Son aylarda siber saldırı dünyasında önemli gelişmeler yaşandı. Özellikle FortiGate cihazlarını hedef alan yeni bir fidye yazılımı hizmeti (RaaS) olan The Gentlemen, kritik FortiOS/FortiProxy açıklarını (CVE-2024-55591) kullanarak dünya genelinde 14.700’den fazla cihazı sömürdü. Aynı zamanda Citrix NetScaler’daki eski güvenlik açıkları (CVE-2025-5777, CVE-2023-4966) aktif olarak istismar edilmekte ve Mart 2026’da 500’den fazla saldırı denemesi kaydedildi.
Saldırı Zinciri ve Teknik Detaylar
The Gentlemen RaaS operasyonu, RAMP siber suç forumundaki bir ödeme anlaşmazlığından doğdu ve BYOVD (Bring Your Own Vulnerable Driver) tekniğiyle çekirdek seviyesinde savunma atlatma gerçekleştiriyor. Operatörler, 969 doğrulanmış kaba kuvvetle ele geçirilmiş FortiGate VPN kimlik bilgisi de tutuyor. Temmuz 2025’ten itibaren yaklaşık 94 kuruluş saldırıya uğradı.
BMC FootPrints ITSM platformunda kimlik doğrulama öncesi dört kritik güvenlik açığı (CVE-2025-71257, CVE-2025-71258, CVE-2025-71259, CVE-2025-71260) zincirlenerek uzaktan kod yürütme sağlanabiliyor. Bu istismar, parola sıfırlama uç noktasından alınan SEC_TOKEN ile başlıyor ve Tomcat web kök dizinine rastgele dosya yazmayı mümkün kılıyor.
Hijack Loader adlı kötü amaçlı yazılım yükleyicisi, SnappyClient adlı C++ tabanlı gelişmiş bir C2 çerçevesi dağıtıyor. SnappyClient, AMSI atlatma, Heaven’s Gate ve transacted hollowing gibi tekniklerle uç nokta güvenlik önlemlerini aşarken, ekran görüntüsü alma, tuş kaydı ve veri hırsızlığı gibi yeteneklere sahip. Bu zararlı, İspanyol telekom firması Telefónica’yı taklit eden sahte web siteleri aracılığıyla yayılıyor.
Kimlik Avı ve Derin Bağlantı Suistimali
CursorJack adlı yeni bir teknik, MCP (Model Context Protocol) derin bağlantılarının kötüye kullanılmasıyla yerel komut yürütme ve kötü amaçlı uzak MCP sunucusu kurulumu sağlıyor. Bu yöntem, sosyal mühendislik yoluyla tek tıklamayla komut çalıştırmayı mümkün kılıyor ve GitHub’da kavram kanıtı (PoC) olarak paylaşıldı.
Microsoft Teams üzerinden BT personeli kılığına giren kimlik avı kampanyalarında artış gözlemlendi. Hedef, kullanıcıları Quick Assist uygulamasını başlatmaya ikna ederek uzaktan erişim sağlamak ve ağda yatay hareket gerçekleştirmek. Teams’in dış kullanıcı mesajlaşmasına izin vermesi, bu saldırılar için kritik bir zafiyet oluşturuyor.
LiveChat platformu üzerinden yürütülen yeni kimlik avı kampanyasında, iade temalı e-postalar kullanıcıları gerçek zamanlı sohbet arayüzü üzerinden kişisel ve finansal bilgilerini girmeye yönlendiriyor. Bu yöntem, MFA kodları ve kredi kartı detayları gibi hassas verilerin toplanmasında etkili oluyor.
Kurumsal Ortamlar İçin Risk Senaryosu
Örneğin, bir finans kurumunda FortiGate VPN cihazlarının güvenlik açıkları üzerinden yapılan saldırılar, kurumun kritik altyapısına doğrudan erişim sağlayabilir. Aynı zamanda ITSM platformlarındaki RCE zafiyetleri, saldırganların sistem üzerinde kalıcı erişim elde etmesine ve hassas müşteri verilerini sızdırmasına neden olabilir. Bu tür saldırılar, olay müdahale süreçlerinde hızlı aksiyon alınmasını ve kapsamlı log analizi ile anomali tespiti yapılmasını gerektirir.
Güvenlik Ekipleri İçin Pratik Öneriler
- FortiGate cihazları için CVE-2024-55591 açığını içeren yamaları derhal uygulayın.
- BMC FootPrints ve benzeri ITSM çözümlerinde kimlik doğrulama öncesi zafiyetler için güncellemeleri takip edin.
- EDR ve SIEM sistemlerinde SnappyClient ve Hijack Loader gibi zararlılar için özel tespit kuralları oluşturun.
- Microsoft Teams dış erişim ayarlarını gözden geçirerek, dış kullanıcıların dahili personele mesaj göndermesini sınırlandırın.
- LiveChat ve benzeri canlı destek platformlarında kullanıcıların kimlik avı tuzaklarına karşı bilinçlendirilmesi için eğitimler düzenleyin.
- MCP protokolü kullanan uygulamalarda derin bağlantı işleyicilerinin kötüye kullanımını önlemek için protokol filtreleme ve uygulama beyaz listeleme yapın.
- Olay müdahale ekipleri için kimlik avı saldırılarında çok aşamalı yönlendirme ve insan doğrulama adımlarını içeren saldırı senaryolarını test edin.
- Bulut güvenliği ve ağ segmentasyonu politikalarını güçlendirerek, saldırganların yatay hareket kabiliyetini kısıtlayın.
Regülasyon ve Uyumluluk Boyutu
Avrupa Parlamentosu, çevrimiçi platformların çocuk cinsel istismarı materyalini (CSAM) tespit etmeleri için gönüllü kuralları 2027’ye kadar uzattı. Bu gelişme, platformların güvenlik ve içerik denetimi süreçlerinde yapay zeka destekli analizler ve gelişmiş içerik filtreleme mekanizmalarının önemini artırıyor.
Son raporlar, güvenlik açıklarının sadece %1’inin aktif olarak istismar edilmesine rağmen, bu küçük oranın çoğu siber saldırının temelini oluşturduğunu gösteriyor. Özellikle devlet destekli tehdit gruplarının yeni CVE’leri hedef aldığı ve kamuya açık uygulamalarda %44 artışla saldırıların yoğunlaştığı belirtiliyor.
Bu kapsamda, kurumların IAM (Kimlik ve Erişim Yönetimi) politikalarını güncellemeleri, çok faktörlü kimlik doğrulama (MFA) uygulamalarını zorunlu kılmaları ve güvenlik operasyon merkezlerinin (SOC) tehdit istihbaratını etkin kullanmaları kritik önem taşıyor.