Son dönemlerde siber güvenlik uzmanları tarafından dikkat çekici bir kötü amaçlı yazılım türü tespit edilmiştir: RoadK1ll. Bu implant, saldırganların bir hedef sistemden diğer ağ sistemlerine gizlice geçiş yapmalarını sağlıyor ve siber güvenlikteki durumun ciddiyetini gözler önüne seriyor.

Saldırı Nasıl Çalışıyor?

RoadK1ll, özel bir WebSocket protokolü üzerinden iletişim kuran bir Node.js implantıdır. Saldırganların sürekli erişim sağlamasına olanak tanırken, ek operasyonlar gerçekleştirmesine yardımcı olur. Blackpoint tarafından tespit edilen bu yazılım, “hafif ters tünelleme” işleviyle, enfekte olmuş bir makineyi saldırgan için bir iletişim noktası haline getirir.

RoadK1ll, enfekte olmuş ana makinede bir gelen dinleyiciye ihtiyaç duymaz. Bunun yerine, saldırganın kontrolündeki altyapıya outbound (dışa dönük) bir WebSocket bağlantısı kurar. Bu bağlantı, TCP trafiğini gerek duyulduğunda iletmek için bir tünel görevi görür. Saldırgan, RoadK1ll aracılığıyla iç ağdaki sistemlere erişim sağlayabilir.

Etkilenen Sistemler

Saldırganın talimatları doğrultusunda, RoadK1ll enfekte olduğu makine üzerinden çeşitli iç hizmetlere bağlantılar açabilir. Yapısı itibarıyla, güvenlik duvarlarının etrafından dolaşarak, dışarıdan erişilemeyen sistemlere ulaşabilir. Bu durum, tespit edilmeden veri sızdırma riskini artırır.

RoadK1ll aşağıdaki komut setini destekler:

• CONNECT – Belirtilen ana makine ve port üzerine TCP bağlantısı açar
• DATA – Aktif bir bağlantı üzerinden ham trafik iletir
• CONNECTED – Bir bağlantının başarıyla kurulduğunu onaylar
• CLOSE – Aktif bir bağlantıyı sonlandırır
• ERROR – Operatöre hata bilgisi döner

CONNECT komutu, saldırganın tehdit ağıyla etkileşim kurmasını sağlar. Bağlantı kesilirse, RoadK1ll aracı, WebSocket tünelini yeniden kurmak için bir yeniden bağlanma mekanizması kullanarak sürekli erişimi sürdürebilir.

Çözüm ve Korunma

RoadK1ll, geleneksel kalıcılık mekanizmalarına bağlı değildir. Kayıt anahtarları, zamanlanmış görevler veya hizmetler kullanmaz. Yalnızca süreci aktif olduğu sürece çalışır. Bu da, kötü amaçlı yazılımın tespit edilmesini zorlaştıran daha modern bir iletişim yöntemi kullandığını gösteriyor.

Blackpoint, RoadK1ll için bazı ana bilgisayar tabanlı tehdit göstergeleri (IOC) sağlamaktadır ve bu göstergeler, kullanıcıların potansiyel tehditleri tespit etmesine yardımcı olabilir.

Sonuç

Kurumlar, RoadK1ll ve benzeri tehditlere karşı önlem almak adına aşağıdaki adımları atmalıdır:

• Güncel yazılımlarınızı kontrol edin ve güncellemeleri yükleyin.
• Güvenlik duvarı ve ağ segmentasyonu politikalarınızı gözden geçirin ve gerekiyorsa düzenleyin.
• Tehdit göstergelerini göz önünde bulundurarak sistemlerinizi tarayın.
• Enfekte olmuş sistemlerinizi ayrıştırın ve gerektiğinde yeniden kurulum yapın.

Siber güvenlik risklerine karşı duyarlı olmak, her zaman için önemlidir. Kurumlar, bu tür yeni tehditleri izlemeli ve sürekli olarak kendi güvenlik önlemlerini güçlendirmelidir.

Yeni bir siber güvenlik araştırması, kötü niyetli aktörlerin FortiGate Next-Generation Firewall (NGFW) cihazlarını kurban ağlarına sızmak için kullandığını ortaya koyuyor. Bu gelişme, özellikle sağlık, devlet ve yönetilen hizmet sağlayıcıları gibi kritik sektörler için büyük bir tehdit oluşturuyor.

Saldırı Nasıl Çalışıyor?

Bu kampanya, yeni açıklanan güvenlik zaafiyetlerinin yanı sıra zayıf kimlik bilgilerini kullanarak, yapılandırma dosyalarını elde etmek üzere tasarlanmıştır. Bu dosyalar, hizmet hesabı kimlik bilgileri ve ağ topolojisi bilgileri içermektedir.

• CVE-2025-59718, CVE-2025-59719 ve CVE-2026-24858 gibi bilinen güvenlik açıkları, saldırganların FortiGate cihazlarına erişmesine olanak tanır.
• Araştırmalar, bu cihazların Active Directory (AD) ve Lightweight Directory Access Protocol (LDAP) gibi kimlik doğrulama altyapılarına önemli erişim sağladığını belirtmektedir.

Etkilenen Sistemler

–  FortiGate NGFW cihazları : Bu cihazlar, güvenlik kontrollerini entegre ederek ağ izleme yetenekleri sunmaktadır. Ancak aynı zamanda kötü niyetli aktörler için cazip hedeflerdir.
– Saldırganlar, bu cihazlara müdahale ederek yeni yerel yönetici hesapları oluşturmakta ve güvenlik politikalarını değiştirebilmektedir.

Çözüm ve Korunma

Organizasyonlar, bu tür siber saldırılardan korunmak için aşağıdaki adımları atmalıdır:

• Güncellemeleri Yükleyin: FortiGate cihazlarındaki yazılım güncellemelerini düzenli olarak kontrol edin ve yükleyin.
• Port Kapatma: Özellikle kritik hizmetler için gerekli olan portları en az düzeye indirin.
• Güçlü Kimlik Bilgileri Kullanın: Zayıf veya varsayılan şifrelerden kaçının, karmaşık parolalar tercih edin.
• Güvenlik İzleme: Ağa erişimi düzenli olarak izleyin ve anomali tespit sistemleri kullanın.

Sonuç

FortiGate araçlarının kullanımı artarken, bu tür saldırılara karşı önlem almak kritik önem taşımaktadır. Sistem yöneticileri, yazılımlarını güncelleyerek ve güvenlik yapılandırmalarını gözden geçirerek, ağlarını bu tür tehditlere karşı korumalıdır. Zamanında müdahale ile oluşabilecek zararın önüne geçilebilir.

X dosyalarına bakarak büyüdüm. 1990’ların sonunda, cep telefonlarının alımı bugün olduğu gibi değildi. O zaman, kendime Scully ve Mulder’ın quantico’daki patronları Skinner’ı nasıl arayabildiklerini sordum ama Amerikan kıtasındaki en uzak ve tuhaf yerleri araştırırken bile.

Özel ajanlarımızın küçük vanalarının uydu telefonları olmadığından emin olabiliriz. Bugün bir Android iPhone veya telefon kullanan milyarlarca insandan biriyseniz, dikkate alınması gereken birkaç faktör ve sinyal almakta zorlanıyorsanız deneyebileceğiniz ipuçları var.

Önce 1-eliminat fiziksel faktörler

Her telefon en az bir anten, hatta dört içerir. Metal nesneler ve beton duvarlar bu antenlere sinyalleri engeller, bu nedenle telefonunuzu uzak tuttuğunuzdan emin olun (yani telefonunuz). Daha yüksek bir yere tırmanmak her zaman yararlıdır. Aynı şekilde, bir pencereye yaklaşmak, çıkış bir seçenek değilse yararlıdır.

Telefonunuzun koruyucu durumu bile en güçlü sinyali engelleyebilir.

Ayrıca, iPhone’unuzun bir sinyale bakmak ve bağlanmak için yeterli pili olduğundan emin olmalısınız. Bu, doğrudan güç kaynağına dayanan bir bant genişliği olan 15 desibelde üç watt gerektirebilir. Düşük pil göstergesi, telefonun bir bağlantı kurmak için katlanarak çalıştığı anlamına gelir.

2-aktive düzlem modunu, ardından yeniden başlatın

Uçak aktivasyonu, hücresel veriler, Wi-Fi ve Bluetooth dahil olmak üzere tüm kablosuz iletişim işlevlerini devre dışı bırakır. Devre Dışı Bırak Bu sistemleri yeniden başlatır ve onları bölgedeki en güçlü sinyale bağlanmaya zorlar.

Uçak simgesi kontrol merkezinde (iOS için) veya parmağınızı ekranın üstünden kaydırarak erişebileceğiniz hızlı ayarlar (Android için) paneldedir. İşlevi oradan veya telefon ayarlarından etkinleştirebilirsiniz.

Uçak modunu etkinleştirdikten sonra, tekrar devre dışı bırakmadan önce 10 ila 15 saniye bekleyin. Bu kısa elektrik kesintisi, verilerin tüm geçici tıkanıklıkları ve hatalarını siler, böylece ihraççılar-alıcısını varsayılan bir duruma geri yükler.

Bu işe yaramazsa, telefonunuzu tam olarak yeniden başlatmak için bir dakikanızı ayırın.

Tüm bilgisayarlarda olduğu gibi, bazı ağ bağlantıları tam bir yeniden başlatma ile onarılabilir. Telefonunuzu yeniden başlatmak için, tedarik ve hacim azaltma düğmelerinde aynı anda basın ve sıfırlama parametreleri görünene kadar bunları basılı tutun. Oradan durma isteğine basın veya kaydırın.

Cihazı açmadan önce en az 10 saniye beklediğinizden emin olun. Bu, cihazın kapasitörleri ve devrelerindeki herhangi bir artık gücün tamamen dağılmasına izin verir, böylece kalıcı elektrik yüklerinin neden olduğu sorunlardan kaçınır.

3-SIM kartınızı doğrulayın, eğer bir tane varsa

Koruyucu kabuğun telefonunuzdan çekilmesi gibi, cihazı operatörünüze bağlayan küçük malzeme elemanının geri çekilmesi bir dakika sürebilir. Ve bu bir sim alet veya trombon gerektirir. İPhone 14’ten önceki tüm Android telefonlar ve tüm modellerde solda, sağda veya muhtemelen cihazın üstünde bir SIM kart konumu vardır.

Bu telefonlardan birine sahipseniz, tepsiyi çıkarmak için SIM ejeksiyon aracınızı kullanın, SIM kartı temizleyin, ardından SIM’i yeniden kullanın.

Yukarıda belirtildiği gibi, iPhone modelleri 2022’de yayınlandı ve sonra fiziksel SIM kartı yok. Apple, bunları tedarikçiler ve mobil ağlar arasındaki değişimi kolaylaştıran entegre bir dijital sürüm (ESIM olarak adlandırılır) ile değiştirdi.

Telefonunuz tamamen güncellendi mi?

Telefon üreticileri, çağrılar, kısa mesajlar ve genel performans için bağlantıyı artırmak için yazılım güncellemelerini düzenli olarak yayınlar. Ancak, kullanıcılar bu güncellemeleri yüklemekten sorumludur. Cihazınızı optimize ve güvenli tutmak için gereklidir.

Cihazınızın güncel olup olmadığını görmek için, Ayarlardaki Yazılım Güncelleme bölümüne danışabilirsiniz. Bu, Android ve iOS cihazları için geçerlidir.

5-tue rücu: ağ parametrelerini sıfırla

Umarım kendinizi asla böyle bir durumda bulamazsınız, ancak telefonunuzun ağ ayarlarını her zaman güncelleyebilirsiniz. Bu, kaydedilen Wi-Fi şifrelerinizin yanı sıra mobil verileriniz ve Bluetooth’unuz için ayarlar için bir sinyal yakalama şansınızı artırabilir. VPN bağlantıları ve APN konfigürasyonlarının parametreleri de yeniden programlanmalıdır.

Gerçekten iPhone’unuzda yoğuruyorsanız: Ayarlar> Genel> iPhone> Sıfırla Sıfırla veya Sıfırla.

Yol Android modellerine göre değişir, ancak genellikle benzer: Ayarlar> Genel Yönetim> Sıfırlama> Mobile/Wi-Fi ve Bluetooth Ağ Ayarları Sıfırla.

Neyse ki, bu, telefonunuzun tüm içeriğinin tamamen silinmesine yol açmaz (bu seçeneği tercih etmedikçe). İdeal olmasa da, bu tür sıfırlama bağlantı elde etme şansınızı artırabilir.

genel-15

genel-18