Siber Güvenlik Haberleri, Tehdit Analizi

ThreatsDay: 176 Milyon Dolarlık Kripto Para Cezası, Formula 1 Veri Sızıntısı ve Yapay Zeka Güvenlik Açıkları

Ekim 24, 2025Ekim 25, 2025Tarafından Ai Administrator
0
ThreatsDay: 176 Milyon Dolarlık Kripto Para Cezası, Formula 1 Veri Sızıntısı ve Yapay Zeka Güvenlik Açıkları

Bu haftanın ThreatsDay bülteni, siber saldırıların karmaşıklığını ve çeşitliliğini gözler önüne seriyor. Lumma Stealer’ın doxxing kampanyası sonrası zayıflaması, sahte reklamlarla Singapur’da yürütülen büyük yatırım dolandırıcılığı, npm paketleri üzerinden yayılan AdaptixC2 post-exploitation aracı ve Kanada’da Cryptomus’a verilen rekor ceza gibi kritik gelişmeler öne çıkıyor.

Lumma Stealer ve Vidar Stealer 2.0’ın Yükselişi

Lumma Stealer (Water Kurita) ekibinin üyelerinin kimliklerinin açığa çıkması ve Telegram hesaplarının ele geçirilmesi, bu bilgi hırsızının faaliyetlerinde belirgin bir düşüşe yol açtı. Bu durum, müşterilerin Vidar ve StealC gibi diğer gelişmiş stealer araçlarına yönelmesine neden oldu. Vidar Stealer 2.0, tamamen C dilinde yeniden yazılmış, çoklu iş parçacığı desteğiyle daha hızlı veri sızdırma ve gelişmiş kaçınma teknikleri sunuyor. Ayrıca, Google Chrome’un uygulama bağlı şifreleme korumalarını bellek enjeksiyonu ile aşabilen polimorfik örnek oluşturucuya sahip olması, tersine mühendisliği zorlaştırıyor.

Singapur’da Sahte Yatırım Platformları ve Google Reklamları

Singapur’da, hükümet yetkililerinin görüntülerini kötüye kullanan dolandırıcılar, ücretli Google reklamları ve sahte web sayfalarıyla vatandaşları Mauritius merkezli sahte forex platformlarına yönlendirdi. 28 doğrulanmış reklamveren hesabı üzerinden yönetilen kampanya, Bulgaristan, Romanya, Letonya, Arjantin ve Kazakistan gibi ülkelerdeki kullanıcılara hedefli reklamlar gösterdi. 119 kötü amaçlı alan adı, CNA ve Yahoo! News gibi saygın haber sitelerini taklit ederek dolandırıcılığın meşruiyetini artırdı.

Kötü Amaçlı npm Paketi: AdaptixC2 ve Tedarik Zinciri Riskleri

“https-proxy-utils” adlı kötü amaçlı npm paketi, yükleme sonrası betik ile AdaptixC2 post-exploitation çerçevesini dış sunucudan indirip çalıştırıyor. Windows, Linux ve macOS sistemlerini hedefleyen bu paket, işletim sistemi özgü tekniklerle implant yükleyip kalıcılık sağlıyor. Paket, npm’den kaldırılmış olsa da, tedarik zinciri saldırılarında geliştiricilerin bağımlılıklarını dikkatle yönetmesi gerektiğini bir kez daha ortaya koyuyor. –ignore-scripts seçeneği veya pnpm gibi araçlarla yükleme sonrası betiklerin devre dışı bırakılması öneriliyor.

Kanada’da Cryptomus’a 176 Milyon Dolarlık Ceza

Kanada finansal düzenleyicileri, Rusya bağlantılı kripto para borsalarını destekleyen Cryptomus’a, şüpheli işlemlerle ilgili raporlamada ciddi eksiklikler nedeniyle 176 milyon dolar ceza kesti. FINTRAC, Cryptomus’un çocuk istismarı materyali ticareti, fidye yazılımı ödemeleri ve yaptırımlardan kaçınma gibi yasa dışı faaliyetlerle bağlantılı işlemler için şüpheli işlem raporu sunmadığını tespit etti.

SpaceX’in Starlink Baskısı ve Güneydoğu Asya Dolandırıcılık Merkezleri

SpaceX, Myanmar’daki dolandırıcılık yerleşkelerine bağlı 2.500’den fazla Starlink cihazını devre dışı bıraktı. Bölgede yapılan kolluk kuvveti operasyonları sonucu 2.000’den fazla kişi gözaltına alındı. Dolandırıcılık merkezleri, sahte romantik tuzaklar ve yasa dışı kumar planlarıyla her yıl milyarlarca dolar gelir elde ediyor. İnsan kaçakçılığı ve zorla çalıştırma vakaları artarken, Güney Kore ve Kamboçya arasında iş birliği güçlendirildi.

Anthropic MCP’de Oat++ Güvenlik Açığı

Anthropic’in Model Context Protocol (MCP) uygulaması Oat++’teki CVE-2025-6515 zafiyeti, saldırganların oturum kimliklerini tahmin edip ele geçirmesine, MCP oturumlarını devralmasına ve kötü amaçlı yanıtlar enjekte etmesine imkan tanıyor. Bu, Server-Sent Events (SSE) ile oluşturulan oturum kimliklerinin benzersiz ve kriptografik olarak güvenli olmamasından kaynaklanıyor. MCP istemcileri arasında kimlik doğrulama ve izolasyonun artırılması gerekiyor.

Proofpoint’in Fassa Aracı ve OAuth Kötüye Kullanımı

Proofpoint, kötü amaçlı OAuth uygulamaları aracılığıyla kalıcı erişim sağlayan Fassa adlı otomatik araç setini geliştirdi. Bu yöntem, kullanıcı kimlik bilgileri sıfırlansa veya MFA etkinleştirilse bile kötü amaçlı uygulamaların yetkili erişimini korumasına olanak tanıyor. Gerçek saldırılarda, AiTM kimlik avı kitleriyle ele geçirilen Microsoft hesaplarında kötü amaçlı posta kutusu kuralları ve ikinci taraf OAuth uygulamaları kullanıldı.

Formula 1 Sürücü Verilerinde Kritik Güvenlik Açığı

Uluslararası Otomobil Federasyonu’nun (FIA) sürücü kategorilendirme portalında, “Mass Assignment” zafiyeti nedeniyle saldırganlar, yönetici ayrıcalıkları elde ederek sürücülerin pasaport ve kişisel belgelerine erişebildi. 3 Haziran 2025’te bildirilen açık, 10 Haziran’da kapsamlı bir şekilde giderildi. Bu tür API güvenlik açıkları, parametre doğrulamasının yetersiz olduğu durumlarda kritik veri sızıntılarına yol açabiliyor.

Google’ın Yapay Zeka Destekli Tehdit Analiz Platformu

Google, Threat Intelligence Enterprise müşterileri için yeni ajanik platformunu tanıttı. Platform, OSINT, derin ve karanlık web kaynakları ile Google’ın kendi tehdit verilerini kullanarak tehdit analizi ve kötü amaçlı yazılım incelemesini hızlandırıyor. Uzman ajanlar, karmaşık tehditler arasındaki gizli bağlantıları ortaya çıkarabiliyor ve güvenlik ekiplerine daha hızlı yanıt imkanı sağlıyor.

SVG Tabanlı Kimlik Avı ve CSS Tuzlama Teknikleri

Tykit adlı yeni kimlik avı kiti, e-postalara gömülü SVG dosyaları aracılığıyla sahte Microsoft 365 giriş sayfalarına yönlendirme yapıyor. JavaScript tabanlı trampoline kodu, Cloudflare Turnstile güvenlik kontrolü sonrası çalışıyor. Ayrıca, saldırganlar CSS’nin görünürlük ve boyutlandırma özelliklerini kullanarak e-postalarda gizli metin tuzlama yapıyor; bu da spam filtrelerini ve kurumsal güvenlik çözümlerini atlatıyor.

Smithery.ai’deki Yapılandırma Hatası ve AI Sunucularına Yetkisiz Erişim

Smithery.ai’nin dockerBuildPath özelliğinde yol geçişi açığı, saldırganların 3.000’den fazla MCP sunucusuna ve ilişkili kimlik bilgilerine erişmesine olanak tanıdı. Bu tedarik zinciri riski, aşırı ayrıcalıklı yönetici kimlik bilgilerinin çalınmasına yol açtı. Sorun giderildi ve kötüye kullanım kanıtı bulunmadı.

AI Ajanlarında Prompt Enjeksiyonu ve Uzak Kod Yürütme

Trail of Bits araştırmacıları, modern AI ajanlarında insan onay adımının atlanabildiği ve argüman enjeksiyonu yoluyla uzak kod yürütme (RCE) gerçekleştirilebildiğini keşfetti. Güvenli komut izin listeleri, ana sistemden izolasyon ve kabuk yorumlamasının engellenmesi gibi önlemler öneriliyor.

python-socketio’da Güvensiz Serileştirme Açığı

python-socketio kütüphanesindeki CVE-2025-61765, mesaj kuyruğuna erişimi olan saldırganların kötü amaçlı pickle yükü göndererek rastgele Python kodu çalıştırmasına imkan tanıyor. Sorun, 5.14.0 sürümünde giderildi. Bu tür serileştirme açıkları, güvenilmeyen verilerin doğrudan deseralize edilmesinden kaynaklanıyor.

Eski Electron Tabanlı AI IDE’lerde Chromium Güvenlik Riskleri

Cursor ve Windsurf gibi AI destekli kodlama araçları, Visual Studio Code’un eski Electron sürümleri üzerine inşa edildiği için Chromium ve V8 motorundaki 94’ten fazla yamalanmış güvenlik açığına karşı savunmasız. 1.8 milyondan fazla geliştirici bu risk altında. Güncel yamaların önceliklendirilmesi kritik önem taşıyor.

ValleyRAT ile Sahte Chrome Yükleyicisi Saldırıları

Çinli siber suç grubu Silver Fox tarafından kullanılan ValleyRAT, sahte Google Chrome yükleyicileri aracılığıyla yayılıyor. Çekirdek sürücüsü kullanarak antivirüs süreçlerini sonlandıran bu uzak erişim trojanı, Çin’deki kullanıcıları hedefliyor. Benzer yöntemler geçmişte Gh0st RAT için de kullanılmıştı.

Microsoft Uygulama Kimlik Doğrulamasında Unicode Taklidi

Varonis tarafından keşfedilen Azure App-Mirage tekniği, gizli Unicode karakterleri kullanarak “Azure Portal” gibi uygulama isimlerinin taklit edilmesine olanak tanıyor. Bu, kimlik avı ve yetkisiz erişim risklerini artırıyor. Microsoft yamalar yayımlayarak sorunu giderdi.

Fidye Yazılımında Kötü Amaçlı Yazılımsız Veritabanı Saldırıları

Tehdit aktörleri, MongoDB, PostgreSQL, MySQL gibi veritabanlarını kötü amaçlı yazılım bırakmadan, meşru komutları kötüye kullanarak ele geçiriyor. Veriler çalınıp şifreleniyor, ardından fidye talep ediliyor. Bu yöntem, geleneksel antivirüs ve IDS çözümlerini atlatıyor.

CSS ile Gizli Metin Tuzlama Yöntemleri

Saldırganlar, e-postalarda CSS özelliklerini kullanarak görünmez metin ve yorumlar ekleyerek spam filtrelerini aşmaya çalışıyor. Bu teknik, büyük dil modelleriyle çalışan güvenlik çözümlerinde zorluk yaratıyor ve tehdit aktörlerinin gizli komutları saklamasına imkan tanıyor.

Altamides ile Kıtalararası Gizli Telefon Takibi

First Wap tarafından işletilen Altamides platformu, SS7 protokolündeki zayıflıkları kullanarak 14.000’den fazla telefon numarasının konumunu gizlice takip etti. Hedefler arasında siyasi figürler, gazeteciler ve aktivistler bulunuyor. Amnesty International, Pakistan’daki gözetim sistemlerinin kapsamını ve insan hakları ihlallerini raporladı.

Bu olaylar, saldırganların doğrudan zorla girmeden, zaten güvenilen sistemlerdeki zayıflıkları kullanarak saldırdığını gösteriyor. Güvenlik yamalarının hızlı uygulanması, sistem izolasyonu ve sürekli izleme kritik önemde.

, , , , , , ,