Ağustos 2022

Medikal teknoloji şirketi Stryker, 2026’da yaşadığı ve küresel operasyonlarını sekteye uğratan siber saldırının ardından üretim ağında yeniden tam operasyonel duruma geldiğini açıkladı. Şirketin güncellemesinde, ticari sistemler, sipariş ve dağıtım süreçlerinin restore edildiği ve üretimin tepe kapasiteye doğru hızla ilerlediği belirtildi. Saldırganların Stryker’ın iç Microsoft ortamına eriştiği ve iddiaya göre bir Microsoft Intune yönetici hesabını ele geçirerek on binlerce sistem ve sunucuda silme komutları çalıştırdığı aktarılıyor.Grup, şirket blogunda 200 binden fazla sistem, sunucu ve mobil cihazın silindiğini; ayrıca kritik verilerin dışarı çıkarıldığını öne sürdü. Stryker’ın kendi açıklamalarına göre olay şirketin iç kurumsal ortamıyla sınırlı kaldı. Şirket, ürünlerinin ve bağlı tıbbi teknolojilerinin etkilenmediğini, olayın müşteri ya da iş ortağı sistemlerine sıçradığına dair bir bulgu bulunmadığını ve soruşturmanın kamu kurumları ile üçüncü taraf siber güvenlik uzmanlarıyla birlikte sürdürüldüğünü bildirdi. 23 Mart güncellemesinde ise ilk aşamada “ransomware veya malware belirtisi” görülmediği, daha sonra tehdit aktörünün faaliyetini gizlemek için komut çalıştıran kötü amaçlı bir dosya kullandığının tespit edildiği ifade edildi. Saldırının veri silme boyutunun operasyonel etki yarattığı, bazı sipariş ve sevkiyat süreçlerinde geçici aksamalar yaşandığı ve kişiye özel implant kullanan bazı müşterilerin gecikmelerden etkilendiği belirtiliyor. Buna karşın Stryker, genel ürün arzının sağlıklı kaldığını ve hasta bakımını desteklemeyi sürdürdüğünü vurguluyor. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Kaynağı güvenilir olmayan e-postalar açılmamalı, Çok faktörlü kimlik doğrulayıcısı kullanılmalı, Sisteminiz her zaman en güncel sürümle güncellenmeli, Oturum açma günlüklerinin takibi yapılmalı, Mobil cihazların güvenliğinin takibi yapılmalı Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Saldırganlar, yeni bir kimlik avı kampanyasında TikTok for Business hesaplarını hedef alıyor. Push Security’nin aktardığına göre kampanya, kurbanların sahte bir bağlantıya tıklamasıyla başlıyor. Bu bağlantı kullanıcıyı ya TikTok for Business’ı taklit eden bir sayfaya ya da Google Careers benzeri sahte bir işe alım sayfasına yönlendiriyor. Bazı senaryolarda kurbana sözde iş fırsatı için görüşme planlama seçeneği de sunuluyor. Amaç, kullanıcının güvenini kazanıp giriş bilgilerini ele geçirmek. Kampanyanın dikkat çeken yönlerinden biri, saldırganların sayfalarında Cloudflare Turnstile doğrulamasını kullanması. Bu yöntem, güvenlik araçlarının, botların ve otomatik tarama sistemlerinin zararlı içeriği kolayca analiz etmesini zorlaştırıyor. Kullanıcı doğrulamayı geçtikten sonra karşısına, gerçek giriş ekranına oldukça benzeyen bir AitM (adversary-in-the-middle) phishing sayfası çıkıyor. Bu sayfa üzerinden girilen kullanıcı adı, parola ve oturum bilgileri doğrudan saldırganların eline geçebiliyor. Ele geçirilen işletme tipi sosyal medya hesapları, saldırganlar açısından oldukça değerli. Çünkü bu hesaplar daha sonra sahte reklam kampanyaları yürütmek, zararlı bağlantılar yaymak, kötü amaçlı yazılım dağıtmak ya da mevcut hesabın güvenilirliğini kullanarak daha fazla kişiyi kandırmak için kullanılabiliyor. Push Security, TikTok platformunun geçmişte de Vidar, StealC ve Aura Stealer gibi zararlı yazılımların dağıtımında sosyal mühendislik içerikleriyle kötüye kullanıldığını belirtiyor. Haberde ayrıca farklı bir kampanyaya da dikkat çekiliyor. Bu ikinci saldırı zincirinde hedeflere, özellikle Venezuela’daki kullanıcılara, fatura, makbuz veya fiyat teklifi gibi gösterilen SVG uzantılı dosyalar gönderiliyor. WatchGuard’a göre bu SVG dosyaları açıldığında arka planda zararlı bir bağlantıyla iletişim kuruluyor ve cihaz üzerine kötü amaçlı yazılım indiriliyor. İndirilen zararlının, daha önce BianLian ransomware ile ilişkilendirilen örneklerle benzerlik taşıyan Go tabanlı bir malware olduğu belirtiliyor. Özetle bu iki örnek, saldırganların artık yalnızca sahte alan adlarıyla değil; meşru görünümlü sayfalar, anti-bot kontrolleri ve zararsız gibi görünen dosya türleri üzerinden de çok daha ikna edici saldırılar yürüttüğünü gösteriyor. Bu nedenle özellikle iş hesaplarında, bağlantıların kaynağını dikkatle kontrol etmek, çok faktörlü kimlik doğrulama kullanmak ve beklenmeyen ekleri açmadan önce doğrulama yapmak büyük önem taşıyor. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Kaynağı güvenilir olmayan e-postalar açılmamalı, Çok faktörlü kimlik doğrulayıcısı kullanılmalı, Sisteminiz her zaman en güncel sürümle güncellenmeli, Oturum açma günlüklerinin takibi yapılmalı, Mobil cihazların güvenliğinin takibi yapılmalı Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Siber güvenlik araştırmacıları, Darktrace tarafından "ZionSiphon" olarak adlandırılan ve özellikle İsrail'in su arıtma ve tuzdan arındırma tesislerini hedef almak üzere tasarlanmış yeni bir zararlı yazılım tespit etti. İlk olarak İran ile İsrail arasında yaşanan On İki Gün Savaşı'nın hemen ardından, 29 Haziran 2025'te tespit edilen bu yazılım, küresel çapta endüstriyel operasyonel teknolojilere (OT) yönelik siyasi amaçlı saldırıların giderek arttığını gösteriyor. ZionSiphon, yerel ağlarda OT hizmetlerini taramak, yetkilerini yükseltmek, sistemde kalıcılık sağlamak ve hatta USB sürücüler aracılığıyla yayılmak üzere tasarlanmış. En dikkat çekici özelliği ise, bu tesislerdeki klor seviyelerini ve basınç kontrollerini manipüle etmeyi amaçlayan sabotaj yetenekleri barındırması. Ayrıca yazılımın kodları arasına İran, Filistin ve Yemen'i destekleyen siyasi mesajlar da yerleştirilmiş. Endişe verici yeteneklerine rağmen, ZionSiphon'un hala deneysel veya tamamlanmamış bir aşamada olduğu görülüyor. Zararlı yazılım, çalışmak için hem belirli İsrail IPv4 adres aralıklarına uyan bir coğrafi konuma hem de su arıtma sistemlerine özgü bir ortama ihtiyaç duyan katı koşullarla programlanmış. Bu koşullar karşılanmazsa, yazılım kendi kendini imha etme sürecini başlatıyor. Darktrace, mevcut IP adresi belirtilen hedef aralıklarda olsa bile, şu anki örneğin kendi iç kontrollerini geçemediğini; bunun da yazılımın kasıtlı olarak devre dışı bırakıldığını, yanlış yapılandırıldığını veya henüz bitirilmediğini gösterdiğini belirtiyor. Ancak, Modbus protokolü saldırı yolunun, kısmen çalışan DNP3 ve S7comm yeteneklerine kıyasla çok daha gelişmiş olması, tehdit aktörlerinin çok protokollü OT manipülasyonu ve çıkarılabilir medya üzerinden yayılma teknikleri üzerinde aktif olarak denemeler yaptığını kanıtlıyor. ZionSiphon bulgularıyla eş zamanlı olarak Blackpoint Cyber, "RoadK1ll" adında Node.js tabanlı yeni bir implant keşfettiğini duyurdu. Güvenilir bir ağ erişimi sağlamak ve normal ağ trafiğinin arasına karışmak üzere tasarlanan RoadK1ll, bir ters tünelleme (reverse tunneling) implantı olarak çalışıyor. Geleneksel uzaktan erişim truva atlarının (RAT) aksine, büyük bir komut seti barındırmıyor veya kurban makinede dışarıdan gelen bağlantıları bekleyen bir dinleyiciye ihtiyaç duymuyor. Bunun yerine, saldırganın kontrolündeki altyapıya dışa dönük bir WebSocket bağlantısı kuruyor ve isteğe bağlı olarak TCP trafiğine aracılık ediyor. Bu durum, enfekte olmuş makineyi adeta gizli bir geçiş noktasına (bir erişim güçlendiriciye) dönüştürerek, saldırganların güvenlik duvarını aşıp dışarıdan ulaşılamayan iç ağ segmentlerine ve hizmetlerine sızmasına olanak tanıyor. Son olarak Gen Digital, "AngrySpark" adı verilen ve altyapı süresi dolmadan önce İngiltere'deki tek bir makinede bir yıldan fazla bir süre tespit edilemeden çalışan, sanal makine (VM) ile gizlenmiş son derece sinsi bir arka kapı (backdoor) raporladı. AngrySpark, oldukça karmaşık, üç aşamalı bir sistem olarak işliyor. Süreç, Görev Zamanlayıcı aracılığıyla yüklenen ve meşru bir Windows bileşeni gibi davranan bir DLL ile başlıyor. Bu DLL, kayıt defterindeki yapılandırmasını çözüyor ve svchost.exe işlemine konumdan bağımsız bir shellcode enjekte ediyor. Ardından bu shellcode, asıl zararlı yükü çözmek ve oluşturmak için 25 KB'lık bir bayt kodunu işleyen özel bir sanal makineyi devreye sokuyor. AngrySpark, tespit edilmekten kaçınmak için komuta-kontrol sunucusuyla HTTPS üzerinden iletişim kuruyor ve ağ trafiğini zararsız PNG görsel istekleri gibi gizliyor. PE meta verilerini kasıtlı olarak değiştirmesi ve modüler tasarımı, yazılımın adli analiz araçlarını yanıltmak, ağ savunucularını atlatmak ve arkasında minimum iz bırakmak için ne kadar özenle tasarlandığını gözler önüne seriyor. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; · IT ve OT Ağlarının Kesin İzolasyonu (Segmentasyon) · Dışarı Yönlü (Egress) Ağ Trafiğinin Sıkı Denetimi · Gelişmiş Uç Nokta Koruması (EDR) ve Davranışsal Analiz · Çıkarılabilir Medya (USB) Kullanımının Kısıtlanması · Gelişmiş E-posta ve İletişim Güvenliği Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Siber güvenlik araştırmacıları, Windows işletim sistemlerinin ağ trafiğini işleyen çekirdek bileşeni olan TCP/IP yığınında "solucanlanabilir" (wormable) nitelikte kritik bir sıfırıncı gün zafiyeti tespit etti. Bu açık, saldırganların herhangi bir kullanıcı etkileşimi veya kimlik doğrulamasına gerek duymadan, sadece özel olarak yapılandırılmış ağ paketleri göndererek hedef sistem üzerinde tam yetkiyle kod çalıştırmasına olanak tanıyor. Reported in mid-April 2026, this situation represents the highest risk level (CVSS 10.0), especially for large corporate networks and data centers. The ability of attackers to automatically spread to other servers once they infiltrate a network (lateral movement) makes this vulnerability a primary target for ransomware groups. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Microsoft tarafından yayınlanan "Acil Güvenlik Güncelleştirmeleri" vakit kaybetmeden uygulanmalı, Güvenlik duvarı (Firewall) üzerinde gereksiz tüm portlar kapatılmalı, Ağ segmentasyonu yapılarak kritik sunucuların dış dünyayla doğrudan teması kesilmeli, Saldırı Tespit ve Engelleme Sistemleri (IDS/IPS) güncel imzalarla aktif tutulmalı, Kurumsal cihazların halka açık Wi-Fi ağlarından erişimi kısıtlanmalıdır. Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Google, Chrome 148’i Windows, macOS ve Linux için kararlı kanala sundu. Bu sürüm, tarayıcının son aylardaki en güvenlik odaklı güncellemelerinden biri olarak öne çıkıyor. Linux için 148.0.7778.96, Windows ve Mac için ise 148.0.7778.96/97 sürümleri yayımlandı ve toplam 127 güvenlik açığı giderildi. Düzeltilen açıklar arasında üç güvenlik açığı Kritik olarak sınıflandırılırken, iki düzineden fazlası Yüksek önem derecesine sahip. Kalan açıklar ise Orta ve Düşük önem derecesi kategorilerinde yer alıyor. Google ayrıca, bu güvenlik açıklarının bir kısmını sorumlu bir şekilde bildiren harici araştırmacılara 100.000 dolardan fazla hata ödülü verdi. Bir araştırmacı, Chrome’un V8 JavaScript motorunda Yüksek önem derecesine sahip sınır dışı okuma ve yazma sorununu tespit ettiği için 55.000 dolar ödül aldı. En ciddi düzeltmeler arasında, Blink görüntüleme motorunda yer alan ve 43.000 dolar ödül kazandıran CVE-2026-7896 integer overflow güvenlik açığı bulunuyor. Diğer iki Kritik açık olan CVE-2026-7897 ve CVE-2026-7898 ise Mobile bileşenini ve Chrome Remote Desktop olarak da bilinen Chromoting’i etkileyen use-after-free güvenlik açıklarıdır. Use-after-free güvenlik açıkları özellikle tehlikeli kabul edilir; çünkü saldırganların belleği manipüle etmesine ve potansiyel olarak keyfi kod çalıştırmasına olanak sağlayabilir. Yüksek önem derecesine sahip güvenlik açıkları, birçok önemli tarayıcı bileşenini kapsıyor. V8’te yer alan sınır dışı okuma ve yazma açığı olan CVE-2026-7899, bu güncellemedeki en yüksek bireysel ödülü aldı. Diğer dikkat çeken sorunlar arasında ANGLE’da bulunan heap buffer overflow ve use-after-free açıkları ile V8’teki ek bellek erişim sorunları yer alıyor. Chrome 148 ayrıca SVG, DOM, Fullscreen, GPU, WebRTC, Skia, Passwords, ServiceWorker, PresentationAPI ve WebAudio gibi bileşenlerdeki birden fazla use-after-free güvenlik açığını da gideriyor. Orta önem derecesindeki sorunlar arasında V8’teki object lifecycle problemleri, WebRTC’de type confusion açığı ve DevTools, Extensions ile DirectSockets bileşenlerinde yetersiz politika uygulaması sorunları bulunuyor. MHTML’de yer alan Düşük önem dereceli bir güvenlik açığı ise, kullanıcının belirli arayüz işlemlerini yapmaya kandırılması durumunda, uzaktaki bir saldırganın özel olarak hazırlanmış bir MHTML sayfası üzerinden cross-origin verileri sızdırmasına olanak sağlayabilir. Google; KAIST Hacking Lab, Tencent Security Xuanwu Lab, National Yang Ming Chiao Tung University’s Security and Systems Lab ve Theori dahil olmak üzere birçok bağımsız araştırmacı ve güvenlik ekibine teşekkür etti. Hataların çoğu AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, libFuzzer ve AFL gibi otomatik fuzzing ve sanitizer araçları kullanılarak tespit edildi. Windows, macOS ve Linux kullanıcılarının Chrome’u mümkün olan en kısa sürede güncellemeleri önemle tavsiye edilir. Güncelleme, Settings → Help → About Google Chrome yoluna gidilerek yüklenebilir; bu işlem en son sürümü otomatik olarak kontrol eder ve uygular. Kurum genelinde tarayıcı güncellemeleri merkezi olarak takip edilmeli ve kritik güvenlik yamaları geciktirilmeden uygulanmalıdır. Kullanıcılar, güncel olmayan tarayıcılarla internete erişmenin zararlı web sayfaları üzerinden istismar riskini artırdığı konusunda bilinçlendirilmelidir. Endpoint güvenlik çözümleri, EDR ve web güvenliği katmanları ile tarayıcı tabanlı saldırılara karşı ek koruma sağlanmalıdır. BT ekipleri, kritik CVE duyurularını düzenli olarak izlemeli ve etkilenen sistemler için hızlı aksiyon planı oluşturmalıdır. Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Google, ekosistemi tedarik zinciri saldırılarından korumanın bir yolu olarak Android için genişletilmiş İkili Şeffaflık özelliğini duyurdu . Google'ın ürün ve güvenlik ekipleri, "Bu yeni kamuya açık kayıt defteri, cihazınızdaki Google uygulamalarının tam olarak oluşturmayı ve dağıtmayı amaçladığımız uygulamalar olmasını sağlıyor" açıklamasında bulundu . Bu girişim , Google'ın Ekim 2021'de Pixel cihazlarının yalnızca doğrulanmış işletim sistemi (OS) yazılımı çalıştırdığından emin olarak yazılım bütünlüğünü güçlendirmek amacıyla tanıttığı Pixel İkili Şeffaflığı temeli üzerine inşa edilmiştir . Bu özellik, resmi fabrika imajları hakkında meta verileri kaydeden herkese açık, kriptografik bir günlük tutarak çalışır . Doğrulanabilir güvenlik altyapısı, yanlış düzenlenmiş veya kötü amaçlı sertifikaları tespit etmeye yardımcı olmak için tüm verilmiş SSL/TLS sertifikalarının herkese açık, yalnızca ekleme yapılabilen ve kriptografik olarak doğrulanabilir günlüklerde kaydedilmesini gerektiren açık bir çerçeve olan Sertifika Şeffaflığı'nı yansıtır. Bu hamle, genellikle yazılım güncelleme kanallarını zehirleyerek kötü amaçlı kod bulaştıran ve dijital imzaları sağlam bırakan ikili tedarik zinciri saldırılarının oluşturduğu risklere karşı koymayı amaçlıyor. En son örnek, DAEMON Tools yazılımının Windows yükleyicilerinin, hafif bir arka kapı görevi gören ve daha sonra QUIC RAT olarak adlandırılan bir kötü amaçlı yazılımın yayılmasına aracılık eden bir unsur olarak ele geçirilmesidir . Dahası, kurulum dosyaları DAEMON Tools'un resmi web sitesinden dağıtılıyor ve DAEMON Tools geliştiricilerine ait dijital sertifikalarla imzalanıyor. Google, "Artık yalnızca ikili dosyanın imzasına güvenmek yetersiz kalıyor, çünkü bir imza, bu belirli ikili dosyanın yazarı tarafından kamuya sunulması amaçlanan dosya olduğunu garanti edemez," dedi. "Dijital imzalar bir menşe belgesidir, ancak ikili dosya şeffaflığı bir niyet belgesidir." Şirket, Android'de İkili Şeffaflığı genişleterek, kullanıcının cihazındaki Google yazılımının tam olarak tasarlandığı ve dağıtıldığı gibi olduğunu garanti etmeyi amaçladığını belirtti. Bu amaçla, 1 Mayıs 2026'dan sonra piyasaya sürülen Google'ın üretim Android uygulamaları, orijinalliğini doğrulayan karşılık gelen bir kriptografik giriş içerecektir. Bu girişim şu anda hem Google Play Hizmetleri hem de bağımsız Google uygulamaları dahil olmak üzere üretim aşamasındaki Google uygulamalarını ve ayrıca işletim sisteminin bir parçası olan ve normal sürüm döngüsünün dışında dinamik olarak güncellenebilen Mainline modüllerini içermektedir. Google, "Bu, herkesin Android cihazlarındaki Google yazılımının Google tarafından yetkilendirilmiş bir üretim sürümü olduğunu ve bir saldırgan tarafından değiştirilmediğini doğrulayabilmesini sağlayan şeffaf bir 'Gerçeğin Kaynağı' sağlıyor," diye belirtti. "Yazılım kayıtlarda yer almıyorsa, Google onu üretim yazılımı olarak yayınlamamıştır. 'Tek seferlik' bir sürüm dağıtma girişimi tespit edilebilir olacaktır." Bu çabaların bir parçası olarak, teknoloji devi ayrıca kullanıcıların ve araştırmacıların desteklenen yazılım türlerinin şeffaflık durumunu doğrulamak için kullanabileceği doğrulama araçlarını da kullanıma sunuyor . Bu gelişme, son aylarda popüler yazılımların geliştiricilerini ve alt kademe kullanıcılarını hedef alan bir dizi tedarik zinciri saldırısının ortasında yaşanıyor. Kötü niyetli kişiler, giderek artan bir şekilde geliştiricilerin hesaplarını ele geçiriyor ve bu erişimi kötü amaçlı yazılım yaymak için kötüye kullanarak aynı anda birçok kullanıcının sistemine sızabiliyor. Google, "Bu, kullanıcı gizliliği ve güvenliği için kritik bir temeldir çünkü yazılım güncellemelerinin temel güç dengesini değiştirir," dedi. "Bu şeffaflık düzeyi, yazılımımızın bütünlüğüne ek bir koruma katmanı görevi görerek yetkisiz ikili dosya sürümlerine karşı güçlü bir caydırıcı unsur oluşturur." Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Yazılım paketleri, uygulama güncellemeleri ve binary dosyaları yalnızca doğrulanmış ve güvenilir kaynaklardan indirilmeli; binary transparency ve code signing doğrulamaları düzenli olarak kontrol edilmelidir. Yazılım geliştirme ve dağıtım süreçlerinde supply chain security politikaları uygulanmalı; CI/CD pipeline’ları, build ortamları ve geliştirici hesapları güçlü erişim kontrolleri ile korunmalıdır. Üretim ortamlarında çalışan uygulamaların hash, imza ve bütünlük kontrolleri düzenli olarak doğrulanmalı; yetkisiz veya beklenmeyen binary değişiklikleri SIEM/XDR çözümleri ile izlenmelidir. Geliştirici ve yönetici hesaplarında MFA zorunlu hale getirilmeli, privilege escalation girişimleri ile şüpheli güncelleme dağıtımları sürekli log analizleri ve davranışsal güvenlik çözümleri üzerinden takip edilmelidir. Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

XForce AI – Destekli Risk Operasyon Merkezleri (X-ROC) İçin Gerekçe Geleneksel SOC (Security Operations Center) yapıları, siber tehditleri izleme ve müdahale etme konusunda uzun yıllardır kritik rol oynamaktadır. Ancak günümüzde artan dijitalleşme, bulut kullanımı, karmaşık altyapılar ve yapay zekâ destekli saldırılar, bu modelin yetersiz kalmasına neden olmuştur. SOC’ların en büyük sorunu reaktif çalışmalarıdır. Olay gerçekleşmeden önce riskleri öngöremezler. Ayrıca farklı sistemlerden gelen alarm ve verilerin bütünleşik analiz edilememesi, iş etkisinin değerlendirilmemesi ve manuel süreçlere bağımlılık önemli zayıflıklardır. Uyumluluk süreçleri de genellikle anlık değil, dönemsel yürütülmektedir. Bu sorunları aşmak için Risk Operasyon Merkezi (ROC) yaklaşımı ortaya çıkmıştır. ROC modeli, güvenlik operasyonlarını iş riskleri ile entegre ederek proaktif bir yapı sunar. Riskleri önceden tespit eder, iş etkisine göre önceliklendirir ve sürekli uyumluluk sağlar. DigitalXForce tarafından geliştirilen X-ROC çözümü, bu yaklaşımı bir adım ileri taşımaktadır. Yapay zekâ destekli analizler sayesinde tehditleri öngörür, anormallikleri tespit eder ve riskleri iş ve finansal etkileriyle ölçer. 250’den fazla teknoloji ile entegre çalışarak tüm sistemlerden veri toplar ve analiz eder. Ayrıca audit süreçlerini otomatik hale getirerek ciddi zaman ve maliyet avantajı sağlar. X-ROC kullanan organizasyonlar; daha hızlı risk tespiti, daha düşük operasyonel maliyet, yönetim seviyesinde daha iyi görünürlük ve daha güçlü tedarik zinciri güvenliği elde etmektedir. Fortune 500 şirketlerinin bu modele yönelmesi, klasik SOC yaklaşımının artık yeterli olmadığını göstermektedir. Sonuç olarak, SOC yapıları temel bir ihtiyaç olmaya devam etse de, modern siber güvenlik dünyasında tek başına yeterli değildir. X-ROC gibi yapay zekâ destekli, sürekli ve iş odaklı risk yönetimi yaklaşımları, kurumların sadece savunma yapmasını değil, aynı zamanda riskleri stratejik avantaja dönüştürmesini sağlar. Geleneksel SOC yerine Gelişmiş X-ROC yaklaşımı · Reaktif değil proaktif, · AI desteği ile öngörü, · Gerçek zamanlı risk ölçümü, · İş ve güvenlik arasında odaklı yaklaşım, · Sürekli çalışan daha hızlı risk yönetimi modeli, Hızlı bir değerlendirme için info@zerosecond.com.tr adresinden bizimle iletişime geçebilirsiniz.

Siber güvenlik araştırmacıları, Mirai tabanlı ve kendini xlabs_v1 olarak adlandıran yeni bir botnet keşfetti. Hunt.io tarafından Hollanda menşeli bir sunucuda tespit edilen bu zararlı yazılım, internete açık cihazları ele geçirerek özellikle oyun ve Minecraft sunucularını hedef alan kiralık bir DDoS ağına (hizmet reddi saldırısı) dahil ediyor. Bu botnet'in en dikkat çekici özelliği, varsayılan olarak TCP 5555 portunda Android Debug Bridge (ADB) hizmeti açık bırakılmış cihazları aramasıdır. Android TV kutuları, set üstü kutular ve akıllı TV'ler potansiyel hedefler arasında yer alıyor. Ancak yazılım sadece Android ile sınırlı kalmıyor; ARM, MIPS, x86-64 ve ARC mimarilerini de destekleyerek ev yönlendiricilerine (router) ve IoT donanımlarına sıçrayabiliyor. Bulaşma işlemi ise doğrudan ADB-shell komutlarıyla cihazın geçici dizinlerine yapılıyor. Teknik kapasitesine baktığımızda, xlabs_v1'in TCP, UDP ve ham protokoller üzerinden 21 farklı saldırı varyantı sunduğunu görüyoruz. Özellikle tüketici sınıfı DDoS korumalarını atlatabilen varyantlara sahip olan bu yazılım, cihazdaki rakip zararlıları temizleyen özel bir "katil" alt sistemine de sahip. Bu sistem sayesinde cihazın tüm bant genişliği sadece "Tadashi" takma adını kullanan bu tehdit aktörünün saldırıları için rezerve edilebiliyor. Tehdit aktörünün kiralama servisi için oldukça ilginç bir ticari iş modeli kurduğu da anlaşılıyor. Zararlı yazılım, ele geçirdiği cihazın internet hızını ölçmek için en yakın Speedtest sunucusuna binlerce paralel bağlantı açarak bir kapasite testi gerçekleştiriyor. Elde edilen bu veri aktarım hızı sonuçları operatör paneline iletiliyor ve böylece müşterilere kurbanların bant genişliğine göre kademeli bir fiyatlandırma sunuluyor. İlginç bir şekilde, botnet cihazda kalıcılık (persistence) sağlamak için kendini diske yazmıyor veya başlangıç ayarlarına müdahale etmiyor. Araştırmacılara göre bu durum, operatörün kalıcılık sağlamak yerine açık bulduğu cihazları aynı ADB zafiyeti üzerinden sürekli yeniden enfekte ederek ağını taze tutmayı tercih eden bilinçli bir tasarım tercihi. Sonuç olarak xlabs_v1; sıradan Mirai türevlerinden daha gelişmiş, teknik karmaşıklıktan ziyade uygun fiyat ve saldırı çeşitliliğiyle piyasada yer edinmeye çalışan orta seviye ama tehlikeli bir botnet operasyonu olarak öne çıkıyor. Bu tip IoT ve Botnet saldırılarından korunmak için almamız gereken tedbirlerin bazıları; Gereksiz Servislerin ve Portların Kapatılması Ağ Segmentasyonu (İzolasyon) Donanım ve Yazılım Güncellemeleri Trafik ve Bant Genişliği İzleme Varsayılan Yapılandırmaların Değiştirilmesi Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

JavaScript kodlarını güvenli bir izole ortamda çalıştırmak için kullanılan açık kaynaklı vm2 Node.js kütüphanesinde çok sayıda kritik güvenlik açığı tespit edildi. Bu açıklar, saldırganların vm2’nin sağladığı sandbox ortamından çıkmasına ve sistemi barındıran ana sunucu üzerinde rastgele kod veya komut çalıştırmasına neden olabilir. Yani vm2 ile izole edilmesi beklenen zararlı ya da güvenilmeyen kodlar, bazı durumlarda bu korumayı aşarak sistemin kendisine erişebilir. Açıklanan güvenlik açıklarının büyük bölümü CVSS 9.8 ve üzeri kritik seviyede değerlendiriliyor. Bazı açıklar ise en yüksek risk seviyesi olan CVSS 10.0 skoruna sahip. Bu durum, vm2 kullanan sistemler için ciddi bir güvenlik riski oluşturuyor. Açıklar; lookupGetter, inspect, SuppressedError, Promise nesnelerinin species özelliği, prototype pollution ve NodeVM allowlist bypass gibi farklı teknikler üzerinden sandbox kaçışına imkân tanıyor. vm2 bakım destek personeli Patrik Simek tarafından bu açıklar için farklı sürümlerde yamalar yayımlandı. Kullanıcıların en iyi koruma için vm2’yi 3.11.2 veya daha güncel bir sürüme yükseltmeleri öneriliyor. Bu güvenlik açıkları, JavaScript tabanlı sandbox çözümlerinde güvenilmeyen kodları tamamen izole etmenin ne kadar zor olduğunu bir kez daha gösteriyor. Öneri: vm2 kullanan geliştiriciler ve kurumlar, bağımlılıklarını kontrol etmeli, etkilenen sürümleri kullanıp kullanmadıklarını doğrulamalı ve mümkün olan en kısa sürede güncel sürüme geçmesidir. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Hızlı Yama Yönetimi ve Sürüm Kontrolü SCA (Yazılım Bileşen Analizi) Entegrasyonu Savunma Derinliği ve Çok Katmanlı İzolasyon En Az Ayrıcalık Prensibi (Least Privilege) Ağ ve Giden Trafik Kısıtlamaları Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Siber güvenlik dünyası, kurumsal ağların temel koruma katmanı olan güvenlik duvarlarında tespit edilen yeni bir sıfırıncı gün açığıyla çalkalanıyor. Mayıs 2026 itibarıyla Check Point Quantum Güvenlik Ağ Geçitleri'nde (özellikle yakın zamanda güncellenen 5600 serisi gibi kurumsal cihazların işletim sistemlerinde) keşfedilen bu kritik zafiyet (CVSS 9.8), saldırganların kimlik doğrulama mekanizmalarını atlayarak cihaz üzerinde yönetici (admin) yetkileri elde etmesine olanak tanıyorBu zafiyet, özellikle çok kiracılı (multi-tenant) bulut ortamlarını kullanan kurumlar için yıkıcı sonuçlar doğurabilir. Saldırganlar ana sunucuyu ele geçirdikten sonra o sunucu üzerinde çalışan diğer tüm şirket uygulamalarına, hassas verilere ve şifreleme anahtarlarına erişebilir, ayrıca ağ içinde yatay olarak ilerleyerek tüm bulut altyapısını (Cloud Infrastructure) tehlikeye atabilir. Saldırganlar, VPN tünellerini veya dışa açık yönetim arayüzlerini hedef alarak ağ trafiğini izleyebilir, güvenlik kurallarını değiştirebilir ve iç ağa sızmak için cihazı bir atlama tahtası olarak kullanabilir. Güvenliğin en temel yapı taşı olan güvenlik duvarlarının bizzat kendisinin tehlikeye girmesi, iç ağdaki tüm sistemleri savunmasız bırakmaktadır. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; Üretici tarafından yayınlanan acil durum yamaları (Hotfix) derhal donanımlara uygulanmalı, Güvenlik duvarlarının yönetim arayüzleri (örneğin WebUI veya SSH portları) kesinlikle internete açık bırakılmamalı, Sıfır Güven (Zero Trust) mimarisi ile ağ segmentasyonu güçlendirilmeli, Sıra dışı yönetici girişleri, kural değişiklikleri ve VPN oturumları için anomali tespit alarmleri devreye alınmalı, Sistem logları düzenli olarak merkezi bir SIEM çözümüne aktarılarak analiz edilmelidir. Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.