Özellikle Dikkat Edilmesi Gereken Siber Tehditler

Son dönemde, Çin bağlantılı bir casusluk grubunun Kuzey Amerika’daki tıbbi, akademik ve askeri araştırma ağları içinde bir yıl boyunca gizlice hareket ettiği ortaya çıktı. Bu grup, hassas araştırmalar ve savunma e-postalarını çalmayı başardı.

Saldırı Nasıl Çalışıyor?

Saldırganlar, REDCap araştırma sunucularında bir arka kapı kullanarak giriş yaptılar ve bu sayede oturum açma kimlik bilgilerini çaldılar. İlginç olan ise, saldırganların kurbanların kendi Google Workspace kurallarını yeniden yapılandırarak, belirledikleri anahtar kelimeleri içeren her mesajı, kontrol ettikleri bir gelen kutusuna kopyalamalarıydı.

Google’ın Tehdit İstihbarat Grubu (GTIG), bu kampanyayı yayınladığı raporda detaylandırarak, bu grubu UNC6508 olarak tanımladı. Saldırganın kullandığı REDCap arka kapısı, daha önce de hasar vermek amacıyla kullanılmıştı.

Etkilenen Sistemler

Saldırganlar, özellikle dışarıya bakan REDCap sunucularını hedef almışlardır. Google, başlangıç erişim vektörünü belirleyemedi ancak grubun eski, savunmasız sistemleri taradığını gözlemledi. Yaklaşık üç ay sonra, GTIG tarafından çağrılan özel bir kötü amaçlı yazılım olan INFINITERED kuruldu. Bu yazılım, REDCap’ın kendi sistem dosyalarını trojanlaşarak aşağıdaki işlemleri gerçekleştirdi:

• Güncelleme işlemini ele geçirerek, her yeni REDCap sürümünde kodun yeniden yerleştirilmesini sağladı.
• Giriş sayfasından kullanıcı adlarını ve şifreleri toplayarak, bunları yerel veri tabanı tablolarında şifreli bir şekilde sakladı.
• HTTP çerezleri üzerinden komut alarak arka kapı işlevi gördü ve her sayfa yüklemesinde çalıştığı için sürekli erişim sağladı.

Çalınan E-posta Nasıl Elde Edildi?

E-posta bilgileri, zaten mevcut olan bir özellik aracılığıyla çalındı. UNC6508, Google Workspace yöneticisi tarafından gönderilen içerik uygunluğu kurallarını kötüye kullanarak e-posta anahtar kelimelerini taradı ve eşleşen mesajları, sessiz bir şekilde, kontrol ettikleri Gmail adresine BCC olarak gönderdi. Bu süreçte herhangi bir kötü amaçlı yazılım kullanmadılar; sadece Google Workspace’in yerleşik bir özelliğini kullandılar.

Bu teknik, MITRE tarafından e-posta ile yönlendirme kuralı suistimali olarak biliniyor. Ancak GTIG, burada dikkat çekici olanın, bir Çin bağlantılı aktörün içerik uygunluğu kurallarını bu amaçla kullanması olduğunu vurguladı.

Çözüm ve Korunma

Kullanıcıların REDCap üzerinde başlayarak aşağıdaki adımları izlemeleri önemlidir:

• Dışarıya bakan sunucuları güncelleyin ve eski sürümleri tamamen kaldırın; yalnızca mevcut versiyonların yanında tutmayın.
• Google Workspace veya eşdeğer bir platform üzerinde içerik uygunluğu ve e-posta yönlendirme kurallarını kontrol edin.
• Yönetici denetim günlüklerini inceleyin; yalnızca şu anki kurallar değil, değişikliklerin ne zaman yapıldığını da kontrol edin.
• GTIG’nin yayımladığı göstergeleri takip edin ve INFINITERED aramaları yapın.
• Yönetici hesaplarına phishing saldırılarına karşı dayanıklı çok faktörlü kimlik doğrulaması (MFA) ekleyin.

Google, UNC6508’in REDCap sunucularına nasıl ilk erişim sağladığını henüz tam olarak bilemiyor. Ancak, bir saldırgan yönetici erişimi sağladığında, bulut hizmetinin yerleşik bir özelliği gizlice bir veri sızdırma yolu haline gelebilir. Bu nedenle, defenderların yalnızca REDCap arka kapısını değil, aynı zamanda e-posta yönlendirme kuralının kullanımını da denetlemeleri gerekmektedir.

Son dönemde, Çin menşeli bir casusluk kampanyasının, Kuzey Amerika’daki bir tıbbi kurumun REDCap sunucularını hedef alarak Infinitered zararlısını dağıttığı ve hassas verileri çaldığı tespit edilmiştir. Bu olay, sağlık ve bilim araştırmaları için kritik bir platformun nasıl tehdit edildiğini ve siber güvenlikteki önemli riskleri gözler önüne sermektedir.

Saldırı Nasıl Çalışıyor?

Araştırmacılar, saldırıyı gerçekleştiren aktörlerin UNC6508 adını verdiği bir tehdit aktörü tarafından yönetildiğini belirlemiştir. Ancak, tam başlangıç kompakt noktası tespit edilmemiştir; bununla birlikte, REDCap’ın eski sürümlerini hedef alarak sistem üzerinde keşif yapıldığı görünmektedir.

Elde edilen verilere göre, tıbbi araştırma kuruluşunun ihlali Eylül 2023‘te gerçekleşmiş ve kötü niyetli aktiviteler Kasım 2025‘e kadar devam etmiştir. Saldırganlar, ilk ihlalin ardından üç ay içerisinde REDCap sistemleri için özel olarak geliştirilmiş Infinitered zararlısını devreye almışlardır.

Infinitered, üç ana bileşenden oluşmaktadır:

• Kalıcılık/güncelleme modülü
• Kullanıcı kimlik bilgilerini toplama aracı
• Arka kapı (backdoor)

Arka kapı, HTTP çerezleri aracılığıyla komutlar alır ve UNC6508‘e aşağıdaki yetenekleri sağlar:

• Shell komutları çalıştırma
• REDCap sunucusuna dosya yükleme
• Sunucudan dosya indirme
• Rasgele SQL sorguları çalıştırma
• Çalınan kimlik bilgilerini geri alma
• Çalınan kimlik kaydı silme
• Sistem ve veritabanı bilgilerini döndürme

Bu saldırının dikkat çekici bir yönü, bulut tabanlı kurumsal ürünlerde bulunan geçerli ‘içerik uyumluluk kuralları’ özelliğinin kullanılmasıdır. UNC6508, “Patroit” adını verdiği bir içerik uyumluluk kuralı oluşturarak, belirli anahtar kelimeleri ve içerik kalıplarını taramaya başlamıştır. Eşleşme durumunda, veriler otomatik olarak bir başka e-posta adresine (şu anda Google tarafından devre dışı bırakılmış) BCC olarak gönderilmiştir.

Etkilenen Sistemler

Araştırma, REDCap platformunun tıbbi ve bilimsel araştırmalarda yaygın olarak kullanıldığını ve bu platform aracılığıyla elde edilen verilerin hassasiyetine vurgu yapmaktadır. GTIG, birçok Amerika Birleşik Devletleri ve Kanada’daki kuruluşların Infinitered zararlısı ile ihlal edildiğini bildirmiştir.

Çözüm ve Korunma

REDCap yöneticilerine tavsiye edilenler şunlardır:

• En güncel versiyonlara güncelleme yapın.
• Eski uygulamaların kaldırılmasını sağlayın.
• Yüksek ayrıcalıklı hesaplarda çok faktörlü kimlik doğrulama (MFA/2SV) kullanın.
• Oturum kaçırma saldırılarını önlemek için Aygıt Bağlı Oturum Kimlik Bilgilerini (DBSC) kullanın.

Ayrıca, YARA kuralları ve zarar gören göstergeler (IoC’ler), sistemlerin Infinitered zararlısı için taranmasına yardımcı olmak amacıyla raporda yer almaktadır.

Sonuç

Bu olay, sağlık alanındaki siber güvenlik tehditlerinin ciddiyetini bir kez daha göstermektedir. Okuyucularımızın, sistemlerini güncelleyerek ve eski sürümleri kaldırarak, ek önlemler alması büyük önem taşımaktadır. Ayrıca, böyle ihlallerin yeniden yaşanmaması için sürekli izleme ve önlem alınması gerektiği unutulmamalıdır.

Bungie’nin yeni çıkarma nişancı oyunu Marathon, heyecan dolu bir lansmanın ardından piyasaya sürüldü. Ancak, oyun, rakibi Arc Raiders gibi aynı kalabalığı çekmiyor. Steam’de lansman günü 88,000 oyuncuya ulaşan Marathon, kısa süre içinde bu sayıyı kaybetmeye başladı ve bir hafta içinde en çok oynanan 50 oyun arasında yerini kaybetti.

Görsel Estetik ve Oynanış

Marathon’la geçirdiğim zaman oldukça keyifli, bazı tasarım sorunlarına rağmen görsel estetiği, yoğunluğu ve silah kullanımı beni etkilemeyi başarıyor. Oyunun Steam’de %90’lık olumsuz değerlendirme oranıyla karşılaşması, çok oyunculu oyunların genellikle karşılaştığı tepkilere rağmen oldukça etkileyici. Bu durum, oyunun önceden öngörülen büyük bir hayal kırıklığı olma ihtimalini büyük ölçüde ortadan kaldırıyor.

Bungie Üzerindeki Baskılar

Bungie, Destiny 2’nin son dönemde yaşadığı zorluklarla birlikte Marathon’un sırtındaki yükün ağırlığını hissediyor. Özellikle, büyük bütçeli bir çok oyunculu nişancı oyununun sadece bir hafta içinde Steam’in en çok oynananlar listesinde 50. sırayı kaybetmesi, dikkat çekici bir durum.

Oyun İçi Performans ve Rakiplerle Karşılaştırma

12 Mart itibarıyla Marathon, Steam’deki en çok oynanan oyunlar listesinde 60. sırada yer alıyor ve anlık aktif oyuncu sayısı 28,187. Bu kullanıcı sayısı, oyun içindeki tipik zaman dilimlerine göre değişiklik gösterse de, Battlefield 6 ve Marvel Rivals gibi rekabetçi shooter’ların altında kalması dikkat çekici.

Diğer platformlardaki oyuncu sayısının da yüksek olduğunu unutmamak gerekir; ancak Bungie’nin kaynaklarına göre, PC bu oyunun ana platformu olarak değerlendiriliyor.

Gelecekteki İçerikler ve Oyuncu Sayısı

Topluluk tarafından açığa çıkarılacak Cryo Archive adlı zorlu bir sona harita, oyuncu sayısında artışa sebep olabilir. Ancak bu içerik, büyük ölçüde uzman ve tutkulu oyuncular için tasarlandığı için genel kitle üzerinde ne denli bir etkisi olacağı belirsiz.

Destiny 2’nin mevcut durumu ve düşen oyuncu sayıları dikkate alındığında, Marathon’un sıralamalardaki yerini kaybetmemesi ve mevcut oyuncu sayısını stabil tutması oldukça kritik. Eğer Marathon da benzer seviyelere ulaşırsa, Bungie’nin geleceği konusunda endişeleniyorum.

Sadece oyuncu sayıları değil, oyun içindeki harcama ve fiyatlandırma gibi istatistikler de önem taşıyor. Bu nedenle Marathon’un, beklenenden daha uzun süre bu pazarda kalmasını sağlayabilecek unsurlar arasında yer alabilir. Sizce Marathon, düşüşe geçtiği bu dönemde yeniden nasıl bir çıkış yakalayabilir?

Siber Güvenlikte Yeni Tehditler: BlackForce, GhostFrame, InboxPrime AI ve Spiderman

Siber güvenlik araştırmacıları, yenilikçi ve tehditkar dört yeni phishing kitini ortaya çıkardı: BlackForce, GhostFrame, InboxPrime AI ve Spiderman. Bu kitler, kullanıcı kimlik bilgilerini büyük ölçeklerde çalmak için tasarlandı ve gelişmiş teknikler içeriyor.

BlackForce: Man-in-the-Browser Saldırıları

BlackForce, Ağustos 2025’te ilk kez tespit edildi ve kimlik bilgilerini çalmanın yanı sıra, Man-in-the-Browser (MitB) saldırıları gerçekleştirme yeteneğine sahip. Bu kit, Telegram forumlarında 200-300 € arası fiyatlarla satılmakta. Kullanıcıların tek kullanımlık şifrelerini (OTP) ele geçirmek için çeşitli kaçış teknikleri kullanarak hem kullanıcıları hem de güvenlik sistemlerini yanıltıyor. BlackForce’ın, Disney, Netflix gibi 11’den fazla markayı taklit ettiğinden bahsediliyor.

GhostFrame: İki Ekmek Parası

Eylül 2025’te ortaya çıkan GhostFrame, zararsız görünen bir HTML dosyasını kullanarak, kullanıcıları Microsoft 365 veya Google hesap bilgilerinin çalındığı sahte giriş sayfalarına yönlendiriyor. GhostFrame, kimlik avı saldırıları için tipik e-postalar kullanarak kurbanları tuzağa düşürüyor ve ziyaretçi her geldiğinde rastgele bir alt alan adı oluşturuyor. Bu özelliği sayesinde izlenmesi daha da zorlaşıyor.

InboxPrime AI: Yapay Zeka Destekli Kimlik Avı

InboxPrime AI, büyük çaplı e-posta saldırılarını otomatikleştirmek için yapay zeka kullanıyor. Telegram’da 1,300 üyeden oluşan bir grup aracılığıyla satılıyor. Bu kit, gerçek insan e-posta davranışını taklit ederek geleneksel filtreleme mekanizmalarını aşmayı hedefliyor. İçinde bulunan yapay zeka, e-posta kampanyalarını otomatikleştiriyor ve kullanıcılara profesyonel bir arayüz sunuyor.

Spiderman: Avrupa Bankaları için Hedefli Saldırılar

Spiderman, Avrupa’daki birçok bankanın sahte giriş sayfalarını mükemmel bir şekilde çoğaltmayı mümkün kılıyor. Kullanıcıları, kimlik bilgilerini hırsızlığına uğratacak sahte sayfalara yönlendiren bu kit, aynı zamanda kripto para cüzdanı kelime dizilerini ve kredi kartı bilgilerini toplamayı da destekliyor.

Sonuç ve Uyarılar

Yeni nesil phishing kitleri, saldırganların daha yaratıcı ve etkili yöntemlerle kullanıcıları hedef almasını sağlıyor. BlackForce, GhostFrame, InboxPrime AI ve Spiderman gibi kitlerin artışı, kullanıcıların ve IT savunucularının üst düzey farkındalık ve koruma stratejilerine ihtiyaç duyduğunu açıkça gösteriyor. Kullanıcıların bilgilendirilmesi ve güvenlik önlemlerinin yükseltilmesi, bu tür tehditlerle mücadelede hayati bir rol oynamaktadır.

Gelecekte Neler Bekleniyor?

Siber suçlular, yeni teknikler geliştirerek güvenlik duvarlarını aşmaya devam edecek. Bu tür tehditlere karşı sürekli daha iyi savunma mekanizmaları geliştirmek ise tüm kullanıcılar için kritik öneme sahip. Kullanıcıların her zaman dikkatli olmaları ve güvenlik güncellemelerini takip etmeleri gerekiyor.

Güncel Siber Güvenlik Haberleri – 1