Siber Güvenlik, Tehdit İstihbaratı

Haftalık Siber Güvenlik Özeti: Hyper-V Tabanlı Zararlılar, Yapay Zeka Botları ve Kritik RDP Açıkları

Kasım 11, 2025Kasım 11, 2025Tarafından Cybernews.TR
55
Haftalık Siber Güvenlik Özeti: Hyper-V Tabanlı Zararlılar, Yapay Zeka Botları ve Kritik RDP Açıkları

Bu hafta siber tehditler, gelişmiş teknikler ve stratejik iş birlikleriyle hızla evrilmeye devam ediyor. Rusya destekli Curly COMrades grubunun Hyper-V hipervizörünü kullanarak Linux tabanlı gizli sanal makinelerle zararlı yazılım dağıtması, uç nokta güvenlik çözümlerini aşmada yeni bir dönemi işaret ediyor. Bu yöntem, Windows Deployment Image Servicing and Management (DISM) aracıyla Hyper-V’nin etkinleştirilip Hyper-V Manager’ın devre dışı bırakılması ve ardından PowerShell cmdlet’leriyle Alpine Linux VM’nin WSL taklidiyle başlatılması gibi sofistike adımlar içeriyor.

Curly COMrades ve Hyper-V İzolasyonu

Curly COMrades, Temmuz 2025’te CurlyShell ve CurlyCat zararlılarıyla gözlemlendi. Bu tehdit aktörü, Hyper-V’nin Default Switch ağ adaptörü üzerinden VM trafiğini ana makinenin IP’siyle maskeleyerek ağ izleme araçlarını yanıltıyor. Ayrıca, MCP istemcisi benzeri yapıların VM içinde çalıştırılması ve konteynerlerin rastgele SSH portları üzerinden erişim sağlanması gibi ileri teknikler kullanılıyor. Bu durum, EDR ve XDR çözümlerinin VM izolasyonunu aşmada zorlandığını gösteriyor.

Yapay Zeka Botlarında Yan Kanal Saldırıları ve Sahte Ajanlar

Microsoft’un ‘Whisper Leak’ adlı yan kanal saldırısı, şifreli ağ trafiğini gözlemleyerek AI sohbet modellerinin konuşma konularını %98 başarıyla ortaya çıkarabiliyor. Bu saldırı, özellikle Alibaba, OpenAI ve Microsoft gibi büyük modellerde test edildi ve risk azaltma önlemleri hızla uygulandı. Öte yandan, Radware tarafından tespit edilen kötü amaçlı AI botları, Google ve OpenAI ajanlarını taklit ederek IP sahtekarlığı ve konut proxyleriyle meşru bot görünümü kazanıyor. Bu botlar, MCP istemcisi ve Pydantic AI tabanlı yapılarla benzerlik taşıyor ve büyük çaplı hesap ele geçirme saldırılarına zemin hazırlıyor.

Samsung Galaxy Cihazlarında Kritik Sıfır Gün Açığı ve LANDFALL Casus Yazılımı

Samsung Galaxy S22, S23, S24 serileri ile Z Fold 4 ve Z Flip 4 cihazlarını hedef alan CVE-2025-21042 açığı, Palo Alto Networks Unit 42 tarafından raporlandı. Bu sınır dışı yazma açığı, kullanıcı etkileşimi olmadan uzaktan kod çalıştırmaya izin veriyor ve LANDFALL adlı ticari sınıf Android casus yazılımının dağıtımında kullanıldı. Casus yazılım, mikrofon, konum, SMS ve çağrı kayıtları gibi hassas verilere erişebiliyor. Bu saldırı zincirinde AsyncRAT benzeri uzaktan erişim araçları da entegre edilmiş olabilir.

Zaman Gecikmeli Mantık Bombaları ve NuGet Paketleri

2023-2024 yıllarında yayımlanan kötü amaçlı NuGet paketleri, Ağustos 2027 ve Kasım 2028’de tetiklenen zaman gecikmeli yüklerle endüstriyel kontrol sistemlerinde sabotaj yapmayı hedefliyor. Sharp7Extend paketi, kurulumdan hemen sonra aktifleşip uzun süreli zararlı faaliyetler sürdürüyor. Bu tür zaman gecikmeli saldırılar, özellikle kritik altyapıların korunmasında yeni bir tehdit katmanı oluşturuyor.

Microsoft Teams Açıkları ve Sosyal Mühendislik Riskleri

Yamalanmış dört Microsoft Teams açığı, mesaj içeriklerinin düzenlenmesi, gönderici kimliği ve bildirimlerin değiştirilmesi gibi özelliklerle kullanıcıları taklit ve sosyal mühendislik saldırılarına açık hale getirdi. Bu zafiyetler, saldırganların çağrı kimliklerini taklit ederek özel sohbetlerde bile güvenlik ihlallerine yol açabiliyordu. Bu durum, özellikle kurumsal iletişimde kimlik doğrulama ve bütünlük kontrollerinin önemini artırıyor.

RDP Hesaplarının Ele Geçirilmesi ve Cephalus Fidye Yazılımı

Haziran 2025’ten itibaren çok faktörlü kimlik doğrulaması olmayan RDP hesapları, Go tabanlı Cephalus fidye yazılımı tarafından hedef alındı. Bu fidye yazılımı, Windows Defender’ı devre dışı bırakıp VSS yedeklerini siliyor, AES-CTR ile şifreleme yapıyor ve RSA açık anahtarıyla anahtar yönetimi sağlıyor. Sahte AES anahtarı üretimiyle dinamik analizlerden kaçınıyor. Bu saldırılar, RMM platformlarındaki bilinen açıklarla birlikte kullanıldığında ağ içi yayılımı hızlandırıyor.

WhatsApp’ta Yüksek Riskli Kullanıcılar İçin Gelişmiş Güvenlik

WhatsApp beta sürümünde, Apple’ın Lockdown Modu’na benzer özellikler yüksek riskli kullanıcılar için sunulacak. Bilinmeyen göndericilerden medya engelleme, arama ve mesaj kısıtlamaları, otomatik grup davetlerinin tanınan kişilerle sınırlandırılması gibi önlemler içeriyor. Bu özellikler, özellikle hedefli sosyal mühendislik ve casusluk saldırılarına karşı önemli bir koruma katmanı oluşturacak.

Yaptırım Altındaki Kuruluşlara Hosting Hizmeti ve Uluslararası Yaptırımlar

Aurologic GmbH, yüksek riskli hosting ağlarına transit ve veri merkezi hizmetleri sağlayarak küresel kötü amaçlı altyapı ekosisteminde merkezi bir rol üstleniyor. Aynı zamanda Avustralya, Kuzey Kore destekli tehdit aktörlerine finansal yaptırımlar ve seyahat yasakları uyguladı. Bu gelişmeler, siber suç ekosisteminin uluslararası boyutunu ve devlet destekli tehditlerin finansmanını gözler önüne seriyor.

Güvenlik Araçları ve Eğitim Fırsatları

FuzzForge, AI destekli fuzzing ile uygulama testlerini otomatikleştirirken; Butler, GitHub ortamlarında güvenlik ve uyumluluk kontrolleri için kapsamlı raporlar sunuyor. Find-WSUS ise WSUS sunucularının gizli Grup İlkesi Tercihlerini tespit ederek sahte güncellemelerin önüne geçiyor. Ayrıca, Microsoft Entra kimlik bilgileri için Authenticator uygulamasında jailbreak/root tespiti ve Advanced Installer’da güncelleme paketlerinin dijital imza eksikliği gibi kritik güvenlik gelişmeleri yaşanıyor.

Analiz ve Değerlendirme

Bu hafta öne çıkan gelişmeler, siber saldırganların giderek daha sofistike ve çok katmanlı teknikler kullandığını gösteriyor. Hyper-V tabanlı VM izolasyonu aşılması, yapay zeka botlarının meşru ajanları taklit etmesi ve zaman gecikmeli mantık bombaları gibi yöntemler, savunma mekanizmalarının sürekli güncellenmesini zorunlu kılıyor. Ayrıca, RDP ve RMM platformlarındaki zafiyetlerin birleşimi, saldırganlara geniş çaplı erişim ve yayılım imkanı tanıyor. Kurumsal ve kritik altyapıların korunmasında çok faktörlü kimlik doğrulama, kapsamlı izleme ve davranış analizi gibi çok katmanlı güvenlik yaklaşımları artık vazgeçilmez hale gelmiştir.

Sonuç olarak, siber güvenlik profesyonelleri için bu tehditlerin teknik detaylarını anlamak ve proaktif önlemler almak kritik önem taşıyor. Güncel tehdit istihbaratını takip etmek, gelişmiş saldırı tekniklerine karşı hazırlıklı olmak ve güvenlik araçlarını etkin kullanmak, gelecekteki saldırıların etkisini azaltacaktır.

, , , , , , ,