İOS Güvenlik Açıkları ve Kötü Amaçlı Yazılımlar
Daha önceki günlerde, CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı) ABD hükümeti kurumlarına, DarkSword exploit kit’i tarafından hedef alınan üç iOS güvenlik açığı için acil düzeltme çağrısında bulundu. Bu açıklar, kripto para hırsızlığı ve siber casusluk saldırıları sırasında kullanılıyor.
Bulgular ve Güvenlik Açıkları
Google Tehdit İstihbarat Grubu (GTIG) ve iVerify araştırmacıları, DarkSword teslimat çerçevesinin CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510, ve CVE-2025-43520 olarak izlenen altı güvenlik açığını istismar ettiğini ortaya koydu. Bu açıklar, saldırganların kum havuzlarından kaçmasına, yetkililerini yükseltmesine ve yamalanmamış iPhone’larda uzaktan kod yürütmesine olanak tanımaktadır. Ancak Apple, bu açıkları en son iOS güncellemeleriyle kapatmış durumda; sorunlu versiyonlar yalnızca iOS 18.4 ile 18.7 arasında kalan sürümler için geçerlidir.
Saldırı Nasıl Çalışıyor?
GTIG, bu saldırılarda üç ayrı bilgi hırsızlığı yazılımı ailesinin kurbanların cihazlarına yerleştirildiğini gözlemledi. Bu yazılımlar:
- GhostBlade: Son derece agresif bir JavaScript bilgi hırsızı.
- GhostKnife: Büyük veri parçalarını dışarı aktarma kapasitesine sahip bir arka kapı.
- GhostSaber: Kod yürütme yeteneği olan ve kurbanın verilerini çalan bir JavaScript.
Özellikle UNC6353 adlı tehdit grubu, hem DarkSword hem de Coruna iOS exploit kitlerini, Ukrayna’daki e-ticaret ve yerel hizmetler sunan sitelere giren iPhone kullanıcılarına yönelik su deliklerine saldırılarda kullandı.
DarkSword, enfekte olmuş cihazlardan verileri çaldıktan sonra geçici dosyaları silerek ve çıkış yaparak tasarlandığı için kısa süreli izleme operasyonları için özel olarak hazırlanmış görünmektedir.
Etkilenen Sistemler
DarkSword’la ilişkilendirilen çeşitli tehdit grupları arasında UNC6748, Türk ticari gözetim satıcısı PARS Defense’ın bir müşterisidir. Mobil güvenlik şirketi Lookout, DarkSword’ün siber casusluk kampanyalarında kullanıldığını ve Rus istihbarat gereksinimleriyle uyumlu bir şekilde çalıştığını ileri sürmektedir.
CISA, DarkSword’un altı güvenlik açığından üç tanesini (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) aktif olarak istismar edilen güvenlik açıkları kataloğuna ekledi. Federal Sivil İdari Daire (FCEB) kurumlarının cihazlarını güvence altına almasını istemiştir. Yapılan uyarılara göre, güvenlik açıklarını kapatma talimatlarına uymak ya da uygun mitigasyonlar mevcut değilse ürünü kullanmayı durdurmak gerekiyor.
Çözüm ve Korunma
CISA’nın uyarısına göre, bu tür güvenlik açıkları kötü niyetli siber aktörler için sıkça kullanılan saldırı vektörleridir ve federal işletmeler için büyük riskler taşımaktadır. BOD 22-01 sadece federal ajanslar için geçerli olsa da, CISA tüm savunuculara, özel sektör çalışanları da dâhil olmak üzere, bu tür güvenlik açıklarını derhal kapatmalarını öneriyor.
- iOS cihazlarınızı en son versiyona güncelleyin.
- Güvenlik açıklarına karşı mevcut yazılım güncellemelerini uygulayın.
- Tehdit içeren kaynaklardan kaçının ve güvenlik yazılımlarını güncel tutun.
Sonuç
Okuyucuları, cihazlarını güncellemeye, güvenlik önlemlerini uygulamaya ve potansiyel tehditlere karşı dikkatli olmaya çağırıyoruz. Güvenlik açıkları ile ilgili önerileri takip etmek, siber tehditlere karşı korunmada kritik öneme sahiptir.
