Bu hafta siber güvenlik gündemi, tek bir büyük olaydan çok birbirini besleyen çok sayıda kampanyanın birleşimiyle şekillendi. Kurumlar; sıfırıncı gün açıkları, kimlik avı, bulut kimliklerinin kötüye kullanımı, sahte uygulamalar, fidye yazılımı ve yapay zekâ destekli saldırılarla aynı anda uğraşıyor. Ortak nokta ise net: saldırganlar artık yalnızca açık aramıyor, güvenilen süreçleri ve meşru araçları istismar ediyor.
Özellikle Windows, Linux, VMware, NVIDIA, PHP ekosistemi, bulut kimlik altyapıları ve mobil uygulama mağazaları etrafında yoğunlaşan bu gelişmeler; SOC ekipleri, sistem yöneticileri ve olay müdahale ekipleri için hem operasyonel hem de stratejik riskler yaratıyor. Aşağıda haftanın öne çıkan başlıklarını teknik bağlamıyla derledik.
47 sıfırıncı gün açığı ve saldırı yüzeyi
Berlin’de düzenlenen bir güvenlik yarışmasında 47 farklı sıfırıncı gün açığı ortaya çıkarıldı. Windows, Linux, VMware ve NVIDIA ürünlerini etkileyen bu açıklar için toplam 1,3 milyon doların üzerinde ödül dağıtıldı. Bu tablo, kurumsal ortamlarda yamaların yalnızca işletim sistemi seviyesinde değil, sanallaştırma katmanı, grafik sürücüleri ve uç nokta yazılımları dahil olmak üzere geniş bir alanda ele alınması gerektiğini gösteriyor.
Bu tür etkinlikler, saldırganların gerçek dünyada hangi bileşenleri hedefleyebileceğine dair güçlü bir sinyal verir. Özellikle sanallaştırma platformları ve kurumsal iş akışlarında kullanılan bileşenler, ayrıcalık yükseltme ve uzaktan kod çalıştırma zincirlerinde sıkça ilk basamak oluyor.
AI destekli saldırılar: kimlik avından iç ağa sızmaya
Latin Amerika’da kamu kurumları ve finans kuruluşlarını hedef alan iki ayrı kampanya, ajan tabanlı yapay zekâ araçlarının saldırı operasyonlarında nasıl kullanıldığını gösterdi. Saldırganlar, ProxyChains ve SSH tünelleri üzerinden hedef sistemlere erişim kurup AI ajanlarını doğrudan iç ağda çalıştırdı. Bu yaklaşım, klasik araç imzalarına dayalı güvenlik kontrollerini zorlaştırıyor; çünkü saldırı zinciri sabit bir payload yerine dinamik olarak üretilen betikler ve araçlarla ilerliyor.
Güvenlik ekipleri açısından kritik nokta şu: AI burada saldırıyı “sihirli” hale getirmiyor, fakat keşif, araç üretimi ve deneme-yanılma süresini ciddi biçimde kısaltıyor. Bu da EDR, SIEM ve ağ segmentasyonu kontrollerinin, yalnızca bilinen zararlı yazılımlara değil anomaliye de odaklanmasını gerektiriyor.
Bulut kimlikleri, SSPR ve veri sızıntısı riski
Bir başka dikkat çekici olayda, bir tehdit grubu Microsoft’un Self-Service Password Reset (SSPR) sürecini kötüye kullanarak çok faktörlü kimlik doğrulama (MFA) onaylarını hedef aldı. Saldırıda Microsoft 365 uygulamaları, dosya barındırma servisleri ve Azure üzerinde çalışan üretim ortamlarından veri sızdırıldığı bildirildi. Bu tür saldırılar, doğrudan zararlı yazılım yerine meşru bulut yönetim özelliklerinin istismar edilmesi nedeniyle özellikle tehlikeli.
Bu senaryoda saldırganlar genellikle önce kimlik avı veya sosyal mühendislik ile kullanıcıyı kandırıyor, ardından oturum açma akışını manipüle ederek SSPR ve MFA süreçlerini kendi lehlerine çeviriyor. Sonrasında keşif, ScreenConnect benzeri uzaktan erişim araçları ve Defender devre dışı bırakma girişimleri geliyor. Kurumlar için bu, IAM politikalarının, koşullu erişim kurallarının ve yönetici ayrıcalıklarının yeniden gözden geçirilmesi gerektiği anlamına geliyor.
Linux tarafında kalıcı rootkit ve tedarik zinciri benzeri risk
Linux ortamlarında uzun süredir bilinen OrBit adlı kullanıcı alanı rootkit’inin yeni varyantları tespit edildi. Analizler, saldırganların kalıcılık için hook mekanizmaları, SSH üzerinden uzaktan erişim, kimlik bilgisi toplama ve TTY komut kaydı gibi yetenekleri geliştirmeye devam ettiğini gösteriyor. Yeni örneklerde farklı soylar, XOR anahtarlarının döndürülmesi, kurulum yollarının değiştirilmesi ve auditd kaçınma teknikleri gibi ayrıntılar öne çıkıyor.
Bu durum, Linux sunucularının yalnızca “arka planda çalışan” sistemler olarak görülmemesi gerektiğini hatırlatıyor. Özellikle konteyner altyapıları, CI/CD sunucuları ve SSH ile yönetilen üretim makineleri; rootkit, backdoor ve kimlik bilgisi hırsızlığı açısından yüksek değerli hedefler olmaya devam ediyor.
PHP ekosisteminde token sızıntısı ve Composer güncellemesi
PHP geliştiricileri için önemli bir uyarı da Composer tarafında geldi. GitHub Actions tarafından üretilen GITHUB_TOKEN ve GitHub App kurulum token’larının loglara sızmasına yol açan bir hata nedeniyle Composer’ın 2.9.8 veya 2.2.28 sürümlerine güncellenmesi önerildi. CVE-2026-45793 olarak izlenen bu sorun, CI/CD günlüklerinde hassas sırların görünmesine neden olabiliyor.
Bu tip sızıntılar, saldırganlara yalnızca bir token değil, aynı zamanda depo erişimi, paket yayınlama yetkisi ve tedarik zinciri manipülasyonu için fırsat sunar. Özellikle GitHub Actions kullanan ekiplerin workflow loglarını, secret masking ayarlarını ve üçüncü taraf action bağımlılıklarını gözden geçirmesi gerekiyor.
Mobil, tarayıcı ve sosyal mühendislik odaklı kampanyalar
Haftanın diğer dikkat çeken başlıkları arasında Telegram hesaplarını hedefleyen smishing kampanyaları, premium SMS dolandırıcılığı yapan Android zararlıları ve tarayıcıyı kilitleyen scareware kitleri yer aldı. Android tarafında yüzlerce kötü amaçlı uygulamanın operatör bazlı hedefleme yaparak OTP’leri SMS Retriever API üzerinden topladığı, ardından premium abonelikleri kullanıcı fark etmeden etkinleştirdiği görüldü.
Tarayıcı kilitleyen CypherLoc benzeri kitler ise sahte güvenlik uyarılarıyla kurbanı sahte teknik destek numaralarını aramaya zorluyor. Bu tür kampanyalar, e-posta güvenliği, web filtreleme ve kullanıcı farkındalığı eğitimlerinin hâlâ temel savunma katmanı olduğunu gösteriyor.
Fidye yazılımı, bankacılık zararlıları ve sahte uygulamalar
Gunra fidye yazılımı Güney Kore’de beş şirketi hedef alırken, Banana RAT adlı yeni bir bankacılık truva atı Brezilya finans sektörüne yöneldi. Banana RAT, PowerShell tabanlı istemci yapısı ve Python destekli sunucu tarafı ile dikkat çekiyor; ekran akışı, keylogging, clipboard izleme ve Pix QR kodu ele geçirme gibi işlevler sunuyor. Bu tür zararlılar, klasik Delphi tabanlı Latin Amerika bankacılık zararlılarından mimari olarak ayrışıyor.
Ayrıca Steam üzerinden dağıtılan kötü amaçlı bir oyun, kullanıcı sistemlerini profilleyip ikinci aşama yükler için dış altyapıyla iletişim kurduğu gerekçesiyle kaldırıldı. Benzer şekilde npm ekosisteminde ele geçirilen bir paket, iOS exploit kit dağıtmak için kullanıldı. Bu örnekler, yazılım tedarik zincirinde güvenin ne kadar kolay kötüye kullanılabildiğini bir kez daha ortaya koyuyor.
Kurumsal ekipler için kısa teknik kontrol listesi
1. Uç nokta ve sunucu yamalarını yalnızca işletim sistemi için değil, HPLIP, tarayıcı bileşenleri, sanallaştırma yazılımları ve CI/CD araçları için de takip edin.
2. SIEM üzerinde SSPR, MFA yeniden kayıt, olağandışı oturum açma ve yönetici onayı akışlarını ayrı alarmlar olarak izleyin.
3. GitHub Actions, GitLab CI ve benzeri sistemlerde secret masking, log redaction ve token rotasyonunu zorunlu hale getirin.
4. SSH, RDP ve uzaktan yönetim araçlarını ağ segmentasyonu ile sınırlandırın; özellikle üretim ağında doğrudan erişimi azaltın.
5. EDR politikalarında PowerShell, mshta, script tabanlı yükleyiciler ve beklenmeyen child process zincirleri için davranışsal kurallar tanımlayın.
6. Bulut ortamlarında IAM ayrıcalıklarını en aza indirin; SSPR, koşullu erişim ve cihaz uyumluluğu politikalarını düzenli test edin.
7. E-posta güvenliği katmanında smishing ve invoice temalı arşiv eklerini, özellikle HTML/JS içeren zincirleri filtreleyin.
8. Yedekleme, olay müdahale ve geri dönüş planlarını fidye yazılımı ve kimlik ele geçirme senaryolarına göre güncelleyin.
Genel tablo ne söylüyor?
Bu haftanın ortak mesajı, saldırganların artık yalnızca “açık bulup içeri girmek” yerine güvenilen süreçleri, meşru araçları ve otomasyon akışlarını hedeflediği yönünde. Yapay zekâ, bulut yönetimi, paket yöneticileri ve sosyal mühendislik teknikleri bir araya geldiğinde saldırı zinciri daha hızlı, daha sessiz ve daha ölçeklenebilir hale geliyor.
Kuruluşlar için öncelik; yamaları geciktirmemek, kimlik katmanını güçlendirmek, log görünürlüğünü artırmak ve olağandışı davranışları erken yakalamak olmalı. Çünkü bu tür haftalarda en büyük risk, tek bir büyük ihlal değil; küçük görünen çok sayıda olayın aynı anda birikerek kurumsal savunmayı aşındırmasıdır.