin dağıtılmasına yardımcı olmak için kritik altyapı operatörleriyle çalışmayı da planlıyor. Linux Vakfı ayrıca, satıcıdan bağımsız, üretime yönelik bilinçli bir yaklaşımla finansal hizmetler sektörünün temelini oluşturan açık kaynak bileşenlerini güçlendirmeyi amaçlayan bir Açık Kaynak Kurumsal Dayanıklılık İttifakı (OSERA) oluşturma niyetini de duyurdu. Vakıf, "OSERA, yakın zamanda duyurulan, koordineli açıklama ve yukarı akışa olanak tanıyan sektörler arası bir çaba olan Akrites'i tamamlıyor" dedi. "Finansal hizmetler Akrites'i tamamlarken OSERA, yukarı akış sürecinde Akrites ile işbirliği yapacak ve Açık Kaynak Güvenlik Vakfı ile birlikte iyileştirme standartlarının tanımlanmasında sektörün sesini temsil edecek."
— Linux Vakfı, yapay zekanın güvenlik açığı keşfinin hem ölçeğini hem de hızını artırması nedeniyle, Akrites'in kritik açık kaynaklı yazılımlardaki güvenlik açıklarını ele almak ve ortaya çıkarmak için koordineli bir çaba olduğunu duyurdu. Vakıf, "Girişim, koordine edilmemiş raporlar seli yerine bakımcılar için öngörülebilir bir ortak olarak hizmet veren ortak bir SIRT (Güvenlik Olay Müdahale Ekibi) ile koordinasyon, iyileştirme ve açıklama için tek ve güvenilir bir yer sağlıyor" dedi. Girişim ayrıca, kullanımdan önce düzeltmelerin dağıtılmasına yardımcı olmak için kritik altyapı operatörleriyle çalışmayı da planlıyor. Linux Vakfı ayrıca, satıcıdan bağımsız, üretime yönelik bilinçli bir yaklaşımla finansal hizmetler sektörünün temelini oluşturan açık kaynak bileşenlerini güçlendirmeyi amaçlayan bir Açık Kaynak Kurumsal Dayanıklılık İttifakı (OSERA) oluşturma niyetini de duyurdu. Vakıf, "OSERA, yakın zamanda duyurulan, koordineli açıklama ve yukarı akışa olanak tanıyan sektörler arası bir çaba olan Akrites'i tamamlıyor" dedi. "Finansal hizmetler Akrites'i tamamlarken OSERA, yukarı akış sürecinde Akrites ile işbirliği yapacak ve Açık Kaynak Güvenlik Vakfı ile birlikte iyileştirme standartlarının tanımlanmasında sektörün sesini temsil edecek." Microsoft, Windows 10 Tüketiciye Yönelik Genişletilmiş Güvenlik Güncelleştirmelerini Bir Yıl Uzatıyor — Microsoft, Windows 10 tüketicileri için Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) programını sessiz bir şekilde bir yıl uzatarak, uygun kullanıcıların 12 Ekim 2027'ye kadar güncelleştirmeleri almasına izin verdi. Tüketici Windows 10 ESU programına kaydolmak için aygıtların Windows 10, sürüm 22H2 Home, Professional, Pro Education veya İş İstasyonları sürümünü çalıştırması gerekir ve kiosk modundaki veya ağa bağlı aygıtlar için sunulamaz Active Directory etki alanına veya Microsoft Entra'ya sahip olmanız ve/veya bir Mobil Cihaz Yönetimi (MDM) çözümüne kaydolmanız gerekir.
— Microsoft, Windows 10 tüketicileri için Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) programını sessizce bir yıl uzatarak uygun kullanıcıların güncelleştirmeleri 12 Ekim 2027'ye kadar almasına izin verdi. Tüketici Windows 10 ESU'ya kaydolmak için
programı için cihazların Windows 10, sürüm 22H2 Home, Professional, Pro Education veya Workstations sürümünü çalıştırması gerekir ve kiosk modundaki veya bir Active Directory etki alanına veya Microsoft Entra'ya katılmış ve/veya bir Mobil Cihaz Yönetimi (MDM) çözümüne kayıtlı cihazlar için sunulamaz. Microsoft'un Güvenli Önyükleme Sertifikalarının Süresi Doldu — İlgili Microsoft haberlerinde, UEFI Güvenli Önyükleme güvenini yöneten sertifikaların (Microsoft Corporation KEK CA 2011, Microsoft UEFI CA 2011 ve Microsoft UEFI CA 2011) süresi 24 ve 27 Haziran 2026'da sona erdi. Üçüncü bir sertifika olan Microsoft Windows Production PCA 2011'in süresi 19 Ekim 2026'da dolacak. "Birçok Windows PC'si Microsoft, 2024'ten bu yana üretilen cihazların zaten güncellenmiş 2023 sertifikalarına sahip olduğunu söyledi. "Microsoft, geri kalan cihazlar için Windows aylık güncellemeleri aracılığıyla yeni Güvenli Önyükleme sertifikaları sağlıyor ve iş ortağı orijinal ekipman üreticileri (OEM'ler) uyumluluğun sağlanmasına yardımcı olmak amacıyla ürün yazılımı güncellemelerini kullanıma sunuyor." Google Cloud ayrıca Compute Engine Korumalı Sanal Makine örneklerinin, UEFI Güvenli Önyükleme için güncellenmiş Microsoft Güvenli Önyükleme sertifikalarına güvenecek şekilde nasıl güncelleneceğine ilişkin kılavuz da yayınladı. Azure sanal makinelerinde Linux'a yönelik Güvenli Önyükleme sertifikası güncellemelerini uygulamak için burada Microsoft tarafından açıklanan eylemlerin takip edilmesi önerilir. Ayrı olarak, Linux kullanıcılarının şimlerini yeni anahtar tarafından imzalanan en son sürümlere güncellemeleri önerilir. Daha yeni 2023 sertifikalarını almayan cihazların normal şekilde çalışmaya devam edeceğini ve standart Windows güncellemelerinin yüklenmeye devam edeceğini unutmamak önemlidir. Ancak bu cihazlar artık Windows Önyükleme Yöneticisi güncellemeleri, Güvenli Önyükleme veritabanları, iptal listeleri veya yeni keşfedilen önyükleme düzeyindeki güvenlik açıklarına yönelik azaltımlar dahil olmak üzere erken önyükleme işlemi için yeni güvenlik korumaları alamayacak.
— İlgili Microsoft haberlerinde, UEFI Güvenli Önyükleme güvenini yöneten sertifikaların (Microsoft Corporation KEK CA 2011, Microsoft UEFI CA 2011 ve Microsoft UEFI CA 2011) süresi 24 ve 27 Haziran 2026'da sona ermiştir. Üçüncü bir sertifika olan Microsoft Windows Production PCA 2011'in süresi 19 Ekim 2026'da dolacaktır. 2023 sertifikaları" dedi Microsoft. "Microsoft, geri kalan cihazlar için Windows aylık güncellemeleri aracılığıyla yeni Güvenli Önyükleme sertifikaları sağlıyor ve iş ortağı orijinal ekipman üreticileri (OEM'ler) uyumluluğun sağlanmasına yardımcı olmak amacıyla ürün yazılımı güncellemelerini kullanıma sunuyor." Google Cloud ayrıca Compute Engine Korumalı Sanal Makine örneklerinin, UEFI Güvenli Önyükleme için güncellenmiş Microsoft Güvenli Önyükleme sertifikalarına güvenecek şekilde nasıl güncelleneceğine ilişkin kılavuz da yayınladı. Azure sanal makinelerinde Linux'a yönelik Güvenli Önyükleme sertifikası güncellemelerini uygulamak için burada Microsoft tarafından açıklanan eylemlerin takip edilmesi önerilir. Ayrı olarak, Linux kullanıcılarının şimlerini yeni anahtar tarafından imzalanan en son sürümlere güncellemeleri önerilir. Daha yeni 2023 sertifikalarını almayan cihazların normal şekilde çalışmaya devam edeceğini ve standart Windows güncellemelerinin yüklenmeye devam edeceğini unutmamak önemlidir. Ancak bu cihazlar artık Windows Önyükleme Yöneticisi güncellemeleri, Güvenli Önyükleme veritabanları, iptal listeleri veya yeni keşfedilen önyükleme düzeyindeki güvenlik açıklarına yönelik azaltımlar dahil olmak üzere erken önyükleme işlemi için yeni güvenlik korumaları alamayacak. Yeni Zehirli Kiracı Kampanyasında Kullanılan Sahte OpenAI Kuruluş Davetleri — Tehdit aktörlerinin kontrolündeki ChatGPT kiracılarından kimlik avı e-postaları gönderiliyor ve alıcıları, yapay zeka sohbet robotunda paylaşılan hassas bilgileri toplama hedefiyle bir kuruluşa katılmaya davet ediyor. Push Security, "E-postalar OpenAI'nin meşru bildirim adresinden ([email protected]) geldi, tüm standart e-posta kimlik doğrulama kontrollerini geçti ve şirketimize ismiyle atıfta bulundu." dedi. "Tam olarak rutin bir organizasyonel davete benziyorlardı çünkü teknik olarak onlar birdi." Bu gelişme, tehdit aktörlerinin yapay zeka sohbet robotu sohbet paylaşım işlevini,
Kötü amaçlı talimatlar içeren programlar, bunları kötü amaçlı yazılım dağıtım platformlarına dönüştürüyor. Push Security, "Saldırganın, ChatGPT hizmet kesintisini taklit eden tamamen tasarlanmış sahte bir sayfa oluşturmak için ChatGPT'nin kod oluşturma özelliğini kullandığını ve kurbanları, kötü amaçlı bir yürütülebilir dosya sağlayan ChatGPT indirme sayfasının ikna edici bir kopyasına yönlendirdiğini" belirtti. Etkinliğin kod adı LLMShare'dir.
🔧 Siber Güvenlik Araçları
Sulla → Praetorian'ın açık kaynaklı kimlik bilgilerini ve hassas verileri bulmak için dahili ağ SMB dosya paylaşımlarını tarayan açık kaynaklı bir güvenlik aracıdır. Hızlı, düşük gürültülü statik bir ikili dosya olarak çalışarak Active Directory ortamlarını eşler ve bulut anahtarları, parolalar ve belirteçler için bellek içi analiz gerçekleştirmek üzere Titus motoruyla çok katmanlı filtrelemeyi kullanır. Güvenlik ekiplerinin, dahili verilerin kötüye kullanılmadan önce açığa çıkmasını belirlemesine ve düzeltmesine yardımcı olmak için yapılandırılmış, gerçek zamanlı sonuçlar üretir.
Karna → Web uygulamaları için modern, ölçeklenebilir güvenlik sağlamak amacıyla Kong Gateway için özel olarak tasarlanmış bir Web Uygulama Güvenlik Duvarı (WAF) modülüdür. Doğrudan Kong ekosistemine entegre olarak, kuruluşların ayrıntılı güvenlik politikaları uygulamasına ve ağ geçidi katmanındaki kötü amaçlı trafiği filtrelemesine olanak tanıyarak korumanın, önemli bir gecikme eklemeden dağıtılmış hizmetler genelinde tutarlı bir şekilde uygulanmasını sağlar.
Yasal Uyarı: Bu kesinlikle araştırma ve öğrenme amaçlıdır. Resmi bir güvenlik denetiminden geçmedi, bu yüzden onu körü körüne üretime bırakmayın. Kodu okuyun, önce onu bir sanal alanda kırın ve yaptığınız her şeyin yasanın doğru tarafında olduğundan emin olun.
Sonuç
Bu hafta işleri basit tutun. Küçük şeyi kırın, unutulmuş erişimi bulun, birisinin onu yamalamak istediğini söylemesini bekleyin.
Dehaya gerek yok. Sadece yeni hasara yol açan eski hatalar. Kapıyı kapat. Kilitleri kontrol edin.