Clesp Blog

143.000 Zararlı Dosya Android ve iOS Kullanıcılarını Hedef Aldı (Q2 2025)

Yayınlayan: Ali Toprak Naz | Tarih: 6 Eylül 2025

Anahtar Kelimeler : android malware, ios malware, mobil zararlı yazılım, banking trojan, mobil ransomware, sparkkitty, otpsteal, mobil fidye yazılım, trojan spyware, sahte uygulama mağazası, mobil siber saldırı, mobil veri hırsızlığı, kripto cüzdan saldırısı, 2fa bypass, mobil ddos botnet, zararlı sdk, q2 2025 malware, kaspersky raporu, mobil güvenlik

outhlookdoor

Siber suçlular, 2025’in ikinci çeyreğinde Android ve iOS cihazlarına yönelik büyük bir malware saldırısı başlattı. Güvenlik araştırmacıları, 143.000’den fazla zararlı kurulum paketi tespit etti.

Ne Oldu?

  • 143.000 mobil malware paketi Android ve iOS cihazlarını hedef aldı.
  • Banking Trojanlar (42.220 adet) en yaygın tehdit oldu.
  • 695 mobil fidye yazılımı (ransomware) paketi tespit edildi.
  • Sahte uygulama mağazaları, zararlı SDK’lar ve sosyal mühendislik yöntemleri kullanıldı.
  • SparkKitty malware, kripto cüzdan kurtarma kodlarını ekran görüntülerinden çaldı.

Teknik Detaylar

  • Trojans: Tüm kötü amaçlı aktivitelerin %31,69’unu oluşturdu.
  • OtpSteal Trojan: VPN kılığında OTP kodlarını ele geçirip Telegram’a iletti.
  • DDoS Trojan: Yetişkin içerik uygulamalarına gömülen SDK ile botnet oluşturdu.
  • Evasion & Persistence: Zararlı yazılımlar, tespit edilmemek için sistemle derin entegrasyon sağladı.

Neden Önemli?

  • Hem Android hem de iOS kullanıcılarını eş zamanlı hedef alan saldırıların sayısı artıyor.
  • Kripto cüzdan güvenliği doğrudan tehdit altında.
  • İki faktörlü kimlik doğrulama (2FA) bile otomatik olarak aşılabiliyor.
  • Milyonlarca kullanıcı, sahte uygulamalar üzerinden farkında olmadan zararlı yükleyebiliyor.

Kullanıcılar Ne Yapmalı?

  • Uygulamaları yalnızca resmî mağazalardan (Google Play, App Store) indirin.
  • Şüpheli izinler isteyen uygulamalara dikkat edin.
  • Finansal hesaplarınızı ve kripto cüzdanlarınızı düzenli kontrol edin.
  • Antivirüs ve güvenlik yazılımlarını güncel tutun.
  • 2FA kullanın, ancak mümkünse donanım tabanlı güvenlik anahtarları tercih edin.

Daha fazla teknik detay için Cyber Security News'i inceleyebilirsiniz.

Chess.com Veri İhlali: 4.500’den Fazla Kullanıcının Bilgileri Sızdırıldı

Yayınlayan: Eren Toytoglu | Tarih: 5 Eylül 2025

Anahtar Kelimeler : chess.com veri ihlali, chess.com hack, chess.com saldırı, kişisel veri sızıntısı, kimlik hırsızlığı, phishing saldırısı, online satranç güvenlik, chess.com kullanıcı verileri, siber saldırı 2025, chess.com güvenlik

outhlookdoor

Dünyanın en büyük online satranç platformlarından Chess.com, kişisel verilerin sızdırıldığı bir siber saldırıyı duyurdu. Maine Başsavcılığı’na yapılan bildiriye göre olayda 4.541 kullanıcının bilgileri etkilendi.

Ne Oldu?

  • İhlal 5 Haziran 2025’te gerçekleşti, ancak 19 Haziran 2025’te tespit edildi.
  • Saldırganlar, dış sistemlere yetkisiz erişim sağlayarak iç verilere ulaştı.
  • Ele geçirilen veriler arasında kullanıcı adları ve kişisel tanımlayıcı bilgiler bulunuyor.

Chess.com’un Açıklaması

  • Şirket, etkilenen kullanıcılara 3 Eylül 2025’te yazılı bildirim gönderdi.
  • Etkilenenlere 12 ay ücretsiz kimlik hırsızlığı koruma hizmeti sunuluyor.
  • Chess.com’un Hukuk Departmanı Başkanı ve Veri Koruma Sorumlusu Elias Colabelli, güvenlik önlemlerinin artırıldığını açıkladı.

Neden Önemli?

  • Etkilenen kişi sayısı az görünse de Chess.com’un 150 milyondan fazla kullanıcısı var.
  • Bu da platformu siber suçlular için cazip bir hedef haline getiriyor.
  • Uzmanlara göre bu tür ihlaller, kimlik hırsızlığı, phishing saldırıları ve finansal dolandırıcılıklara zemin hazırlayabilir.

Kullanıcılar Ne Yapmalı?

  • Finansal hesaplar ve kişisel bilgilerinizi düzenli takip edin.
  • Şüpheli e-postalara karşı dikkatli olun.
  • Güçlü şifreler ve mümkünse iki faktörlü kimlik doğrulama (2FA) kullanın.

Daha fazla teknik detay için Cyber Security News'i inceleyebilirsiniz.

Yeni “NotDoor” Zararlı Yazılımı Outlook Kullanıcılarını Hedef Alıyor

Yayınlayan: Ali Toprak Naz | Tarih: 4 Eylül 2025

Anahtar Kelimeler:notdoor malwgare, outlook saldırısı, apt28 fancy bear, rusya siber saldırı, vba zararlı yazılım, dll side-loading, outlook veri sızıntısı, makro saldırısı, outlook güvenlik, siber casusluk

outhlookdoor

Siber güvenlik araştırmacıları, APT28 (Fancy Bear) adlı Rusya bağlantılı siber casusluk grubuna atfedilen yeni bir zararlı yazılım keşfetti. “NotDoor” adı verilen bu arka kapı, Microsoft Outlook kullanıcılarını hedef alıyor; veri çalabiliyor, dosya yükleyebiliyor ve saldırganlara uzaktan komut çalıştırma imkânı sunuyor.

Nasıl Çalışıyor?

  • Visual Basic for Applications (VBA)ile yazılan NotDoor, Outlook içinde belirli e-posta tetikleyicilerini dinliyor.
  • Örneğin “Daily Report” gibi anahtar kelimeler içeren bir e-posta geldiğinde zararlı aktif hale geliyor.
  • Outlook’un normal işlevlerini kullanarak saklanıyor ve kalıcılığını sürdürüyor.

Kullandığı Teknikler

  • Kod Karartma (Obfuscation): Analizi zorlaştırmak için değişken adlarını rastgeleleştiriyor ve özel şifreleme yöntemleri kullanıyor.
  • DLL Side-Loading: OneDrive.exe gibi imzalı Microsoft dosyalarını kötü amaçlı DLL yüklemek için istismar ediyor.
  • Kayıt Defteri Manipülasyonu: Outlook’un güvenlik uyarılarını devre dışı bırakıp makroları sessizce çalıştırıyor.
  • Veri Sızdırma:Geçici dosyaları gizli bir klasörde saklıyor ve daha sonra saldırganlara e-posta yoluyla iletiyor.

Neden Tehlikeli?

  • Outlook’un meşru özelliklerini kötüye kullanıyor → kullanıcıların fark etmesi çok zor.
  • Gelişmiş saklanma teknikleri ile güvenlik yazılımlarını atlatıyor.
  • Kurumsal veri sızıntısı ve uzaktan kontrol riski oluşturuyor.

Kimlerin Hedefinde?

NotDoor’un özellikle NATO ülkelerindeki kurumları ve farklı sektörlerden şirketleri hedef aldığı tespit edildi. Saldırının arkasında, geçmişte 2016 DNC saldırısı ve WADA ihlalleri gibi büyük operasyonlara imza atan APT28 (GRU bağlantılı) grubunun olduğu düşünülüyor.

Daha fazla teknik detay için Cyber Security News'i inceleyebilirsiniz.

Google Cloud Kaynaklı Rekor Düzeyde 11.5 Tbps'lik DDoS Saldırısı Engellendi

Yayınlayan: Burak Akpınar | Tarih: 3 Eylül 2025

Anahtar Kelimeler: DDoS, UDP Flood, Google Cloud Platform, Cloudflare, siber saldırı, botnet, rekor saldırı, ağ güvenliği

ddos-saldırı-grafiği
p>Web güvenliği ve altyapı sağlayıcısı Cloudflare, Google Cloud Platform kaynaklarından başlatılan ve saniyede 11.5 terabit (Tbps) gibi rekor bir boyuta ulaşan devasa bir UDP flood DDoS saldırısını durdurduğunu açıkladı. Bu olay, şimdiye kadar kaydedilen en büyük hacimli saldırılardan biri olarak tarihe geçti.

Saldırının Teknik Detayları

  • Saldırı, hedef sunucuyu çok sayıda UDP paketiyle boğan bir "UDP seli" yöntemiyle gerçekleştirildi.
  • Cloudflare'in otomatik savunma sistemleri, hiper hacimli saldırıyı otonom olarak tespit etti ve yaklaşık 35 saniye gibi çok kısa bir sürede etkisiz hale getirdi.
  • Paylaşılan saldırı grafiği, trafiğin aniden 11.5 Tbps'ye fırladığını ve hemen ardından sistemler tarafından bastırıldığını gösteriyor.

Neden Tehlikeli?

  • Bu büyüklükteki bir saldırı, en dayanıklı ağ altyapılarını bile kolayca devre dışı bırakabilir ve hedef hizmetleri tamamen erişilemez hale getirebilir.
  • Saldırının Google Cloud gibi büyük bir bulut sağlayıcıdan kaynaklanması, saldırganların ne kadar büyük ve ölçeklenebilir kaynakları kötüye kullanabildiğini gösteriyor.
  • Bu tür olaylar münferit değildir. Cloudflare, son haftalarda saniyede 5.1 milyar paketlik saldırılar da dahil olmak üzere yüzlerce benzer saldırıyı engellediğini bildirdi.
  • Saldırganlar, bulut platformlarını kullanarak geleneksel donanımlarla mümkün olmayan güçte botnetler oluşturabilmektedir.

Saldırının Kaynağı ve Yöntemi

Bu rekor saldırının kaynağı olarak Google Cloud Platform üzerindeki ele geçirilmiş kaynaklar tespit edilmiştir. Saldırganlar, UDP protokolünün "bağlantısız" doğasından faydalanmıştır. Bu yöntemde sunucu, her bir sahte pakete yanıt vermeye çalışırken kaynaklarını hızla tüketir ve meşru kullanıcılara hizmet veremez duruma gelir.

Sonuç ve Alınan Önlemler

Cloudflare'in otonom savunma sistemlerinin başarısı, modern ve anlık gelişen siber tehditlere karşı otomatikleştirilmiş korumanın ne kadar kritik olduğunu bir kez daha ortaya koymuştur.

Bu saldırı, bulut hizmetlerinin kötüye kullanımıyla ortaya çıkan güvenlik risklerini ve bu tür tehditlere karşı sürekli teyakkuzda olunması gerektiğini vurgulamaktadır.

Cloudflare, saldırının daha ayrıntılı teknik analizini içeren bir raporu yakın zamanda yayınlayacağını belirtti.

Linux UDisks Daemon Zafiyeti, Saldırganların Ayrıcalıklı Kullanıcı Dosyalarına Erişmesine Olanak Tanıyor

Yayınlayan: Eren Toytoğlu | Tarih: 1 Eylül 2025

Anahtar Kelimeler: Linux zafiyeti, UDisks daemon, CVE-2025-8067, yetki yükseltme, Red Hat, D-BUS arayüzü, CWE-125, yerel saldırı, linux güvenlik açığı

linux-udisks-vulnerability

Linux UDisks daemon'ında, ayrıcalıksız saldırganların ayrıcalıklı kullanıcılara ait dosyalara erişmesine olanak tanıyabilecek kritik bir güvenlik açığı keşfedildi. CVE-2025-8067 olarak tanımlanan bu zafiyet, 28 Ağustos 2025'te kamuoyuna açıklandı ve 8.5 CVSS v3 puanıyla "Önemli" olarak derecelendirildi.

Zafiyet Nasıl Çalışıyor? (Teknik Detaylar)

  • Zafiyet, UDisks daemon'ının D-BUS arayüzü üzerinden gelen istekleri işleyen döngü aygıtı (loop device) yöneticisindeki hatalı girdi doğrulamasından kaynaklanmaktadır.
  • Daemon, döngü aygıtı oluşturmak için kullanılan bir dizin (index) değerinin üst sınırını doğru bir şekilde kontrol ederken, alt sınırını doğrulamayı ihmal ediyor.
  • Bu ihmal, saldırganların negatif dizin değerleri göndermesine olanak tanıyarak sınır dışı okuma (out-of-bounds read) durumuna (CWE-125) yol açıyor.

Neden Tehlikeli?

  • Ayrıcalıksız bir kullanıcı, bu zafiyeti kullanarak UDisks daemon'ını çökertebilir veya daha kritik olarak yerel yetki yükseltme saldırısı gerçekleştirebilir.
  • Saldırganlar, normal izin denetimlerini atlayarak hassas ve ayrıcalıklı dosyalara erişebilir.
  • Zafiyet, kriptografik anahtarların, kişisel verilerin ve Adres Alanı Düzenini Rastgeleleştirme (ASLR) korumalarını atlatabilecek bellek adreslerinin ifşa edilmesine neden olabilir.
  • Saldırının karmaşıklığı düşüktür ve herhangi bir kullanıcı etkileşimi gerektirmez.

Etkilenen Sistemler

Red Hat Ürün Güvenliği ekibi, zafiyetin düşük sömürü karmaşıklığı ve önemli yetki yükseltme potansiyeli nedeniyle "Önemli" olarak sınıflandırmıştır. Etkilenen Red Hat Enterprise Linux sürümleri şunlardır:

  • Red Hat Enterprise Linux 10 (udisks2)
  • Red Hat Enterprise Linux 9 (udisks2)
  • Red Hat Enterprise Linux 8 (udisks2)
  • Red Hat Enterprise Linux 7 (udisks2)
  • Red Hat Enterprise Linux 6 (udisks – destek dışı)

Sonuç ve Çözüm

Şu anda, yayınlanacak güncel paketleri kurmak dışında bilinen bir azaltma yöntemi bulunmamaktadır. Bu zafiyet, güvenlik araştırmacısı Michael Imfeld (born0monday) tarafından keşfedilip Red Hat'e bildirilmiştir.

Etkilenen Linux dağıtımlarını kullanan kurumların, bu kritik yetki yükseltme zafiyetinin sömürülmesini önlemek için güvenlik yamalarını yayınlanır yayınlanmaz hemen uygulamaları gerekmektedir.

Daha fazla teknik detay için Cyber Security News'i inceleyebilirsiniz.

WhatsApp'ta Sıfır Tıklama (Zero-Click) Açığı: iOS ve macOS Kullanıcıları Tehlikede

Yayınlayan: Burak Akpınar | Tarih: 31 Ağustos 2025

Anahtar Kelimeler: whatsapp güvenlik, zero-click, zero-day, whatsapp zafiyeti, iOS güvenlik, macOS güvenlik, ImageIO, CVE-2025-55177, CVE-2025-43300

WhatsApp Güvenlik Açığı

WhatsApp, Apple iOS ve macOS cihazlarındaki mesajlaşma uygulamalarında, hedefli saldırılarda kullanılmış olabilecek kritik bir güvenlik açığını giderdiğini duyurdu.

Açığın Detayları

CVE-2025-55177 (CVSS puanı: 8.0) olarak adlandırılan bu zafiyet, bağlantılı cihaz senkronizasyon mesajlarındaki yetkilendirme eksikliğinden kaynaklanıyor. Meta'ya bağlı şirket, bu açığın "alakası olmayan bir kullanıcının, hedef cihazda rastgele bir URL'den içerik işlemini tetiklemesine" olanak tanıyabileceğini belirtti.

Etkilenen sürümler şunlardır:

  • WhatsApp for iOS, 2.25.21.73'ten önceki sürümleri
  • WhatsApp Business for iOS, 2.25.21.78 sürümü
  • WhatsApp for Mac, 2.25.21.78 sürümü

Sıfır Tıklama (Zero-Click) Saldırısı

Saldırının, yakın zamanda Apple'ın iOS, iPadOS ve macOS sistemlerinde keşfedilen bir başka açık olan CVE-2025-43300 ile zincirlenerek, hedefli bireylere karşı gelişmiş bir casus yazılım kampanyasıyla kullanılmış olabileceği düşünülüyor. Amnesty International Güvenlik Laboratuvarı başkanı Donncha Ó Cearbhaill, bu tür saldırıların sıfır tıklama olduğunu, yani cihazı tehlikeye atmak için kullanıcı etkileşimi (örneğin bir linke tıklamak) gerektirmediğini belirtti.

Ne Yapılmalı?

WhatsApp, bu saldırıdan etkilenmiş olabileceğini düşündüğü belirli sayıda kullanıcıyı bilgilendirdi ve tam bir fabrika ayarlarına sıfırlama işlemi yapmalarını, işletim sistemlerini ve WhatsApp uygulamalarını güncel tutmalarını önerdi. Saldırıların arkasında hangi casus yazılım firmasının olduğu şu an için bilinmiyor.

Özet

Bu olay, özellikle gazeteciler ve insan hakları savunucuları gibi sivil toplum bireylerini hedef alan, devlet destekli casus yazılımların oluşturduğu tehdidi bir kez daha gözler önüne seriyor. Siber tehdit aktörleri, savunması en güçlü platformları bile aşmak için sürekli yeni ve karmaşık yöntemler geliştiriyor.

Daha fazla teknik detay için Cyber Security News'i inceleyebilirsiniz.

PDF ve LNK Dosyaları Kullanılarak Windows Sistemlerine Saldırı

Yayınlayan: Ali Toprak Naz | Tarih: 30 Ağustos 2025

Anahtar Kelimeler:pdf saldırısı, lnk dosyası, windows saldırısı, powershell zararlı yazılım, fileless malware, xor şifreleme, reflective dll injection, apt37 saldırısı, pdf zararlı, siber casusluk

pdflnk

Siber güvenlik araştırmacıları, saldırganların artık zararsız görünen bir PDF dosyası ile birlikte kötü amaçlı bir Windows kısayol (.LNK) dosyası kullanarak Windows sistemlerini hedef aldığını ortaya çıkardı.

Nasıl Çalışıyor?

  • Hedeflere gönderilen arşiv içinde bir PDF haber bülteni ve ona benzeyen sahte bir .LNK dosyası bulunuyor.
  • Kullanıcı LNK dosyasını çalıştırdığında, arka planda PowerShell tabanlı çok aşamalı bir yükleyici devreye giriyor.
  • Yükleyici, gömülü zararlı dosyaları bellek üzerinde açıyor. Böylece disk tabanlı antivirüs kontrollerini atlatıyor.

Teknik Detaylar

  • LNK dosyasında birden fazla ikili payload gizlenmiş durumda.
  • Çalıştırıldığında bu payload’lar %TEMP% dizinine gizlenerek batch script aracılığıyla decode ediliyor.
  • Nihai zararlı, tek baytlık XOR şifreleme ile çözüldükten sonra GlobalAlloc, VirtualProtect, CreateThread gibi Windows API çağrılarıyla belleğe enjekte ediliyor.
  • Bu teknik, saldırının iz bırakmadan çalışmasını sağlıyor.

Kime Yönelik?

Saldırılar, özellikle Güney Kore’deki akademik ve devlet kurumlarını hedef aldı. Sahte PDF, “국가정보연구회 소식지 (52호)” başlıklı meşru bir bülten gibi görünüyor.

Neden Tehlikeli?

  • Zararlı yazılım hiçbir zaman diske yazılmıyor → klasik antivirüs yazılımları devre dışı kalıyor.
  • Sanal makine ve sandbox tespiti yapıyor → analizden kaçıyor.
  • Bu yöntemler, saldırının arkasında devlet destekli bir tehdit aktörü (APT37) olduğunu işaret ediyor.

    • Sonuç

    PDF + LNK kombinasyonu, siber saldırıların geldiği noktayı net şekilde gösteriyor: çok katmanlı, dosyasız (fileless) ve tespit edilmesi zor bir yapı. Bu tarz saldırılar özellikle kurumsal ortamlarda ciddi tehdit oluşturuyor.

    Daha fazla teknik detay için Cyber Security News'i inceleyebilirsiniz.

    Yapay Zeka ile Gelecek: Korkmalı mı, Heyecanlanmalı mı?

    Yayınlayan: Eren Toytoğlu | Tarih: 29 Ağustos 2025

    Anahtar Kelimeler: yapay zeka, yapay zeka geleceği, ai teknolojisi, günlük hayatta yapay zeka, iş dünyasında yapay zeka, yapay zeka ve insan, yapay zeka korkuları, yapay zeka etik, yapay zeka fırsatları, yapay zeka ile yaşam

    yapayzekakormalımı

    Son yıllarda yapay zeka (AI) hayatımızın her alanına girdi. Bundan birkaç yıl önce hayal bile edemediğimiz şeyler bugün günlük rutinimizin bir parçası.

    Telefonlarımızın yüzümüzü tanıyıp ışığı ayarlaması, Spotify ve Netflix’in bize özel öneriler sunması, hatta iş hayatında verilerin saniyeler içinde analiz edilmesi… Hepsi AI sayesinde mümkün.

    Günlük Hayatta AI

    Farkında olmasak da yapay zeka sürekli yanımızda. Trafik bilgisi, hava durumu, kişisel öneriler… AI, alışkanlıklarımızı öğreniyor ve bize özel çözümler üretiyor.

    İş Dünyasında Yeni Dönem

    Eskiden saatler süren veri analizleri artık dakikalar içinde bitiyor. Şirketler chatbotlarla müşteri desteği sağlıyor. AI, insanların yerine geçmekten çok onların yanında çalışan bir yardımcı haline geliyor.

    İnsan + AI = Güçlü Bir Ortaklık

    Yapay zeka bizden “daha akıllı” değil; ama bizim göremediğimiz detayları görüp tamamlayıcı oluyor. İnsanların hayal gücü ve AI’nin veri işleme gücü birleştiğinde ortaya yeni fırsatlar çıkıyor.

    Endişeler ve Etik

    Elbette “AI işleri elimizden alacak mı?” gibi sorular akla geliyor. Ancak yapay zeka bizim sağladığımız verilerle çalışıyor. Kontrol hâlâ bizde. Buradaki kritik nokta etik: verilerin doğru kullanılması ve kararların adil olması.

      Sonuç

      Yapay zeka sadece bir teknoloji değil, geleceğimizi şekillendiren bir yolculuk. AI’ye rakip gibi değil, ortak olarak bakarsak önümüzde büyük fırsatlar var. Gelecek, AI’yi doğru kullananların olacak.

      Daha fazla teknik detay için My Kolej'i inceleyebilirsiniz.

      Yeni Microsoft: 30.000’den Fazla IP ile Microsoft RDP Servislerine Yönelik Dev Saldırı Taraması

      Yayınlayan: Ali Toprak Naz| Tarih: 28 Ağustos 2025

      Anahtar Kelimeler: rdp saldırısı, rdp güvenlik, rd web access, rdp web client, brute force, credential stuffing, fidye yazılım, siber saldırı, rdp tarama, rdp koruma, vpn güvenliği

      Microsoft RDP servisi

      Son günlerde güvenlik araştırmacıları, Microsoft Remote Desktop Protocol (RDP) servislerine yönelik tarihin en büyük tarama kampanyalarından birini tespit etti.

      Saldırganlar, 30.000’den fazla farklı IP adresi üzerinden Microsoft RD Web Access ve RDP Web Client portallarını hedef alıyor.

      Neler Oluyor?

      • İlk dalga 21 Ağustos 2025’te başladı, yaklaşık 2.000 IP aynı anda RDP servislerini taradı.
      • 24 Ağustos’ta ise rakam 30.000’den fazla IP’ye çıktı.
      • Kullanılan yöntem, zaman tabanlı kimlik doğrulama enumerasyonu. Yani saldırganlar, sunucunun yanıt sürelerindeki küçük farkları analiz ederek geçerli kullanıcı adlarını öğrenebiliyor. Bu yöntem klasik brute-force korumalarını aşabiliyor.

      Tehditin Ciddiyeti

      • Bu taramalar genellikle sıfır gün açıkları (0-day) keşiflerinden 4-6 hafta önce görülüyor.
      • Amaç: Büyük ölçekli fidye yazılım saldırıları, kimlik bilgisi hırsızlığı ve şifre denemeleri (credential stuffing) için hedef listeleri oluşturmak.
      • Trafiğin %92’si daha önce kötü amaçlı olarak sınıflandırılmış IP’lerden geliyor. En çok kaynak ise Brezilya’dan (%73), hedefler ise ağırlıklı olarak ABD.

      Neden Eğitim Sektörü Hedefte?

      ABD’de okulların açılma dönemi olduğu için saldırılar özellikle üniversite ve eğitim kurumlarının RDP sistemlerine yoğunlaştı. Eğitim kurumları genellikle tahmin edilebilir kullanıcı adı formatları (isim.soyisim, öğrenci numarası vb.) kullandığından, saldırganların işini kolaylaştırıyor.

      Kurumlar Ne Yapmalı?

      Alınabilecek önlemler şunlardır:

      • RDP erişimlerini doğrudan internete açmamak
      • Güçlü MFA (çok faktörlü kimlik doğrulama) kullanmak.
      • Log ve anormal giriş denemelerini yakından izlemek
      • Mümkünse VPN arkasından erişim sağlamak

      Sonuç

      Bu kampanya, sadece RDP kullanan kurumlar için değil, tüm internet altyapısı için ciddi bir uyarı niteliğinde. Saldırganlar sistematik şekilde hedef listeleri oluşturuyor. Eğer RDP servisiniz açıksa, şimdi önlem almanın tam zamanı.

      Daha fazla teknik detay için Cyber Security News'i inceleyebilirsiniz.

      Yeni 5G Açığı: Sni5Gect Saldırısı ile 5G'yi 4G'ye Düşürme ve Telefon Çökertme

      Yayınlayan: Burak Akpınar | Tarih: 27 Ağustos 2025

      Anahtar Kelimeler: 5G güvenlik açığı, Sni5Gect saldırısı, 5G zafiyetleri, 4G downgrade, modem çökertme, ASSET Research Group

      5G Security Vulnerability

      5G teknolojisi, mobil iletişimde yüksek hız ve düşük gecikme ile geleceğin bağlantı altyapısı olarak kabul ediliyor. Ancak Sni5Gect saldırısı, bu güvenlik anlayışını sarsacak nitelikte bir açık ortaya koydu.

      Sni5Gect, 5G ağındaki gNB (base station) ile UE (telefon) arasındaki şifrelenmemiş mesajları dinleyip (sniffing), bu mesajları gerçek zamanlı çözerek saldırı yükleri enjekte edebilen bir açık kaynak araçtır. Üstelik bu saldırı için sahte baz istasyonu (rogue gNB) kurmaya gerek yoktur.

      Saldırı Mekanizması Nasıl Çalışıyor?

      Saldırı, NAS (Non-Access Stratum) güvenlik bağlamı oluşturulmadan önceki kısa iletişim penceresinde gerçekleşir ve şu adımları izler:

      • Bağlantı Süreci: Cihaz 5G ağına bağlanırken, ilk aşamada kimlik doğrulaması yapılmadan bazı mesajlar şifresiz iletilir.
      • Sniffing (Dinleme): Sni5Gect, bu aşamada RACH ve RAR gibi kritik mesajları dinler.
      • State Tracking (Durum Takibi): Dinlenen mesajlar çözülerek cihazın bağlantı durumu anlık olarak takip edilir.
      • Injection (Enjeksiyon): Doğru anda saldırı payload’ı enjekte edilerek hedef cihaz etkisiz hale getirilir.

      Sni5Gect ile Yapılabilen Saldırılar

      • 5G → 4G Düşürme: Cihazın bağlantısını zorla 4G’ye düşürerek eski ve daha zayıf protokollerin açıklarını kullanmaya olanak tanır.
      • Modem Çökertme: Hedef telefonu bağlantısız bırakarak manuel yeniden başlatmaya zorlar.
      • Fingerprinting: Cihazın marka ve model gibi donanım bilgilerinin sızdırılmasını sağlar.
      • Kimlik Doğrulama Atlatma: Şifreleme süreci başlamadan önce saldırıyı gerçekleştirerek ilk güvenlik katmanlarını bypass eder.

      Test Sonuçları ve Başarı Oranları

      ASSET Research Group tarafından yapılan testlerde (OnePlus, Samsung, Google Pixel, Huawei cihazları üzerinde) 20 metre mesafeye kadar %80 dinleme ve %70-%90 arası enjeksiyon başarı oranları elde edilmiştir.

      Bu Açık Neden Kritik?

      Saldırı yalnızca bağlantıyı kesmekle kalmaz; aynı zamanda lokasyon takibi, daha kapsamlı siber saldırılara zemin hazırlama ve genel ağ güvenliğini tehlikeye atma gibi riskler doğurur. Özellikle bağlantıyı 4G’ye düşürme yeteneği, bilinen eski zafiyetleri yeniden aktif hale getirir.

      Çözüm ve Öneriler

      Bu tür saldırılara karşı alınabilecek önlemler şunlardır:

      • Protokol Geliştirmesi: RACH ve NAS öncesi iletişim süreçlerine ek şifreleme katmanları eklenmelidir.
      • Firmware Güncellemeleri: Qualcomm ve MediaTek gibi modem üreticilerinin yayınlayacağı güvenlik yamaları derhal uygulanmalıdır.
      • IDS Entegrasyonu: 5G ağlarında, paket bazlı anomali tespiti yapabilen Saldırı Tespit Sistemleri (Intrusion Detection Systems) kullanılmalıdır.

      Daha fazla teknik detay için ASSET Research Blog'u inceleyebilirsiniz.