2025 Siber Tehditleri: Pixel Sıfır Tıklama, Redis RCE, Çin C2 Sunucuları ve Kripto Dolandırıcılıkları

Anasayfa » 2025 Siber Tehditleri: Pixel Sıfır Tıklama, Redis RCE, Çin C2 Sunucuları ve Kripto Dolandırıcılıkları
APT, Bilgi Hırsızlığı, Zafiyetler
Ocak 29, 2026Ocak 29, 2026Tarafından Cybernews.TR
0
2025 Siber Tehditleri: Pixel Sıfır Tıklama, Redis RCE, Çin C2 Sunucuları ve Kripto Dolandırıcılıkları

Saldırı Zincirinde Yeni Yöntemler ve Hedefler

2025’in son aylarında tespit edilen Nomad Leopard operasyonu, Afganistan’daki devlet kurumlarını hedef alan özel oltalama kampanyası olarak öne çıktı. FALSECUB arka kapısını dağıtmak için sahte idari belgeler ve GitHub’da barındırılan ISO dosyaları kullanıldı. Bu ISO, LNK dosyası aracılığıyla PDF tuzağına erişim sağlıyor ve C++ ile yazılmış bir yürütülebilir dosya komut alabiliyor. Kampanya, bölgesel odaklı ve düşük-orta düzeyde sofistike bir tehdit aktörü tarafından yürütülüyor.

İngiltere’de ise Rusya yanlısı hacktivist grup NoName057(16) tarafından kritik altyapılara yönelik DoS saldırıları devam ediyor. Bu saldırılar, düşük karmaşıklıkta olmasına rağmen sistemlerin tamamını aksatabiliyor ve operasyonel dayanıklılığı zayıflatıyor.

Google Pixel 9’da Kritik Sıfır Tıklama Açığı

Google Project Zero tarafından açıklanan CVE-2025-54957 ve CVE-2025-36934, Dolby ses kod çözücüsündeki zafiyetleri kullanarak Pixel 9 cihazlarında sıfır tıklama ile yetkisiz kod yürütme ve ayrıcalık yükseltme sağlıyor. Bu açık, Google Mesajlar uygulamasının ses eklerini otomatik işlemesi nedeniyle kullanıcı etkileşimi gerektirmiyor. Dolby ve Samsung Ekim-Kasım 2025’te yamalarını yayınlarken, Pixel cihazları Ocak 2026’da güncellendi.

Çin İnternetinde 18.000’den Fazla Aktif C2 Sunucusu

Hunt.io analizine göre, Çin’de 48 sağlayıcı üzerinden 18.000’den fazla aktif komut ve kontrol (C2) sunucusu tespit edildi. China Unicom, sunucuların yarısını barındırırken Alibaba Cloud ve Tencent önemli paya sahip. Bu sunucuların çoğu Mozi IoT botneti kontrolü için kullanılıyor, diğerleri ise Cobalt Strike, VShell ve Mirai gibi araçlarla ilişkilendiriliyor. Bu durum, IoT cihazlarının güvenliği ve ağ segmentasyonu açısından kritik riskler oluşturuyor.

Kripto Dolandırıcılıklarında Rekor Kayıplar

2025 yılında kripto dolandırıcılıkları 17 milyar dolara yaklaşan kayıplara yol açtı. “Pig butchering” ve yüksek getiri vaat eden yatırım dolandırıcılıkları en yaygın türler arasında. Taklit dolandırıcılıkları %1400 artarken, saldırganlar derin sahte içerikler ve yapay zeka destekli kopyalarla kurbanları daha kolay ikna ediyor. Bu gelişme, dijital varlık güvenliği ve kimlik doğrulama süreçlerinin önemini artırıyor.

Yeni Bilgi Hırsızı Kampanyaları ve DLL Yan Yükleme

Google VirusTotal verilerine göre, “CoreMessaging.dll” adlı kötü amaçlı DLL’yi yan yükleme yöntemiyle sistemlere sızan bilgi hırsızı kampanyaları tespit edildi. Bu teknik, güvenilir yürütülebilir dosyalarla birlikte ZIP arşivleri içinde dağıtılıyor ve Malwarebytes gibi meşru uygulamaların yükleyicilerini taklit ediyor. Bu durum, EDR çözümlerinin davranış bazlı tespit yeteneklerinin önemini vurguluyor.

Windows Alt Sistemi (WSL) Üzerinden Post-Exploitation

SpecterOps araştırmacısı Daniel Mayer tarafından yayımlanan beacon nesne dosyası (BOF), “wsl.exe” işlemi başlatmadan WSL COM servisini kullanarak tüm WSL dağıtımlarında rastgele komutlar çalıştırabiliyor. Bu teknik, Cobalt Strike Beacon gibi post-exploitation ajanlarının tespiti ve engellenmesi için SOC ekiplerinin WSL aktivitelerini yakından izlemesini gerektiriyor.

Kurumsal Siber Güvenlik İçin Pratik Öneriler

  • E-posta güvenliği için gelişmiş phishing filtreleri ve makro engelleme politikaları uygulanmalı.
  • Önemli sistemlerde CVE-2025-54957 ve CVE-2025-36934 gibi kritik yamalar derhal uygulanmalı.
  • EDR ve SIEM çözümleri, DLL yan yükleme ve WSL tabanlı anormal aktiviteleri tespit edecek şekilde yapılandırılmalı.
  • Ağ segmentasyonu ile C2 sunucularının erişimi sınırlandırılmalı, IoT cihazları ayrı ve izole ağlarda tutulmalı.
  • Kimlik ve erişim yönetimi (IAM) politikaları güçlendirilmeli, çok faktörlü kimlik doğrulama (MFA) yaygınlaştırılmalı.
  • Olay müdahale (incident response) planları, yeni tehdit vektörlerine göre güncellenmeli ve tatbikatlar düzenlenmeli.
  • Kripto varlık işlemlerinde derin sahtecilik ve yapay zeka destekli dolandırıcılıkları önlemek için kullanıcı eğitimi ve davranış analitiği kullanılmalı.

Teknik Özet

  • Kullanılan zararlılar: FALSECUB arka kapısı, TamperedChef bilgi hırsızı, DPLoader proxyware, Mozi IoT botnet.
  • Hedef sektörler: Devlet kurumları, kritik altyapı, finans, telekom, IoT cihazları.
  • Kullanılan zafiyetler: CVE-2025-54957, CVE-2025-36934 (Pixel 9 Dolby codec), DLL yan yükleme teknikleri.
  • Saldırı zinciri: Özel oltalama (phishing) → kötü amaçlı ISO/LNK dosyası → arka kapı yükleme → C2 iletişimi → veri sızıntısı ve kalıcılık.
  • Temel savunma: Güncel yamalar, gelişmiş e-posta güvenliği, ağ segmentasyonu, EDR ve SIEM entegrasyonu, IAM ve MFA uygulamaları.
, , , , , , ,