Microsoft, GoAnywhere MFT platformundaki kritik CVE-2025-10035 açığını Storm-1175 grubunun Medusa fidye yazılımı dağıtımında kullandığını doğruladı. Kimlik doğrulama gerektirmeyen bu deseralizasyon hatası, uzak kod yürütmeye ve sistemde kalıcı erişime imkan tanıyor. Saldırganlar, RMM araçları ve Cloudflare tüneli üzerinden komut kontrolü yaparak veri sızdırma ve fidye yazılımı dağıtımı gerçekleştiriyor.
Detour Dog adlı tehdit aktörü, Strela Stealer bilgi hırsızını dağıtmak için DNS tabanlı bir komut ve kontrol altyapısı kurdu. Bu altyapı, ele geçirilmiş WordPress siteleri üzerinden DNS TXT kayıtları aracılığıyla komutlar alıyor ve StarFish adlı ters kabuk arka kapıyı kullanıyor. Infoblox ve Shadowserver Foundation iş birliğiyle yapılan operasyonlarla bazı C2 domainleri etkisiz hale getirildi.
Confucius hacker grubu, Pakistan'da WooperStealer ve Python tabanlı Anondoor zararlılarıyla kritik hedeflere saldırılarını sürdürüyor. DLL yan yükleme ve .LNK dosyaları gibi gelişmiş tekniklerle gizlilik ve kalıcılık sağlanıyor. Grup, teknik esnekliği ve karmaşık gizleme yöntemleriyle tespit edilmekten kaçınıyor.
Bu hafta siber güvenlikte bootkit tehditleri, yapay zeka destekli saldırılar ve kritik güvenlik açıkları öne çıktı. HybridPetya gibi gelişmiş zararlılar UEFI Secure Boot'u aşarken, Samsung ve diğer büyük platformlarda önemli CVE'ler yamalandı. Ayrıca, çok aşamalı APT saldırıları ve mobil zararlılar, güvenlik profesyonellerinin dikkatini çekiyor.
Salty2FA, ABD ve AB'deki kritik sektörlerde faaliyet gösteren işletmeleri hedef alan yeni nesil bir kimlik avı kitidir. Çok faktörlü kimlik doğrulama yöntemlerini aşabilen bu tehdit, kimlik bilgileri ve 2FA kodlarını ele geçirerek yüksek etkili ihlallere yol açıyor. ANY.RUN tarafından yapılan analizler, saldırı zincirinin detaylarını ortaya koyarken, SOC ekiplerine davranışsal tespit ve sandbox analizlerinin önemini vurguluyor.
SlopAds dolandırıcılık grubu, 224 Android uygulama üzerinden günlük 2,3 milyar reklam teklifi oluşturarak küresel çapta büyük bir etki yaratıyor. Uygulamalar, reklam tıklaması sonrası aktifleşen gizli modüllerle sahte reklam gösterimleri gerçekleştirirken, yapay zeka destekli komut ve kontrol altyapısı kullanıyor. Bu gelişme, mobil reklam dolandırıcılığında sofistike ve koşullu yöntemlerin arttığını gösteriyor.
ScarCruft (APT37) tarafından yürütülen HanKook Phantom operasyonunda RokRAT zararlısı kullanılarak Güney Koreli akademisyenler ve eski hükümet yetkilileri hedef alınıyor. Saldırılar, sahte bültenler ve PowerShell tabanlı gizli yükler aracılığıyla hassas bilgileri çalmayı amaçlıyor. Bu gelişme, Kuzey Kore bağlantılı diğer siber tehdit faaliyetleri ve ABD yaptırımlarıyla paralel bir döneme denk geliyor.
Salt Typhoon grubu, dünya genelinde telekomünikasyon ve kritik altyapı sektörlerindeki kenar ağ cihazlarındaki açıklardan yararlanarak 600'den fazla kuruluşu hedef aldı. Çin bağlantılı üç şirketle ilişkilendirilen grup, kalıcı erişim sağlamak için gelişmiş teknikler kullanıyor ve küresel çapta siber casusluk faaliyetleri yürütüyor.
ZipLine kampanyası, ABD merkezli tedarik zinciri üreticilerini hedef alarak şirketlerin iletişim formlarını kullanıyor ve haftalar süren sosyal mühendislik sonrası MixShell zararlısını dağıtıyor. Saldırılar, gelişmiş teknikler ve yapay zeka temelli sosyal mühendislik taktikleriyle dikkat çekiyor.
2024'te tespit edilen Lazarus Grubu saldırısı, DeFi sektöründeki bir organizasyona yönelik karmaşık RAT kullanımıyla dikkat çekiyor. PondRAT başlangıç aşamasında kullanılırken, ThemeForestRAT ve RemotePE gibi gelişmiş RAT'lar daha sofistike işlemler için devreye giriyor. Bu zararlılar, kimlik bilgisi hırsızlığı, proxy kurma ve shellcode enjeksiyonu gibi çok sayıda yetenekle donatılmış durumda.