Bir akış kutusunun bir tehdit modeline ihtiyacı olmamalıdır. Kullanıcı adı alanı, demo deposu, sıfırlama akışı veya tarayıcı izin istemi de olmamalıdır. Bu haftanın sinir bozucu kısmı da bu: Riskli parçalar sıradandı.
Ev cihazları bir yönlendirme örtüsü haline geldi. Temiz kod bir bağımlılıktan kir çıkardı. Kimlik kısayolları kötü bir şekilde eskidi. Yapay zeka sistemleri yanlış talimatlara güvendi. Baştan sona aynı zayıf nokta: güvenin bir katmana çok erken yerleştirilmesi.
Aşağıda tam özetini bulacaksınız, çünkü görünüşe göre bu normal bir hafta olarak kabul ediliyor.
NetNut Yerleşik Proxy Ağı Bozuldu — Google, ABD Federal Soruşturma Bürosu (FBI), Lumen ve diğer ortaklarla iş birliği içinde, Ocak 2026'da IPIDEA'yı devre dışı bırakmasının ardından Popa olarak da bilinen NetNut konut proxy ağına karşı harekete geçti. Google, NetNut tarafından kötü amaçlı yazılım komuta ve kontrolü (C2) için kullanılan Google hesaplarını ve ilgili Google hizmetlerini devre dışı bıraktığını ve Google Play Koruma'yı güncellediğinin yanı sıra, içerdiği bilinen uygulamaları devre dışı bıraktığını söyledi. NetNut SDK'ları. Ağın boyutunun dünya çapında en az 2 milyon cihaz olduğu tahmin ediliyor. Google, "NetNut, akıllı TV'ler ve akış kutuları gibi evlerde yaygın olarak bulunan cihazlar için SDK'lar dağıtarak botnet'ini dolduruyor" dedi ve "BADBOX 2.0 gibi büyük ölçekli botnet'ler için NetNut botnet eklenti bileşenlerini tanımladığını" ekledi. Nihai amaç, bu cihazlar üzerinden rota trafiğini güçlendirmek ve kötü aktörlerin kötü niyetli etkinlikleri maskelemesine olanak sağlamaktır. Cihazlara, satın almadan önce kötü amaçlı yazılım önceden yüklenmiştir veya kullanıcılar bilmeden gizli proxy kodu içeren uygulamaları indirmiştir.
Nasıl Önlem Alınmalı?
WhatsApp Kullanıcı Adlarını Alıyor Ancak Kimliğe Bürünme Endişeleri Yükseliyor — WhatsApp, mesajlaşma platformundaki üç milyardan fazla kullanıcının gizliliğini korumak amacıyla küresel kullanıcı adı rezervasyonlarının başladığını resmen duyurdu. İsteğe bağlı özellik, kullanıcıların telefon numaralarını doğrudan paylaşmak yerine, hizmetteki biriyle kullanıcı adları aracılığıyla bağlantı kurmasına yardımcı olmak için tasarlanmıştır. Özelliğin bu yılın sonlarında genel kullanıma sunulması bekleniyor. Kullanıma sunma, insanların mesajlaşma uygulamasında birbirlerini nasıl tanımladıkları konusunda bir değişime işaret ediyor. Ayrıca en büyük pazarı olan Hindistan'da da kamu otoritelerini, finansal kurumları, devlet dairelerini ve diğer önde gelen isimleri taklit etmek amacıyla kötüye kullanılabileceği endişesi nedeniyle incelemelere maruz kaldı. Meta, TechCrunch'a kamuya mal olmuş kişiler, devlet kurumları ve bunların bazı varyasyonları için kullanıcı adlarını ayırdığını, böylece yalnızca meşru kullanıcıların bunları talep edebileceğini söylese de, hangi benzer kullanıcı adlarının ayrılacağına ve hangilerinin ayrılmayacağına nasıl karar verdiği şu anda açık değil.
Sonuç ve Değerlendirme
— WhatsApp, mesajlaşma platformundaki üç milyardan fazla kullanıcının gizliliğini korumak amacıyla kullanıcı adlarının küresel rezervasyonlarının başladığını resmen duyurdu. İsteğe bağlı özellik, kullanıcıların telefon numaralarını doğrudan paylaşmak yerine, hizmetteki biriyle kullanıcı adları aracılığıyla bağlantı kurmasına yardımcı olmak için tasarlanmıştır. Özelliğin bu yılın sonlarında genel kullanıma sunulması bekleniyor. Kullanıma sunma, insanların mesajlaşma uygulamasında birbirlerini nasıl tanımladıkları konusunda bir değişime işaret ediyor. Ayrıca en büyük pazarı olan Hindistan'da da kamu otoritelerini, finansal kurumları, devlet dairelerini ve diğer önde gelen isimleri taklit etmek amacıyla kötüye kullanılabileceği endişesi nedeniyle incelemelere maruz kaldı. Meta, TechCrunch'a kamuya mal olmuş kişiler, devlet kurumları ve bunların bazı varyasyonları için kullanıcı adlarını ayırdığını, böylece yalnızca meşru kullanıcıların bunları talep edebileceğini söylese de, hangi benzer kullanıcı adlarının ayrılacağına ve hangilerinin ayrılmayacağına nasıl karar verdiği şu anda açık değil. ChocoPoC RAT, Sahte PoC Exploit Repo'larıyla Güvenlik Açığı Araştırmacılarını Hedef Alıyor — GitHub'da yeni CVE'lerden yararlandığını iddia eden Python tabanlı kavram kanıtı (PoC) depolarını arayan güvenlik araştırmacıları, ChocoPoC sağlayan kötü amaçlı kod çalıştırmaları için kandırılıyor. PoC'nin kendisi temiz görünse de asıl kötü amaçlı yazılım, PoC tarafından çekilen "skytext" adlı bir bağımlılığın içinde bulunur. Kötü amaçlı yazılım, Chrome, Brave, Edge ve Firefox'tan şifreleri, çerezleri, otomatik doldurmayı ve geçmişi toplayabilen tam özellikli bir truva atıdır. Ayrıca metin dosyalarını, notları, yerel veritabanlarını, kabuk geçmişini, ağ ayarlarını ve çalışan işlemlerin bir listesini yakalar ve ayrıca isteğe bağlı kabuk komutlarını veya Python kodunu çalıştırmayı destekler.
— GitHub'da yeni CVE'lerden yararlandığını iddia eden Python tabanlı kavram kanıtlama (PoC) depolarını arayan güvenlik araştırmacıları, ChocoPoC sağlayan kötü amaçlı kod çalıştırmaları için kandırılıyor. ne PoC'nin kendisi temiz göründüğünde, gerçek kötü amaçlı yazılım, PoC tarafından çekilen "skytext" adlı bir bağımlılığın içinde bulunur. Kötü amaçlı yazılım, Chrome, Brave, Edge ve Firefox'tan şifreleri, çerezleri, otomatik doldurmayı ve geçmişi toplayabilen tam özellikli bir truva atıdır. Ayrıca metin dosyalarını, notları, yerel veritabanlarını, kabuk geçmişini, ağ ayarlarını ve çalışan işlemlerin bir listesini yakalar ve ayrıca isteğe bağlı kabuk komutlarını veya Python kodunu çalıştırmayı destekler. 19 Yaşındaki Dağınık Örümcek İddiası ABD'ye İade Edildi - ABD ve Estonya çifte vatandaşlığına sahip 19 yaşındaki Peter Stokes (diğer adıyla Bouquet, Spencer ve Jordan), Scattered Spider hack grubuyla bağlantılı bir suç planına karışması nedeniyle cezai suçlamalarla yüzleşmek üzere Finlandiya'dan ABD'ye iade edildi. Finlandiya polisi onu Nisan 2026'da tutukladı. Stokes ve diğer Scattered Spider üyelerinin, Mayıs 2025'te adı belirtilmeyen bir "lüks mücevher perakendecisine" tecavüz ettikleri ve kripto para biriminden 8 milyon dolarlık fidye talep ettikleri iddia ediliyor. Şirket iş kesintisi, olaylara müdahale ve kurtarma çalışmalarından dolayı en az 2 milyon dolar zarara uğradı. Adalet Bakanlığı, Stokes'un en az dört Dağınık Örümcek ihlaline karıştığını söyledi. Stokes dolandırıcılık, komplo ve bilgisayara izinsiz giriş suçlamalarıyla karşı karşıya bulunuyor.
Sistem Güvenliği
— Peter Stokes (diğer adıyla Bouquet, Spencer ve Jordan), ABD ve Estonya çifte vatandaşlığına sahip 19 yaşında bir adam, Scattered Spider hack grubuyla bağlantılı bir suç planına karışması nedeniyle cezai suçlamalarla yüzleşmek üzere Finlandiya'dan ABD'ye iade edildi. Finlandiya polisi onu Nisan 2026'da tutukladı. Stokes ve diğer Scattered Spider üyelerinin, Mayıs 2025'te adı belirtilmeyen bir "lüks mücevher perakendecisine" tecavüz ettikleri ve kripto para biriminden 8 milyon dolarlık fidye talep ettikleri iddia ediliyor. Şirket iş kesintisi, olaylara müdahale ve kurtarma çalışmalarından dolayı en az 2 milyon dolar zarara uğradı. Adalet Bakanlığı, Stokes'un en az dört Dağınık Örümcek ihlaline karıştığını söyledi. Stokes dolandırıcılık, komplo ve bilgisayara izinsiz giriş suçlamalarıyla karşı karşıya bulunuyor. Ousaban Bankacılık Truva Atı İspanya ve Portekiz'i Hedef Alıyor — Ousaban adlı yeni bir Brezilya bankacılık truva atının, kullanıcının ortamını tarayan kötü amaçlı bir web sayfasına bağlantı içeren sahte PDF belgeleri kullandığı gözlemlendi. Fortinet, "İspanya veya Portekiz'deyse, web sayfası saldırının bir sonraki bölümünü başlatmak için bir VBS dosyası indiriyor" dedi. "Son yük, kurbanın bilgisayarına bırakılan ve VBS betiği tarafından çalıştırılan bir EXE dosyasıdır." Ousaban, kurbanlar bir bankacılık sitesini ziyaret ettiğinde tetikleniyor; bu noktada ekran görüntülerini ve tuş vuruşlarını yakalıyor, panoya müdahale ediyor ve uzaktan kontrolü mümkün kılıyor.
— Ousaban adlı yeni bir Brezilya bankacılık truva atının, kullanıcının ortamını tarayan kötü amaçlı bir web sayfasına bağlantı içeren sahte PDF belgeleri kullandığı gözlemlendi. Fortinet, "İspanya veya Portekiz'deyse, web sayfası saldırının bir sonraki bölümünü başlatmak için bir VBS dosyası indiriyor" dedi. "Son yük, kurbanın bilgisayarına bırakılan ve VBS betiği tarafından çalıştırılan bir EXE dosyasıdır." Ousaban, kurbanlar bir bankacılık sitesini ziyaret ettiğinde tetikleniyor; bu noktada ekran görüntülerini ve tuş vuruşlarını yakalıyor, panoya müdahale ediyor ve uzaktan kontrolü mümkün kılıyor. Yapay Zeka Tarafından Üretilen Tarayıcı Fidye Yazılımı Chromium Dosya Erişimi API'sinden Yararlanıyor — DeepSeek kullanılarak oluşturulan yeni bir kötü amaçlı yazılım yapısı, "gerçekçi olmayan tarayıcı-kötü amaçlı yazılım kavramlarını gerçek bir tarayıcı özelliğiyle" birleştirerek onu tamamen Windows, Linux, macOS ve Android cihazlarda tarayıcının içinde çalışan, çalışan bir fidye yazılımı tekniğine dönüştüren yeni bir saldırı yolu oluşturdu. Yaklaşım, seçici tabanlı Dosya Sistemi Erişim API'sini açığa çıkaran web tarayıcılarıyla sınırlıdır. Buna Google Chrome ve Windows, macOS, ChromeOS, Linux ve Android'deki diğer Chromium tabanlı tarayıcılar dahildir. Tarayıcıya özgü fidye yazılımı modelinin vahşi ortamda kötüye kullanıldığına dair hiçbir kanıt yok. Check Point, "Tanık olduğumuz şey, yeni siber saldırıların nasıl doğduğuna dair temel bir değişimdir" dedi. "İlk kez, bir yapay zeka modelinin meşru platform özellikleri arasında bağımsız olarak akıl yürütebildiğine ve saldırganın temeldeki API'nin varlığından haberi olmadan, insanların yalnızca teorileştirdiği çalışan bir saldırı tekniğini ortaya çıkarabildiğine dair kanıtımız var."
Teknik Analiz
Hatalar haftalık olarak düşüyor ve yama ile açıktan yararlanma arasındaki fark hızla daralıyor. Bunlar haftanın ağır vurucuları: yüksek şiddette, yaygın olarak kullanılan veya halihazırda vahşi doğada dürtülmekte olan.
Listeyi kontrol et dostum Elinizde olanı kullanın ve önce acil olarak işaretlenenlere gidin — CVE-2026-48276, CVE-2026-48283, CVE-2026-48277, CVE-2026-48281, CVE-2026-48316, CVE-2026-48282, CVE-2026-48313, CVE-2026-48315 (Adobe ColdFusion), CVE-2026-48286 (Adobe Campaign Classic), CVE-2026-50548, CVE-2026-50549 (İmleç), CVE-2026-46242 diğer adıyla Bad Epoll (Linux Çekirdeği), CVE-2026-6682, CVE-2026-6687, CVE-2026-6688 (FatFs), CVE-2026-8037 (Progress Kemp LoadMaster), CVE-2026-28701, CVE-2026-33560, CVE-2026-31928 (Daktronics Denetleyici Firmware), CVE-2026-41120 (Dell Wyse Management Suite), CVE-2026-41492 (Dgraph), CVE-2026-55047 (Anthropic Buffa), CVE-2026-13774'ten CVE-2026-13788'e (Google Chrome), CVE-2026-48519, CVE-2026-48520, CVE-2026-7528, CVE-2026-7524 (Langflow), CVE-2026-3199 (Sonatype Nexus Repository), CVE-2026-12166, CVE-2026-12167, CVE-2026-12168 (Little Orbits GameFirst Anti-Cheat sürücüsü), CVE-2026-56141, CVE-2026-56142, CVE-2026-50242, CVE-2026-50242 (JetBrains), CVE-2026-20213, CVE-2026-20214, CVE-2026-20215, CVE-2026-20216, CVE-2026-20217, CVE-2026-20243, CVE-2026-20244 (ClamAV), CVE-2026-20191 (Cisco Katalizör Merkezi), CVE-2026-53917, CVE-2026-54475, CVE-2026-49877 (Apache ActiveMQ), CVE‑2026‑13050, CVE‑2026‑13053, CVE‑2026‑13054, CVE-2026-13079 (WatchGuard Fireware OS), CVE-2026-45504 (Microsoft Exchange Server), CVE-2026-14191 (WinRAR), CVE-2026-44024, CVE-2026-44025 (Fluentd), CVE-2026-55957, CVE-2026-55956 (Apache Tomcat), CVE-2026-13136, CVE-2025-15660 (Synology) MailPlus Sunucusu), CVE-2026-22678, CVE-2026-49102, CVE-2026-49103, CVE-2026-42210, CVE-2026-56022 (Webmin), CVE-2026-12044'ten CVE-2026-12050'ye (pgAdmin), CVE-2025-66273, CVE-2025-66279, CVE-2026-22893 (QNAP QTS, QuTS kahramanı, QuTS bulutu ve QVP), CVE-2026-11310, CVE-2026-11999, CVE-2026-6679, CVE-2026-55958, CVE-2026-55960, CVE-2026-55961 (wolfSSL), CVE-2026-48611 (phpBB) ve CVE-2026-20896 (Gitea).
Uzmanların Görüşleri
🎥 Siber Güvenlik Web Seminerleri
Yapay Zeka Saldırıları Savunmalarınızdan Daha Hızlı İlerliyor → Yapay zeka, saldırganların daha iyi yemler yazmasına, taktikleri daha hızlı değiştirmesine ve birçok güvenlik ekibinin başa çıkamayacağı ölçekte kampanyalar yürütmesine yardımcı oluyor. Bu web semineri, Mythos gibi yapay zeka destekli tehditlerin nasıl erişim kazandığını, ortamlarda nasıl hareket ettiğini ve geleneksel ağ tabanlı savunmaların sınırlarını nasıl ortaya çıkardığını ayrıntılarıyla anlatıyor; ardından ekiplerin saldırı yüzeyini nasıl azaltabileceğini, yanal hareketi nasıl durdurabileceğini ve büyük bir olaya dönüşmeden önce riskli davranışları nasıl kontrol altına alabileceğini gösteriyor.
Gelecekte Ne Bekleniyor?
→ Yapay zeka, saldırganların daha iyi yemler yazmasına, taktikleri daha hızlı değiştirmesine ve birçok güvenlik ekibinin başa çıkamayacağı ölçekte kampanyalar yürütmesine yardımcı oluyor. Bu web semineri, Mythos gibi yapay zeka destekli tehditlerin nasıl erişim kazandığını, ortamlarda nasıl hareket ettiğini ve geleneksel ağ tabanlı savunmaların sınırlarını nasıl ortaya çıkardığını ayrıntılarıyla anlatıyor; ardından ekiplerin saldırı yüzeyini nasıl azaltabileceğini, yanal hareketi nasıl durdurabileceğini ve büyük bir olaya dönüşmeden önce riskli davranışları nasıl kontrol altına alabileceğini gösteriyor. Yapay Zeka Aracılarınızın Bir Acil Durum Anahtarına İhtiyacı Var → Yapay zeka aracıları hata yapmaktan daha fazlasını yapabilir; kimlik bilgilerini açığa çıkarabilir, kontrolleri atlayabilir ve işletme içinde yeni bir saldırı yüzeyi haline gelebilirler. Bu web semineri, ajansal yapay zekanın nerede bozulduğunu, korkulukların neden yeterli olmadığını ve ekiplerin kimlik tabanlı yönetişim, en az ayrıcalıklı erişim, kısa ömürlü sırlar, günlük kaydı, denetim ve gölge yapay zeka kullanımına ilişkin görünürlük ile riski nasıl azaltabileceğini göstermek için OpenClaw testinden elde edilen uygulamalı bulguları kullanır.
Dolaylı İstem Ekleme Saldırıları, Yazım Hatası ve Ödeme Dolandırıcılığı için Yapay Zeka Aracılarını Hedef Alır — Tehdit aktörleri, web sitelerindeki talimatları gizlemek için dolaylı istem enjeksiyonu (IPI) kullanıyor ve bir yapay zeka aracısını saldırganın talimatlarını takip etmesi için kandırmaya çalışıyor. Zscaler, "Gözlemlenen kampanyalar, hem arama sonuçlarını manipüle etmek hem de AI karar verme sürecini etkileyen hızlı stil talimatlarını gizlemek için SEO zehirlenmesini CSS/HTML kötüye kullanımıyla birleştiriyor." dedi. "Yapay zeka aracıları, kötü amaçlı web sitelerini meşru olarak yanlış sınıflandırdığında, bağlamın kirlenmesi ve aşağı yönde Erişimle Artırılmış Üretim (RAG) zehirlenmesi riskini artırır."
— Tehdit aktörleri, web sitelerindeki talimatları gizlemek için dolaylı istem enjeksiyonu (IPI) kullanıyor ve bir yapay zeka ajanını saldırganın talimatlarını takip etmesi için kandırmaya çalışıyor. Zscaler, "Gözlemlenen kampanyalar, hem arama sonuçlarını manipüle etmek hem de AI karar verme sürecini etkileyen hızlı stil talimatlarını gizlemek için SEO zehirlenmesini CSS/HTML kötüye kullanımıyla birleştiriyor." dedi. "Yapay zeka aracıları, kötü amaçlı web sitelerini meşru olarak yanlış sınıflandırdığında, bağlamın kirlenmesi ve aşağı yönde Erişimle Artırılmış Üretim (RAG) zehirlenmesi riskini artırır." Filin Bırakılması rs Bellek İçi RAT — Dropping Elephant (diğer adıyla Patchwork) olarak bilinen tehdit aktörünün, büyük ölçüde yeniden işlenmiş, bellek içi uzaktan erişim truva atı (RAT) sunmak için Çin temalı bir enerji sektörü sözleşme tuzağı kullandığı gözlemlendi. Rapid7, "Bu kampanya, meşru bir Microsoft ikili programı (Fondue.exe) ile DLL'nin yandan yüklenmesi ve RAT'ı doğrudan belleğe eşlemek için 'Donut' kabuk kodunun kullanılması ve geleneksel disk tabanlı güvenlik kontrollerini etkili bir şekilde atlaması dahil olmak üzere gelişmiş kaçırma tekniklerini gösteriyor." dedi. "Yenilenen RAT, kontrol akışı düzleştirme, çalışma zamanı API'sinin yeniden yapılandırılması ve güçlendirilmiş C2 iletişimini kullanarak algılamayı önemli ölçüde karmaşık hale getiriyor." Kötü amaçlı yazılım, dizin listeleme, dosya yükleme/indirme, ekran görüntüsü yakalama ve komut yürütme özelliklerini destekler.
Detaylar ve Etkileri
— Dropping Elephant (diğer adıyla Patchwork) olarak bilinen tehdit aktörünün, büyük ölçüde yeniden işlenmiş, bellek içi uzaktan erişim truva atı (RAT) sunmak için Çin temalı bir enerji sektörü sözleşme yemi kullandığı gözlemlendi. Rapid7, "Bu kampanya, meşru bir Microsoft ikili programı (Fondue.exe) ile DLL'nin yandan yüklenmesi ve RAT'ı doğrudan belleğe eşlemek için 'Donut' kabuk kodunun kullanılması ve geleneksel disk tabanlı güvenlik kontrollerini etkili bir şekilde atlaması dahil olmak üzere gelişmiş kaçırma tekniklerini gösteriyor." dedi. "Yenilenen RAT, kontrol akışı düzleştirme, çalışma zamanı API'sinin yeniden yapılandırılması ve güçlendirilmiş C2 iletişimini kullanarak algılamayı önemli ölçüde karmaşık hale getiriyor." Kötü amaçlı yazılım, dizin listeleme, dosya yükleme/indirme, ekran görüntüsü yakalama ve komut yürütme özelliklerini destekler. Microsoft, SSPR'yi Kayıtlı Kimlik Doğrulama Yöntemlerini Gerektirecek Şekilde Güncelliyor - 7 Eylül 2026'dan itibaren Microsoft, Entra self-servis parola sıfırlamanın, kullanıcıların parola sıfırlama doğrulaması için açıkça kayıtlı kimlik doğrulama yöntemlerine sahip olmasını gerektireceğini, ancak kayıtlı olmadığı sürece dizin kaynaklı iletişim bilgilerine açıkça izin vermeyeceğini söyledi. Microsoft, "Şu anda SSPR, kullanıcıların cep telefonu, iş telefonu ve alternatif e-posta gibi dizin niteliklerinde saklanan iletişim bilgilerini kullanarak, bu değerler hiçbir zaman açıkça kimlik doğrulama yöntemleri olarak kaydedilmemiş olsa bile kimliklerini doğrulamalarına izin verebilir" dedi. "Kimlik güvenliğini güçlendirmek amacıyla, SSPR, doğrulama için açıkça kayıtlı kimlik doğrulama yöntemleri gerektirecektir. Bu değişiklik, Microsoft'un Güvenli Gelecek Girişiminin bir parçasıdır ve parola sıfırlama doğrulamasının, dizin kaynaklı özellikler yerine güvenilir, kullanıcı tarafından doğrulanan yöntemlere dayalı olmasını sağlar." Bu gelişme, Windows üreticisinin hem iOS hem de Android platformlarındaki Microsoft Authenticator uygulamasında Entra kimlik bilgileri için jailbreak ve root tespitini sunması ve Entra kimlik bilgilerinin jailbreakli/rootlu cihazlarda çalışmasını engellemesiyle birlikte geliyor.
Önemli Gelişmeler
— 7 Eylül 2026'dan itibaren Microsoft, Entra'nın self servis şifre sıfırlamasının, kullanıcıların şifre sıfırlama doğrulaması için açıkça kayıtlı kimlik doğrulama yöntemlerine sahip olmasını gerektireceğini, ancak kayıtlı olmadığı sürece dizin kaynaklı iletişim bilgilerine açıkça izin vermeyeceğini söyledi. Microsoft, "Şu anda SSPR, kullanıcıların cep telefonu, iş telefonu ve alternatif e-posta gibi dizin niteliklerinde saklanan iletişim bilgilerini kullanarak, bu değerler hiçbir zaman açıkça kimlik doğrulama yöntemleri olarak kaydedilmemiş olsa bile kimliklerini doğrulamalarına izin verebilir" dedi. "Kimlik güvenliğini güçlendirmek amacıyla, SSPR, doğrulama için açıkça kayıtlı kimlik doğrulama yöntemleri gerektirecektir. Bu değişiklik, Microsoft'un Güvenli Gelecek Girişiminin bir parçasıdır ve parola sıfırlama doğrulamasının, dizin kaynaklı özellikler yerine güvenilir, kullanıcı tarafından doğrulanan yöntemlere dayalı olmasını sağlar." Bu gelişme, Windows üreticisinin hem iOS hem de Android platformlarındaki Microsoft Authenticator uygulamasında Entra kimlik bilgileri için jailbreak ve root tespitini sunması ve Entra kimlik bilgilerinin jailbreakli/rootlu cihazlarda çalışmasını engellemesiyle birlikte geliyor. Dolandırıcılar, Casino Trafiğini Artırmak İçin Güvenilir Marka Adlarını İstismar Ediyor — Dolandırıcılık reklam kampanyaları, tüketicileri ilgisiz çevrimiçi kumar sitelerine yönlendirmek için güvenilir markaların kimliğine bürünüyor. Netcraft, "Bu kampanyalar, kullanıcıları tanınmış markaların 'resmi' kumarhane veya slot ürünlerini piyasaya sürdüklerine inandırmak için ücretli sosyal reklamlar, sahte uygulama mağazası sayfaları ve Progresif Web Uygulamaları kullanıyor." dedi. "Dolandırıcılık, Facebook, Instagram ve TikTok gibi sosyal medya platformlarındaki bir reklamla başlıyor. Reklam, tanınabilir bir markanın '[Marka] Slotları' veya benzer bir kumar ürününü piyasaya sürdüğünü iddia ediyor. Reklamla etkileşimde bulunulduğunda kullanıcı, resmi bir uygulama mağazası listesi veya markalı oyun sayfası gibi görünecek şekilde tasarlanmış sahte bir açılış sayfasına yönlendiriliyor. Bunun yerine, Gerçek bir uygulamayı yükledikten sonra kullanıcıdan, bağlı kuruluş izleme bağlantıları aracılığıyla alakasız bir çevrimiçi kumarhane açan, cihazına bir Progresif Web Uygulaması eklemesi istenir."
— Dolandırıcılık reklam kampanyaları, tüketicileri ilgisiz çevrimiçi kumar sitelerine yönlendirmek için güvenilir markaların kimliğine bürünüyor. Netcraft, "Bu kampanyalar, kullanıcıları tanınmış markaların 'resmi' kumarhane veya slot ürünlerini piyasaya sürdüklerine inandırmak için ücretli sosyal reklamlar, sahte uygulama mağazası sayfaları ve Progresif Web Uygulamaları kullanıyor." dedi. "Dolandırıcılık, Facebook, Instagram ve TikTok gibi sosyal medya platformlarındaki bir reklamla başlıyor. Reklamda, tanınabilir bir markanın '[Marka] Slotları' veya benzer bir kumar ürününü piyasaya sürdüğü iddia ediliyor. Kullanıcı, reklamla etkileşim kurduğunda resmi bir uygulama mağazası listesi veya markalı oyun sayfası gibi görünecek şekilde tasarlanmış sahte bir açılış sayfasına yönlendirilir. Gerçek bir uygulama yüklemek yerine kullanıcıdan, bağlı kuruluş izleme bağlantıları aracılığıyla ilgisiz bir çevrimiçi kumarhane açan, cihazına Progresif Web Uygulaması eklemesi istenir." Gizlemeye Dayalı Kimlik Avı Tehditlerine Karşı Bir Yol Olarak PhishLumos — Kimlik avı siber güvenlikte kalıcı bir tehdit olmaya devam ederken, Tokyo Metropolitan Üniversitesi ve NTT Security Holdings'ten araştırmacılar, gizleme ve seçici engelleme teknikleri yoluyla otomatik tarayıcılardan kaçan kampanyalara karşı PhishLumos'u gösterdi. "İçerik eksik olduğunda, Yanıltıcı veya erişilemez olan PhishLumos, paylaşılan alanlar, IP adresleri, sertifikalar ve geçmiş tarama meta verileri de dahil olmak üzere altyapı kanıtlarına yöneliyor" dedi araştırmacılar. "Denetlenebilir araştırmalar için deterministik, bağımsız bir birleştirme operatörü ve kaynağı ile gözlemleri yazılı bir özellik grafiği bilgi tabanında birleştiriyor. Bir denetleyici aracı, kampanyaların profilini çıkarmak ve mevcut kontrollerde kullanıma yönelik ampirik olarak doğrulanmış tespit kuralları oluşturmak için büyük dil modelleri tarafından desteklenen uzman aracıları ve sentez aracılarını koordine eder."
— Kimlik avı siber güvenlikte kalıcı bir tehdit olmaya devam ederken, Tokyo Metropolitan Üniversitesi ve NTT Security Holdings'ten araştırmacılar, PhishLumos'un, gizleme ve seçici engelleme teknikleri yoluyla otomatik tarayıcılardan kaçan kampanyalara karşı olduğunu gösterdi. Araştırmacılar, "İçerik eksik, aldatıcı veya erişilemez olduğunda PhishLumos, paylaşılan alanlar, IP adresleri, sertifikalar ve geçmiş tarama meta verileri dahil olmak üzere altyapı kanıtlarına yöneliyor" dedi. "Denetlenebilir araştırmalar için deterministik, bağımsız bir birleştirme operatörü ve kaynağı ile gözlemleri yazılı bir özellik grafiği bilgi tabanında birleştirir. Bir denetleyici aracı, kampanyaların profilini çıkarmak ve mevcut kontrollerde kullanıma yönelik ampirik olarak doğrulanmış algılama kuralları oluşturmak için büyük dil modelleri tarafından desteklenen uzman aracıları ve sentez aracılarını koordine eder." Yapay Zeka Çağında CVE Patlaması — Yapay zeka (AI) ve büyük dil modellerinin (LLM'ler) güvenlik açığı keşfini hızlandırmasıyla ProjectDiscovery'nin yeni bir raporu, 2026'da şu ana kadar 30.550 CVE'nin yayınlandığını buldu; bu rakamın 2025'teki rakamı gölgede bırakması bekleniyor. Bunlardan 49.458'i kritik, 11.187'si ise yüksek önem derecesine sahip. Buna karşılık, 2023'te toplam 30.361 CVE yayınlandı. ProjectDiscovery, "Kullanılabilir yüzey, savunucuların kaldırabileceğinden daha hızlı iki katına çıkıyor" dedi. Bu bir süreç değil, açık bir kapıdır. Saldırganlar hataları yapay zeka ile dakikalar içinde silah haline getiriyorsa, yanıtın, bunların gerçek olduğunun kanıtlanmasının ve geliştiricilere bir düzeltme sağlanmasının bir takvime göre değil, sürekli ve özerk bir şekilde yürütülmesi gerekir."
— Yapay zeka (AI) ve büyük dil modellerinin (LLM'ler) güvenlik açığı keşfini hızlandırmasıyla ProjectDiscovery'nin yeni bir raporu, 2026'da şu ana kadar 30.550 CVE'nin yayınlandığını ortaya çıkardı; bu rakamın 2025'teki 49.458 CVE'yi gölgede bırakması bekleniyor. Bunlardan 2.906'sı kritik, 11.187'si ise yüksek önem derecesine sahip. Buna karşılık, 2023'te toplam 30.361 CVE yayınlandı. ProjectDiscovery, "Kullanılabilir yüzey, savunucuların karşılayabileceğinden daha hızlı iki katına çıkıyor" dedi. Ortalama yararlanma süresi gün ve ortalama negatif olduğunda, 55 günlük kritik iyileştirme döngüsü bir süreç değil, açık bir kapıdır. Saldırganlar hataları yapay zeka ile dakikalar içinde silah haline getiriyorsa, yanıt verme, onları bulma, bunların gerçek olduğunu kanıtlama ve geliştiricilere bir düzeltme sunma, bir takvime bağlı değil, sürekli ve özerk bir şekilde çalışmalıdır." Yeni ClickFix Kampanyası Blockchai'yi Kullanıyor n C2 — Aktif bir hizmet olarak kötü amaçlı yazılım (MaaS) işlemi, ClickFix cazibesi ile esnek bir C2 yapılandırması olarak Polygon (MATIC) blok zincirini kötüye kullanıyor. Kampanya kapsamında şu ana kadar 130'dan fazla güvenliği ihlal edilmiş yem web sitesi tespit edildi. Palo Alto Networks Birim 42, "İhlal edilmiş web sitelerine tracker.js adlı bir komut dosyası enjekte ediliyor ve 'JokerStat Analytics Tracker' olarak görünüyor" dedi. "Panoya yerleştirmeye ek olarak, bu komut dosyası her 2 dakikada bir ekran görüntüsü ve kurban oturumu telemetri sızıntısı gerçekleştiriyor." Bir kurban güvenliği ihlal edilmiş bir siteyi ziyaret ettiğinde enjekte edilen JavaScript, C2 sunucusu URL'sini getirmek için bir blockchain araması gerçekleştirir. Unit 42, "C2 çözümünün ardından tracker.js, sayfa görüntüleme olayları, kalp atışı ve ekran görüntüleri de dahil olmak üzere kurban telemetrisini toplamaya başlıyor" dedi. "Aynı tracker.js daha sonra kurban başına kişiselleştirilmiş pano içeriğini enjekte ediyor. Kurban sahte bir CAPTCHA katmanı görüyor ve ClickFix saldırısına yol açan talimatları izliyor." Saldırı, Ruby ile yazılmış bir bilgi hırsızının konuşlandırılmasıyla doruğa ulaşır.
— Aktif bir hizmet olarak kötü amaçlı yazılım (MaaS) işlemi, ClickFix cazibesi ile esnek bir C2 yapılandırması olarak Polygon (MATIC) blok zincirini kötüye kullanıyor. Kampanya kapsamında şu ana kadar 130'dan fazla güvenliği ihlal edilmiş yem web sitesi tespit edildi. Palo Alto Networks Birim 42, "İhlal edilmiş web sitelerine tracker.js adlı bir komut dosyası enjekte ediliyor ve 'JokerStat Analytics Tracker' olarak görünüyor" dedi. "Panoya yerleştirmeye ek olarak, bu komut dosyası her 2 dakikada bir ekran görüntüsü ve kurban oturumu telemetri sızıntısı gerçekleştiriyor." Bir kurban güvenliği ihlal edilmiş bir siteyi ziyaret ettiğinde enjekte edilen JavaScript, C2 sunucusu URL'sini getirmek için bir blockchain araması gerçekleştirir. Unit 42, "C2 çözümünün ardından tracker.js, sayfa görüntüleme olayları, kalp atışı ve ekran görüntüleri de dahil olmak üzere kurban telemetrisini toplamaya başlıyor" dedi. "Aynı tracker.js daha sonra kurban başına kişiselleştirilmiş pano içeriğini enjekte ediyor. Kurban sahte bir CAPTCHA katmanı görüyor ve ClickFix saldırısına yol açan talimatları izliyor." Saldırı, Ruby ile yazılmış bir bilgi hırsızının konuşlandırılmasıyla doruğa ulaşır. 2 Venezuela Vatandaşına ATM İkramiye Saldırılarından Ceza Verildi — Venezüellalı iki yasa dışı uzaylı, 36 yaşındaki Carlos Javier Padron ve 37 yaşındaki Arnoldo Cabrera Torrealba, ATM'lerde büyük ikramiye faaliyetlerine karıştıkları gerekçesiyle ABD'de 78 ay hapis cezasına çarptırıldı. İki kişi, bir kez banka soygunu yapmak için komplo kurma, bir kez de bilgisayar dolandırıcılığı ve korunan bir bilgisayara kasıtlı zarar verme suçlarını kabul etti. Sanıklar, Ploutus kötü amaçlı yazılımının bir çeşidini ülke genelindeki ATM'lerde oluşturup dağıttı ve bunu izinsiz para çekmek için kullandı. ABD Adalet Bakanlığı, "Komplo, Padron ve Torrealba'nın da aralarında bulunduğu kişilerin Ploutus zararlı yazılımını ATM'lere bizzat dağıtmasına dayanıyordu" dedi. "Kötü amaçlı yazılım yüklendikten ve etkinleştirildikten sonra, işbirlikçilerin ATM'nin nakit dağıtım modülüne izinsiz para çekilmesini sağlamak için komutlar vermelerine olanak sağladı." Padron ve Torrealba'nın ayrıca tazminat olarak ortaklaşa 1,53 milyon dolar ödemesine de karar verildi. Operasyondaki rollerinden dolayı 90'dan fazla sanık suçlandı.
— Venezüellalı iki yasadışı uzaylı, 36 yaşındaki Carlos Javier Padron ve 37 yaşındaki Arnoldo Cabrera Torrealba, ATM'lerde ikramiye faaliyetlerine karıştıkları gerekçesiyle ABD'de 78 ay hapis cezasına çarptırıldı. İki kişi, bir kez banka soygunu yapmak için komplo kurma, bir kez de bilgisayar dolandırıcılığı ve korunan bir bilgisayara kasıtlı zarar verme suçlarını kabul etti. Sanıklar, Ploutus kötü amaçlı yazılımının bir çeşidini ülke genelindeki ATM'lerde oluşturup dağıttı ve bunu izinsiz para çekmek için kullandı. ABD Adalet Bakanlığı, "Komplo, Padron ve Torrealba'nın da aralarında bulunduğu kişilerin Ploutus zararlı yazılımını ATM'lere bizzat dağıtmasına dayanıyordu" dedi. "Kötü amaçlı yazılım yüklendikten ve etkinleştirildikten sonra, işbirlikçilerin ATM'nin nakit dağıtım modülüne izinsiz para çekilmesini sağlamak için komutlar vermelerine olanak sağladı." Padron ve Torrealba'nın ayrıca tazminat olarak ortaklaşa 1,53 milyon dolar ödemesine de karar verildi. Operasyondaki rollerinden dolayı 90'dan fazla sanık suçlandı. Microsoft Entra Koşullu Erişim Politikalarını Atlamak — NetSPI, Microsoft Graph API'ye erişim belirteçlerini döndürmek için İç İçe Uygulama Kimlik Doğrulamasını kötüye kullanarak Microsoft Entra Koşullu Erişim Politikalarını atlamanın bir yolunu bulduğunu söyledi. "Belirli Yuvalanmış Uygulama Kimlik Doğrulaması (veya BroCI) akışlarını kullanarak herhangi bir uygulamayı atlamak mümkündü. Güvenlik araştırmacısı Thomas Byrne, "Koşullu Erişim politikası" dedi. "Bu güvenlik açığı, güvenlik açığı bulunan kimlik doğrulama akışlarının gerçekleştirilebilmesinden önce bir başlangıç yenileme jetonu döndürmek için başarılı bir kimlik avı saldırısı gerektireceğinden, esas olarak bir kalıcılık mekanizması olarak hizmet etti." Soruna yönelik bir düzeltme o zamandan beri Microsoft tarafından kullanıma sunuldu.
— NetSPI, Microsoft Graph API'sine erişim belirteçlerini döndürmek için İç İçe Uygulama Kimlik Doğrulamasını kötüye kullanarak Microsoft Entra Koşullu Erişim Politikalarını atlamanın bir yolunu bulduğunu söyledi. Güvenlik araştırmacısı Thomas Byrne, "Herhangi bir Koşullu Erişim politikasını atlamak için belirli Yuvalanmış Uygulama Kimlik Doğrulaması (veya BroCI) akışlarını kullanmak mümkündü" dedi. "Bu güvenlik açığı, güvenlik açığı bulunan kimlik doğrulama akışlarının gerçekleştirilebilmesinden önce başarılı bir kimlik avı saldırısının ilk yenileme jetonunu döndürmesini gerektireceğinden esas olarak bir kalıcılık mekanizması işlevi gördü." Soruna yönelik bir düzeltme o zamandan beri Microsoft tarafından kullanıma sunuldu. Tehdit Aktörleri Laravel Livewire Kusurunu Hedef Alıyor — Laravel Livewire'da kimliği doğrulanmamış kritik bir RCE güvenlik açığı olan CVE-2025-54068'i hedef alan bir kampanyanın parçası olarak 6.100'den fazla uygulamanın güvenliği ihlal edildi ve kabuk komut dosyası aracılığıyla bir kimlik bilgisi hırsızı sunuldu. Çalıcı, veritabanıyla ilgili yapılandırmaları, Stripe gizli anahtarlarını, SMTP şifrelerini, Google OAuth istemci sırlarını, JWT sırlarını ve AWS IAM kimlik bilgilerini .env dosyalarından toplar ve bunları uzak bir sunucuya sızdırır. Kampanyanın birkaç aydır devam ettiği değerlendiriliyor. Imperva, "Saldırganın sızma altyapısının kurtarılması ve analizi, e-ticaret ve sağlık hizmetlerinden finansal hizmetlere, eğitime ve hükümete kadar düzinelerce ülke ve sektörü kapsayan 6.167 farklı uygulamadan toplanan kimlik bilgilerini ortaya çıkardı" dedi. "Saldırganın FTP sunucusunda 1.851'den fazla veritabanı dökümü ve 26 milyondan fazla adres içeren 18'den fazla e-posta listesi bulunuyordu; bu da çalınan kimlik bilgilerinin aktif olarak istismar edildiğini gösteriyor." Faaliyet Endonezya kökenli bir tehdit aktörüne atfedildi.
— Laravel Livewire'da kimlik doğrulaması yapılmamış kritik bir RCE güvenlik açığı olan CVE-2025-54068'i hedef alan ve kabuk betiği aracılığıyla kimlik bilgisi hırsızı sağlayan bir kampanyanın parçası olarak 6.100'den fazla uygulamanın güvenliği ihlal edildi. Çalıcı, veritabanıyla ilgili yapılandırmaları, Stripe gizli anahtarlarını, SMTP şifrelerini, Google OAuth istemci sırlarını, JWT sırlarını ve AWS IAM kimlik bilgilerini .env dosyalarından toplar ve bunları uzak bir sunucuya sızdırır. Kampanyanın birkaç aydır devam ettiği değerlendiriliyor. Imperva, "Saldırganın sızma altyapısının kurtarılması ve analizi, e-ticaret ve sağlık hizmetlerinden finansal hizmetlere, eğitime ve hükümete kadar düzinelerce ülke ve sektörü kapsayan 6.167 farklı uygulamadan toplanan kimlik bilgilerini ortaya çıkardı" dedi. "Saldırganın FTP sunucusunda 1.851'den fazla veritabanı dökümü ve 26 milyondan fazla adres içeren 18'den fazla e-posta listesi bulunuyordu; bu da çalınan kimlik bilgilerinin aktif olarak istismar edildiğini gösteriyor." Faaliyet Endonezya kökenli bir tehdit aktörüne atfedildi. TONResolver Kampanyasında Booking.com Ortak Firmaları Hedef Alınıyor — Saldırganlar, otel personelini kötü amaçlı dosyaları yürütmeleri için kandırmak amacıyla konuk şikayetlerini taklit eden ve inceleme isteklerini taklit eden kimlik avı e-postaları kullanarak Japonya'daki Booking.com ortak şirketlerinin çalışanlarını hedef alıyor. E-postalar, bir planlama aracı hizmetinin bildirim işlevi kullanılarak gönderilir ve bu da onların SPF, DKIM ve DMARC kontrollerini atlamalarına olanak tanır. Saldırılar, Açık Ağ (TON) blockchain platformunu çıkmaz çözümleyici olarak kötüye kullanan TONResolver'ın konuşlandırılmasına yol açtı. Trend Micro, "Bu saldırıda, şüpheli bir web sitesine giden köprü bağlantısına erişilerek bir ZIP dosyası indirildi ve enfeksiyon, kullanıcının ZIP arşivinde fotoğraf dosyası olarak gizlenen bir kısayol bağlantı dosyasına (LNK) tıklamasıyla başladı." dedi. Bu, Node.js için temel bir yürütülebilir dosya olan "node.exe"yi kullanarak JavaScript tabanlı TONResolver kötü amaçlı yazılımını alıp çalıştıran PowerShell'in yürütülmesini tetikler. Kötü amaçlı yazılım daha sonra ek saldırı yürütmek için TON platformundan alınan C2 sunucusuna bağlanıyor ve komutlar gönderiyor.
— Saldırganlar, otel personelini kötü amaçlı dosyaları çalıştırmaları için kandırmak amacıyla konuk şikayetlerini ve inceleme isteklerini taklit eden kimlik avı e-postaları kullanarak Japonya'daki Booking.com ortak şirketlerinin çalışanlarını hedef alıyor. E-postalar, bir planlama aracı hizmetinin bildirim işlevi kullanılarak gönderilir ve bu da onların SPF, DKIM ve DMARC kontrollerini atlamalarına olanak tanır. Saldırılar TONResolver'ın konuşlandırılmasına yol açtı Açık Ağ (TON) blockchain platformunu çıkmaz çözümleyici olarak kötüye kullanan. Trend Micro, "Bu saldırıda, şüpheli bir web sitesine giden köprü bağlantısına erişilerek bir ZIP dosyası indirildi ve enfeksiyon, kullanıcının ZIP arşivinde fotoğraf dosyası olarak gizlenen bir kısayol bağlantı dosyasına (LNK) tıklamasıyla başladı." dedi. Bu, Node.js için temel bir yürütülebilir dosya olan "node.exe"yi kullanarak JavaScript tabanlı TONResolver kötü amaçlı yazılımını alıp çalıştıran PowerShell'in yürütülmesini tetikler. Kötü amaçlı yazılım daha sonra ek saldırı yürütmek için TON platformundan alınan C2 sunucusuna bağlanıyor ve komutlar gönderiyor. Mamont Android Kötü Amaçlı Yazılımı Parçalanmış — Mamont adlı bir Android kötü amaçlı yazılımı, mali dolandırıcılığı kolaylaştırmak için arkadaşlık hizmetleri gibi görünen damlalık uygulamaları aracılığıyla dağıtılıyor. NCC Group, "Damlalık ve onun gömülü arkadaşı APK, finansal keşif gerçekleştirirken ve saldırganın talimatlarını beklerken kurbanın cihazını sessizce kurmak, başlatmak ve kontrolünü sürdürmek için birlikte çalışıyor." dedi. Kötü amaçlı yazılımın ikinci bir varyantının, çalışma zamanında Android WebView bileşenleri içinde kimlik avı katmanları sunduğu, aynı zamanda telefon görüşmeleri başlattığı, yüklü uygulamaları topladığı, cihaz/ağ bilgilerini topladığı ve bildirimleri engellemek için sistem davranışını değiştirdiği tespit edildi. Güvenlik araştırmacısı Vamsi Pavuluri, "Ek olarak, uzaktan kumanda işlevselliğini gösteren, girdiye dayalı olarak komutları dinamik olarak yürütebilir ve yürütme sonuçlarını dahili bir işleyici veya iletişim kanalı aracılığıyla geri raporlayabilir" dedi.
— Mamont adlı bir Android kötü amaçlı yazılımı, mali dolandırıcılığı kolaylaştırmak için flört hizmetleri gibi görünen damlalık uygulamaları aracılığıyla dağıtılıyor. NCC Group, "Damlalık ve onun gömülü arkadaşı APK, finansal keşif gerçekleştirirken ve saldırganın talimatlarını beklerken kurbanın cihazını sessizce kurmak, başlatmak ve kontrolünü sürdürmek için birlikte çalışıyor." dedi. Kötü amaçlı yazılımın ikinci bir varyantının, çalışma zamanında Android WebView bileşenleri içinde kimlik avı katmanları sunduğu, aynı zamanda telefon görüşmeleri başlattığı, yüklü uygulamaları topladığı, cihaz/ağ bilgilerini topladığı ve bildirimleri engellemek için sistem davranışını değiştirdiği tespit edildi. Güvenlik araştırmacısı Vamsi Pavuluri, "Ek olarak, uzaktan kumanda işlevselliğini gösteren, girdiye dayalı olarak komutları dinamik olarak yürütebilir ve yürütme sonuçlarını dahili bir işleyici veya iletişim kanalı aracılığıyla geri raporlayabilir" dedi. 2 Kampanya AsyncRAT Sağlıyor — Dropbox URL'si içeren kimlik avı e-postalarının yanı sıra AsyncRAT kötü amaçlı yazılımını dağıtmak için makro bağlantılı e-tablolar. Forcepoint, "Alıcı bağlantıya tıkladığında bir ZIP dosyası indiriliyor" dedi. "Bu dosya, .URL biçiminde bir İnternet kısayol dosyası içeriyor. Bu dosyayı açmak, arka planda birden fazla kötü amaçlı yazılım yükünün indirilmesine yol açarken, kullanıcı meşru görünen bir PDF açılışına aldanır. Bu dosya bir .lnk dosyasına ve daha sonra bir JavaScript dosyasına yönlendirir. Bu JS dosyası, sonuçta başka bir ZIP dosyası sunan kötü amaçlı içeriği barındıran bir .BAT dosyasına bağlanır. Bu yeni ZIP dosyası, AsyncRAT kötü amaçlı yazılımını yürütmek için kullanılan Python komut dosyasını barındırır." LevelBlue tarafından detaylandırılan ikinci kampanya, satış, satın alma ve satıcı yönetimi personelini hedef alan genel e-postaların, bir HTA komut dosyasını indirmek için yerleşik bir makro kullanan ve daha sonra AsyncRAT veya Remcos RAT'ı teslim etmeden önce ortam kontrolleri gerçekleştiren kötü amaçlı bir e-tablonun kullanılmasını içeriyor.
— Dropbox URL'si içeren kimlik avı e-postalarının yanı sıra AsyncRAT kötü amaçlı yazılımını dağıtmak için makro bağlantılı e-tablolar. Forcepoint, "Alıcı bağlantıya tıkladığında bir ZIP dosyası indiriliyor" dedi. "Bu dosya, .URL biçiminde bir İnternet kısayol dosyası içeriyor. Bu dosyayı açmak, arka planda birden fazla kötü amaçlı yazılım yükünün indirilmesine yol açarken, kullanıcı meşru görünen bir PDF açılışına aldanır. Bu dosya bir .lnk dosyasına ve daha sonra bir JavaScript dosyasına yönlendirir. Bu JS dosyası, sonuçta başka bir ZIP dosyası sunan kötü amaçlı içeriği barındıran bir .BAT dosyasına bağlanır. Bu yeni ZIP dosyası, AsyncRAT kötü amaçlı yazılımını yürütmek için kullanılan Python komut dosyasını barındırır." LevelBlue tarafından detaylandırılan ikinci kampanya, satış, satın alma ve satıcı yönetimi personelini hedef alan genel e-postaların, bir HTA komut dosyasını indirmek için yerleşik bir makro kullanan ve daha sonra AsyncRAT veya Remcos RAT'ı teslim etmeden önce ortam kontrolleri gerçekleştiren kötü amaçlı bir e-tablonun kullanılmasını içeriyor. Yumru Ayaklı Kurt ve Tüylü Kurt Rusya'yı Hedef Alıyor — BI.ZONE, takip ettiği bir izinsiz giriş seti tarafından gerçekleştirilen siber saldırıları açıkladı Clubfoot Wolf olarak, hedef odaklı kimlik avı e-postaları kullanarak, kalıcı uzaktan erişim sağlamak amacıyla NetSupport RAT sunmak için çok çeşitli Rus sektörlerini hedefliyoruz. Fluffy Wolf adlı ikinci bir tehdit kümesi, alıcıları PureLogs Stealer, PureRAT ve Pay2Key fidye yazılımını sağlayan ZIP arşivlerine yönlendirmek için kötü amaçlı e-posta eklerinden ve GitHub depo URL'lerinden yararlandı. Saldırılarda ayrıca, HTTP üzerinden C2 sunucusundan kötü amaçlı PowerShell komut dosyalarını getirmek için PowerLoader adlı daha önce bildirilmemiş bir C++ indiricisi de kullanıldı. Bu saldırı zincirinde yükleyici, daha sonra son veriyi başlatacak olan PureCrypter'ı almaktan sorumludur.
— BI.ZONE, Clubfoot Wolf olarak takip ettiği bir izinsiz giriş seti tarafından gerçekleştirilen siber saldırıların, kalıcı uzaktan erişim sağlamak amacıyla NetSupport RAT sunmak için hedef odaklı kimlik avı e-postaları kullanarak çok çeşitli Rus sektörlerini hedef aldığını açıkladı. Fluffy Wolf adlı ikinci bir tehdit kümesi, alıcıları PureLogs Stealer, PureRAT ve Pay2Key fidye yazılımını sağlayan ZIP arşivlerine yönlendirmek için kötü amaçlı e-posta eklerinden ve GitHub depo URL'lerinden yararlandı. Saldırılarda ayrıca, HTTP üzerinden C2 sunucusundan kötü amaçlı PowerShell komut dosyalarını getirmek için PowerLoader adlı daha önce bildirilmemiş bir C++ indiricisi de kullanıldı. Bu saldırı zincirinde yükleyici, daha sonra son veriyi başlatacak olan PureCrypter'ı almaktan sorumludur. Ortalıkta Birden Fazla PhaaS Kiti Tespit Edildi — Bir dizi hizmet olarak kimlik avı (PhaaS) araç seti belirlendi: CodeStorm (kiracıyı tanıyan bir Microsoft 365 kimlik avı kitidir), ARToken (bir cihaz kodu kimlik avı araç seti olan EvilTokens ile çakışmaları paylaşan tam özellikli bir PhaaS operatör paneli), Konsol (AWS konsol kimlik bilgilerini toplamak için), Mirage2FA (kısa ömürlü kullanır) Sahte Microsoft 365 oturum açma sayfaları sunmak için HTML kaçakçılığı ve şaşırtmalı JavaScript yükleyicileri) ve Bluekit (meşru oturum açma sayfasını saldırgan tarafından kontrol edilen bir tarayıcıya yüklemek için ortadaki tarayıcı tekniğini kullanarak kurbanın, saldırganın makinesindeki hesaplarına oturum açmasına neden olur). Aynı zamanda raporlar, Tycoon 2FA PhaaS hizmetinin Mart 2026'da kolluk kuvvetleri tarafından devre dışı bırakılmasının ardından yeni altyapı ve gizleme katmanlarıyla yeniden ortaya çıktığını gösteriyor. Bu gelişmeler aynı zamanda meşru OAuth akışlarından yararlanan cihaz kodu kimlik avı saldırılarındaki artışla da örtüşüyor. Özellikle saldırı, kullanıcıları bir cihaz kodu girmeleri için kandırır ve bu kod, çok faktörlü kimlik doğrulamayı (MFA) atlayarak doğrudan saldırganın cihazına aktif çerezler ve belirteçler gönderir. Buna paralel olarak, Çince hizmet olarak kimlik avı (PhaaS) toplulukları, tarihsel olarak Rusça konuşan siber suçlu grupların hakim olduğu bir alanda genişliyor. Bu tür PhaaS hizmetlerinden biri, statik kimlik avı şablonlarını terk ederek HTML, CSS, JavaScript ve görsel öğelerini kopyalayarak meşru web sitelerini kopyalayabilen yapay zeka destekli sayfa oluşturucular ve tarayıcı otomasyon araçları Loke Puppeteer'ı tercih eden tehdit aktörü UNC5814 ile bağlantılı Darcula platformudur. Oluşturulan her kimlik avı sayfası benzersiz olduğundan, geleneksel imza tabanlı tespit yöntemleri etkisiz hale gelir. PhaaS bu operasyonların merkezinde yer alsa da, bu geliştiriciler genellikle kişisel ve finansal bilgilerin satışı da dahil olmak üzere çok sayıda yan hizmet de sunuyor. Group-IB'nin bir raporuna göre, Çince konuşulan karanlık web forumlarında ve Telegram kanallarında aktif olan veri komisyoncuları, dünya çapındaki kuruluşlardan çalındığı iddia edilen büyük miktarda verinin reklamını yapıyor. Bunlara Exchange Market, Chang'An Sleepless Night, Aiqianjin, Yiqun Data ve Phoenix Overseas Resources gibi pazarlar dahildir.
🔧 Siber Güvenlik Araçları
T3MP3ST → Bir AI kodlama aracısına bağlanan ve onu web uygulamaları, CTF tarzı zorluklar, kaynak kodu ve diğer hedeflerde yetkili güvenlik testleri yürütmek için kullanan açık kaynaklı bir saldırı güvenlik çerçevesidir. Keşif, istismar testi ve raporlama için bir tarayıcı Savaş Odası ve CLI sağlarken, bakımcıları bunun yalnızca kullanıcının sahip olduğu veya test etmek için yazılı izne sahip olduğu sistemlerde kullanılması gerektiğini belirtir.
NOX → Saldırı yüzeyi yönetimi, keşif ve güvenlik açığı taraması için açık kaynaklı Go tabanlı bir araçtır. OSINT, alt alanlar, DNS, bağlantı noktaları, web parmak izi alma ve daha derin güvenlik açığı testleri genelinde 299 yerleşik modülü kullanarak pasif kontroller, hızlı incelemeler, özel YAML iş akışları veya tam tarama çalıştırabilir. Bakımcıları, aktif taramaların gerçek ağ istekleri oluşturduğu ve yalnızca kullanıcının sahip olduğu veya sahip olduğu sistemlerde çalıştırılması gerektiği konusunda uyarıyor. test etmek için yazılı izne sahiptir.
Yasal Uyarı: Bu kesinlikle araştırma ve öğrenme amaçlıdır. Resmi bir güvenlik denetiminden geçmedi, bu yüzden onu körü körüne üretime bırakmayın. Kodu okuyun, önce onu bir sanal alanda kırın ve yaptığınız her şeyin yasanın doğru tarafında olduğundan emin olun.
Bu haftanın sorunlarının çoğunda akıllı bir hücum oyuncusundan ziyade yararlı bir açılışa ihtiyaç vardı. Güvenilir bir cihaz, güvenilir bir depo, güvenilir bir sıfırlama yolu, güvenilir bir tarayıcı özelliği. Bu söz çok zarar verdi.
Senin olanı yamala. Neyin çok temiz göründüğünü sorgulayın. Ve belki de sırf sıkıcı göründükleri için sıkıcı kısımların güvenli olduğunu varsaymayı bırakın.