Pro-Ukraynalı hacktivist grup PhantomCore, 2025 Eylül ayından bu yana Rusya’daki TrueConf video konferans yazılımını hedef alan saldırılarla anılmaktadır. Bu saldırılar, Positive Technologies tarafından yayımlanan bir raporla gün yüzüne çıkmış, tehdit aktörlerinin hassas sunucularda uzak komut yönetimi gerçekleştirmek için üç farklı güvenlik açığı zincirine başvurdukları tespit edilmiştir.

Saldırı Nasıl Çalışıyor?

PhantomCore, ilk erişim için kullanılabilen phishing yöntemlerini içeren, gelişmiş bir saldırı zinciri geliştirmiştir. Araştırmacılar Daniil Grigoryan ve Georgy Khandozhko, “Kamuya açık erişimde bu güvenlik açıkları için bir exploit olmadığını belirttiklerine rağmen, PhantomCore’un saldırıyı gerçekleştirmek için araştırmalarını sürdürdüklerini” belirtmiştir.

Etkilenen Sistemler

Aşağıda, saldırılarda kullanılan TrueConf Server güvenlik açıkları listelenmiştir:

• BDU:2025-10114 (CVSS skoru: 7.5) – Yetersiz erişim kontrolü, saldırganın belirli yönetim uç noktalarına (/admin/*) kimlik doğrulama olmadan erişmesine izin verebilir.
• BDU:2025-10115 (CVSS skoru: 7.5) – Sistem üzerinde herhangi bir dosyayı okuma olanağı sağlayan bir güvenlik açığıdır.
• BDU-2025-10116 (CVSS skoru: 9.8) – Sistem komutlarını çalıştırma yeteneğine sahip bir komut enjeksiyonu güvenlik açığıdır.

Bu üç güvenlik açığının başarılı bir şekilde kullanılması, saldırganın organizasyon ağına erişmesini sağlamaktadır. TrueConf, söz konusu güvenlik açıklarını gidermek üzere 27 Ağustos 2025 tarihinde yamanı yayımlamıştır, ancak ilk saldırılar 2025 Eylül ortasında tespit edilmiştir.

Çözüm ve Korunma

Aşağıdaki adımlar, etkili bir savunma ve saldırılara karşı korunma için önerilmektedir:

• TrueConf yazılımınızı en son güncellemeler ile güncelleyin.
• Ağınızda gereksiz tüm portları kapatın.
• Güvenlik duvarınızı (firewall) ve diğer güvenlik önlemlerinizi güncelleyerek en iyi uygulamaları takip edin.
• Phishing ve sosyal mühendislik saldırılarına karşı kullanıcı eğitimleri düzenleyin.

Sonuç

İlgili güvenlik açıklarını derhal yamanız ve tüm sistemlerinizi güncellemelerle donatmanız büyük önem taşımaktadır. Ayrıca, yetkisiz erişimlerin önlenmesi için ağlarınızdaki güvenlik önlemlerini gözden geçirmeniz hayati bir gerekliliktir. Unutmayın, her gün yeni tehditlerle karşı karşıyayız ve proaktif bir yaklaşım, siber güvenliğinizi sağlamanın en etkili yoludur.

TrueConf video konferans yazılımında, Güneydoğu Asya’daki hükümet kurumlarını hedef alan bir kampanya kapsamında kullanılan yüksek seviyeli bir güvenlik açığı keşfedilmiştir. Bu açık, kritik bir tehdit oluşturmakta ve siber saldırganların sistemi istismar etmesine olanak tanımaktadır.

Saldırı Nasıl Çalışıyor?

Güvenlik açığı, CVE-2026-3502 (CVSS puanı: 7.8), uygulama güncellemesi kodu açısından bir bütünlük kontrolünün eksikliğinden kaynaklanmaktadır. Bu durum, saldırganların sahte bir güncelleme dağıtmasına ve sonucunda keyfi kodun yürütülmesine yol açmaktadır.

Etkilenen Sistemler

Aşağıdaki sürümler etkilenmektedir:

• TrueConf Windows istemcisi, sürüm 8.5.3 ve öncesi

Güvenlik açığı, çevrimiçi TrueConf sunucusunu kontrol eden bir saldırganın, asıl güncelleme paketini kötü niyetli bir sürümle değiştirmesine olanak tanımaktadır.

Çözüm ve Korunma

Check Point tarafından yayımlanan bir raporda, bu açığın siber suçlular tarafından güncelleme mekanizmasının istismar edilmesiyle kullanıldığı belirtilmiştir. Aşağıdaki önlemler alınmalıdır:

• TrueConf istemcisini en son sürüme güncelleyin (8.5.3 veya üstü).
• Kötü niyetli güncellemeleri önlemek için güvenlik duvarı ve diğer güvenlik önlemlerini etkinleştirin.
• Sunucular arasındaki güvenli bağlantıları güçlendirin.

Sonuç

Kullanıcıların, TrueConf istemcisini derhal güncelleyerek ve güncellemeleri dikkatlice denetleyerek sistemlerini korumaları önemlidir. Ayrıca, güvenlik duvarlarını etkinleştirerek, portları kapatmak ve kötü niyetli yazılımlara karşı koruma sağlamak da kritik öneme sahiptir. Unutmayın, güvenliğiniz için proaktif tedbirler almak her zaman daha iyidir.

Cisco, büyük işletmeler tarafından yaygın olarak kullanılan bir ağ ürünündeki bir hatayı üç yıldır istismar eden siber saldırganların varlığına dikkat çekti. Bu durum, ABD hükümeti ve müttefiklerinin kuruluşları acil önlem almaya çağırmasına neden oldu.

10.0 puanla maksimal düzeyde bir güvenlik açığına sahip bu hatayla, siber saldırganlar Catalyst SD-WAN ürünlerini kullanan ağlara uzaktan girebiliyor. Bu ürünler, çok sayıda ofisi bulunan büyük şirketler ve devlet kurumlarının özel ağlarını uzak mesafelere bağlamalarını sağlıyor.

Hatanın internet üzerinden istismar edilmesi, saldırganların bu cihazlar üzerindeki en yüksek izin seviyesine erişim elde etmesine ve hedef ağlarda gizli bir şekilde kalıcı erişim sağlamasına yol açıyor. Bu durum, veri çalma veya casusluk gibi faaliyetleri uzun süre boyunca gerçekleştirmelerine imkan tanıyor.

Cisco, hatayı keşfettikten sonra araştırmacılarının 2023 yılına kadar uzanan istismar izlerini takip ettiğini bildirdi. Etkilenen kuruluşların bazıları kritik altyapı olarak nitelendiriliyor. Şirket, spesifik bilgiler vermemekle birlikte, “kritik altyapı” teriminin elektrik şebekeleri, su temini ve ulaşım sektörünü kapsayabileceğini belirtti.

Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve Amerika Birleşik Devletleri dahil olmak üzere birkaç hükümet, tehdit aktörlerinin kuruluşları “küresel” olarak hedef aldığına dair bir uyarıda bulundu.

ABD siber güvenlik ajansı CISA, sivil federal ajansların sistemlerini hızlı bir şekilde güncellemelerini emretti. Bunun nedeni, federal hükümet için kabul edilemez bir risk teşkil eden ve acil bir tehdit oluşturan bu güvenlik açığıydı. Şu anda kısmi bir hükümet kapatma nedeniyle kısıtlı kapasitede çalışan federal siber güvenlik ajansı, devam eden istismar olaylarının farkında olduğunu bildirdi.

Ne Cisco ne de hükümetler, bu saldırıları belirli bir tehdit grubuna veya devletine atfetmedi, ancak saldırı faaliyetlerini UAT-8616 olarak adlandırılan bir grupta izlediler.

Aralık ayında Cisco, ürünlerinin çoğunu çalıştıran Async yazılımındaki benzer şekilde 10.0 puanlık bir güvenlik açığı konusunda uyarıda bulunmuştu. Bu açık, müşterilerin ağlarına sızmak için aktif bir şekilde kullanılıyordu.

Son dönemde Google’ın Tehdit İstihbarat Grubu (GTIG) ve Mandiant, şüpheli bir Çinli siber tehdit aktörüne atfedilen küresel bir istihbarat kampanyasını bozdu. Bu saldırılar, telekom ve hükümet ağlarını hedef alarak SaaS API çağrılarını kullanarak kötü niyetli trafiği gizlemek için tasarlanmıştı.

Saldırı Nasıl Çalışıyor?

Bu kampanya, en az 2023 yılından beri aktif olup, 42 ülkede 53 organizasyonu etkilemiştir; ayrıca en az 20 başka ülkede de olası enfeksiyonlar tespit edilmiştir. Saldırının başlangıç vektörü bilinmemektedir, ancak Google, bu tehdidi içsel olarak UNC2814 olarak takip etmektedir ve geçmişte web sunucuları ve kenar sistemlerindeki açıklıkları kullanarak erişim sağladığını bildirmektedir.

Saldırıda kullanılan yeni C tabanlı arka kapı GRIDTIDE olarak adlandırılmıştır ve Google Sheets API’sini kullanarak komut ve kontrol (C2) operasyonlarını gizlemektedir. GRIDTIDE, bir Google Servis Hesabına hardcoded (önceden tanımlı) bir özel anahtar ile kimlik doğrulaması yapar; başlatıldığında, hesap tablosunu temizleyerek ilk 1000 satırı ve A’dan Z’ye kadar olan sütunları siler.

Etkilenen Sistemler

GRIDTIDE, kendine ait bir hesap tablosunda verileri toplar ve güncel kullanıcı adı, hostname, işletim sistemi detayları, yerel IP, yerel ayar ve saat dilimi gibi bilgileri hücre V1’de kaydeder. Hesabın ilk hücresi A1, komut/status hücresidir ve GRIDTIDE sürekli olarak bu hücreyi sorgular.

Desteklediği komutlar şunlardır:

• C – Base64 kodlu bash komutlarını yürüt, çıktıyı sayfaya yaz.
• U – A2:A‘deki verileri al ve encoded filepath konumuna yeniden oluştur/yaz.
• D – Endpoint’teki yerel dosya ‘i oku, içeriği ~45 KB parçalara ayır ve A2:An aralığına gönder.

A2-An hücreleri, komut çıktısını, dışarı sızdırılan dosyaları ve yüklenmiş araçları yazmak için kullanılmaktadır. GRIDTIDE’nin C2 ile olan iletişimleri, URL güvenli bir base64 kodlama şemasına dayanarak gizlenmekte ve normal trafiğe karışmaktadır.

Çözüm ve Korunma

Google, bu kampanya ile ilgili olarak tüm Google Cloud projelerini sonlandırmış, bilinen altyapıyı devre dışı bırakmış, Google Sheets API erişimlerini iptal etmiş ve tüm C2 operasyonlarında kullanılan bulut projelerini devre dışı bırakmıştır. Etkilenmiş organizasyonlara doğrudan bildirim yapılmış ve enfeksiyonları temizleme konusunda destek sağlanmıştır.

Google, raporun sonunda tespit kurallarını ve bileşenlerine dair (IoCs) göstergeleri listelemiştir. Ancak, bu kampanyanın çok kapsamlı bir şekilde durdurulmasına rağmen, UNC2814’ün yeni altyapılar kullanarak tekrar aktif olmasını beklemektedir.

Aksiyon

Tüm organizasyonların, Google tarafından sağlanan tespit kurallarını uygulayarak sistemlerini güncellemeleri, gerekli yamaları yüklemeleri ve şüpheli trafikleri izlemeye başlamaları önemlidir. Ayrıca, gereksiz API erişimlerini devre dışı bırakmak ve sistem yiyeceklerini gözden geçirmek güvenlik açısından kritik öneme sahiptir.