Siber güvenlik araştırmacıları, Google’s DoubleClick alanını kullanarak tespit edilmenin önüne geçen yeni bir malspam kampanyasını duyurdu. Bu kampanya, 2026 yılından itibaren aktif olan DesckVB RAT adında bir uzaktan erişim trojanı (RAT) dağıtmaktadır.

Saldırı Nasıl Çalışıyor?

Saldırı, kullanıcıların bir phishing e-postasına ekli HTML dosyasını açmasıyla başlar. Bu dosya, kullanıcının tarayıcısını Google DoubleClick Kampanya Yöneticisi’nde bir tıklama izleme URL’sine yönlendirir. Ardından, kullanıcı bir başka yönlendirici aracılığıyla Base64 kodlu e-posta adresini çözümler ve bir “PDF İndir” butonunun bulunduğu bir açılış sayfasına yönlendirilir.

• Kullanıcı “PDF İndir” butonuna tıkladığında, sunucu bir ZIP arşivi gönderir.
• ZIP arşivi, bir JavaScript yükleyici aracılığıyla .NET RAT’ı alır ve çalıştırır.
• Bu yükleyici, PowerShell betiğini çıkarır ve dış bir sunucudan .NET yükleyici alır.

Yükleyici, makinenin güvenlik kontrollerini etkisiz hale getirir ve kalıcılık sağlar, daha sonra asıl RAT yükünü indirir ve çalıştırır. Bu işlemler, Microsoft ile imzalı süreçlere kötü amaçlı yazılımın enjekte edilmesiyle (process hollowing) gerçekleştirilir.

Etkilenen Sistemler

DesckVB RAT, birçok sistemde etki gösterebiliyor. Saldırganlar, kurban makinelerinin işletim sisteminin temel bileşenleri olan Microsoft Defender’ı hedef alarak güvenlik kontrollerini devre dışı bırakıyor. Bu trojan, aşağıdaki yeteneklere sahiptir:

• Veri çıkarma
• Komut çalıştırma
• Ekstra yükler dağıtma

Kötü amaçlı yazılım, ayrıca analiz araçlarını tespit ettiğinde makineyi yeniden başlatarak kendisini gizlemeye çalışmaktadır.

Çözüm ve Korunma

Kurumlar, bu tür saldırılardan korunmak için bazı önlemler almalıdır:

• Group Policy Object (GPO) ayarları ile .vbs, .hta ve .js gibi dosyaların Notepad ile açılmasını sağlamak.
• Email güvenliği için DMARC, DKIM, ve SPF kayıtlarının yapılandırılması.
• E-posta geçidi çözümlerinin kullanılarak eklerin ve bağlantıların teslimat öncesinde saklanması.

Bu önlemler, potansiyel tehditlerin ilk aşamalarda etkisiz hale getirilmesine yardımcı olacaktır.

Sonuç

Kurumların, sistemlerini güncellemeleri, hassas dosya uzantıları için açılış ayarlarını gözden geçirmeleri ve e-posta güvenliğini artırmaları önemlidir. Port kapatma gibi ekstra güvenlik önlemleri de göz önünde bulundurulmalıdır. Unutulmamalıdır ki, çok katmanlı bir savunma stratejisi, siber saldırılara karşı en etkili koruma yöntemidir.

Hello Games, No Man’s Sky oyununun yeni güncellemesi The Swarm ile birlikte oyunculara büyük ve etkileyici uzay savaşları vaadinde bulunuyor. 49. yılını kutlayan Star Wars filmine saygı duruşunda bulunan bu güncelleme; galaksideki gezginlere yönelik bir tehdit, yani Swarm’ı introduce ediyor.

The Swarm Görevinde Ekip Çalışması

Swarm kampanyasında oyuncular, kraliyet, bilge ve dokumacı adında üç takıma ayrılıyor. Her takım, dev bir silahı ortadan kaldırmak için iş birliği yaparak son savaşa ulaşmaya çalışacak. Görev sonunda en çok katkıyı sağlayan takım, Uzay Anomalisi’nde onurlandırılacak.

Yıkıcı Düşmanlar ve Mücadeleler

• Yeni Düşman Türleri: Oyuncular, hızlı manevevra yapabilen küçük swarmer gemileri ve devasa Hive of Glass patronu ile karşılaşacak.
• Kaza Alanları: Çarpışma sonrası gemiler, uyumsuz gezegenlerde bulunup, buralar küçük ve tehlikeli düşmanlar tarafından korunacak.
• Kurtarma Görevleri: Oyuncular, Swarm gemilerinin enkazını araştırırken çeşitli tehlikelerle de karşılaşacak.

Yenilikçi Özellikler ve Ödüller

• Ekip Çalışması: Görevlerin tamamlanmasıyla Prizmatik Çekirdek inşası gerçekleşecek ve bu süreç üç ana görevi içerecek: Temizlik, Onarım ve Sabotaj.
• Başarılar ve Ödüller: Kazanan takıma özel posterler, rozeti ve yeni silahlar verilecek.

Uzay Savaşlarındaki Gelişmeler

Uzay savaşlarında gemilerin görünürlüğü artırıldı, nişan alma yetenekleri geliştirildi ve düşmanların manevra kabiliyeti iyileştirildi. Zayıf noktalara yapılan saldırılar artık kritik hasar verecek.

Son Düşünceler

No Man’s Sky’ın yeni güncellemesi, oyunculara heyecan verici bir deneyim sunmak için birçok yenilikle birlikte geliyor. Sizce bu güncelleme, oyunun kalitesini artıracak mı?

Yeni Yazılım Tedarik Zinciri Saldırısı

Son günlerde, Laravel-Lang’a ait birden fazla PHP paketini hedef alan yeni bir yazılım tedarik zinciri saldırısı rapor edilmiştir. Bu saldırı, kullanıcı bilgilerini çalmaya yönelik kapsamlı bir çerçeve sunmaktadır ve büyük bir tehlike oluşturmaktadır.

Etkilenen Paketler

Etkilenen paketler şunlardır:

• laravel-lang/lang
• laravel-lang/http-statuses
• laravel-lang/attributes
• laravel-lang/actions

Saldırı, Mayıs 22 ve 23, 2026 tarihlerinde hızla yayınlanan etiketlerle geniş bir Laravel Lang organizasyonu sürecine sızma gösteriyor. Toplamda 700’den fazla versiyon belirlenmiş olup bu durum, otomatik kütükleme veya yeniden yayınlamanın bir sonucu olabileceğini göstermektedir.

Saldırı Nasıl Çalışıyor?

Saldırının temel kötü amaçlı fonksiyonu, etiketlere gömülü src/helpers.php adlı dosyada yer almaktadır. Bu dosya, enfekte olan makinenin parmak izi almayı ve dış bir sunucuya (flipboxstudio[.]info) PHP tabanlı çoklu platform yüklemesi indirmeyi amaçlıyor. Windows üzerinde, Visual Basic Script başlatıcısı kullanarak çalışmakta; Linux ve macOS üzerinde ise exec() komutunu kullanarak yüklemeyi yürütmektedir.

Dosya, composer.json dosyasının autoload.files alanında tanımlandığı için, enfekte uygulama tarafından her PHP talebinde otomatik olarak çalıştırılmaktadır.

Kötü amaçlı yazılım, yalnızca bir kez tetiklenecek şekilde her makineye özel bir joker oluşturmakta ve böylece yeniden çalışmasını engellemektedir.

Veri Çalma Kapasitesi

Bu kötü amaçlı yazılım, enfekte sistemlerden çok sayıda veriyi çalmaya ve bunları dış sunucuya göndermeye yetkindir. Çalınan veriler arasında şunlar bulunmaktadır:

• IAM rolleri ve bulut metadata uç noktaları
• Google Cloud varsayılan uygulama kimlik bilgileri
• Microsoft Azure erişim tokenleri
• Kubernetes servis hesabı tokenleri
• Çeşitli bulut platformlarına ait kimlik bilgileri
• Tarayıcı geçmişi, çerezler ve Google Chrome, Microsoft Edge, Mozilla Firefox gibi tarayıcılara ait giriş verileri
• Üçüncü parti uygulamaların (Discord, Slack vb.) oturum belirteçleri
• SSH özel anahtarları ve Docker kimlik bilgileri
• Çeşitli VPN yapılandırma dosyaları

Kötü amaçlı yazılım, çaldığı verileri AES-256 ile şifreleyerek flipboxstudio[.]info/exfil adresine göndermektedir ve delil bırakmamak adına kendisini diskten silmektedir.

Çözüm ve Korunma

Bu tür bir saldırıdan korunmak için, şu adımları izleyebilirsiniz:

• PHP paketlerinizi derhal güncelleyin.
• Güvenlik yamalarını ve en güncel sürümleri kullanmaya özen gösterin.
• Otomatik güncelleme ve izleme sistemlerinizi gözden geçirin.
• Şüpheli veya bilinmeyen kaynaklardan gelen paketleri yüklemekten kaçının.
• Güvenliğinizi artırmak için güvenlik araçları ve izleme yazılımları kullanın.

Unutmayın, düzenli güncellemeler ve dikkatli davranışlar, siber saldırılardan korunmanın en etkili yollarından biridir.

Çin merkezli bir siber casusluk kampanyası, yeni keşfedilen Linux ve Windows kötü amaçlı yazılımlarla telekomünikasyon sağlayıcılarını hedef alıyor. Bu faaliyet, Calypso (kırmızı Lamassu olarak da bilinir) tehdit grubuna atfedilmektedir ve 2022 yılının ortalarından bu yana aktif durumdadır.

Showboat Linux Kötü Amaçlı Yazılımı

Calypso’nun bu saldırılarda kullandığı Linux implantına Showboat/kworker denir. Bu modüler post-eksploitasyon framework’ü, ilk saldırıdan sonra uzun süreli varlık sağlamak için tasarlanmıştır. İlk enfeksiyon vektörü bilinmemektedir.

Black Lotus Labs’tan alınan bir rapora göre, Showboat bir hedef sisteme kurulduğunda, ev sahibi hakkında bilgi toplamaya başlar ve bu bilgileri bir komut ve kontrol (C2) sunucusuna gönderir.

Showboat’un sunduğu başlıca özellikler şunlardır:

• Dosya yükleme veya indirme.
• Kendi işlemini gizleme.
• Yeni bir hizmet aracılığıyla kalıcılık sağlama.
• SOCKS5 proxy işlevi görerek, bağlı olduğu ağda hareket etme yeteneği.

Özellikle belirtilmesi gereken bir özellik, “hide” komutudur. Bu komut, bir işlemi, dış web sitelerinden (örneğin, Pastebin) çekilen kodları kullanarak gizleme yeteneği sağlar.

JFMBackdoor Windows Kötü Amaçlı Yazılımı

PwC Tehdit İstihbarat araştırmacıları Red Lamassu’nun Windows üzerindeki enfeksiyon zincirini inceledi. İlk olarak, bir toplu işleme (batch script) çalıştırılır ve bu işlem DLL-sideloading prosedürü için yüklemeleri (fltMC.exe + FLTLIB.dll) bırakarak devam eder. Son aşamada, son yükleme olan JMFBackdoor devreye girer.

JMFBackdoor’ın yetenekleri şunlardır:

• Reverse shell erişimi — Enfekte makinede uzaktan komut yürütme.
• Dosya yönetimi — Dosya yükleme, indirme, değiştirme, taşıma ve silme işlemleri.
• TCP proxying — Kurban sistemini, iç ağ sistemlerine yönlendirmek için kullanma.
• İşlem/hizmet yönetimi — İşlem ve hizmetleri başlatma, durdurma, oluşturma veya öldürme.
• Kayıt defteri manipülasyonu — Windows kayıt anahtarlarını ve değerlerini değiştirme.
• Ekran görüntüsü yakalama — Kurbanın masaüstünün ekran görüntülerini alıp şifreleme ile dışa aktarma.
• Şifreli yapılandırma yönetimi — Kötü amaçlı yazılım ayarlarını şifreli yapılandırmalarda saklama/güncelleme.
• Kendini kaldırma ve anti-forensics — Faaliyetleri gizleme, kalıcılığı ortadan kaldırma ve izleri silme.

Altyapı analizi, hackerların kısmen merkezi olmayan bir operasyon modelini takip ettiğini ortaya koyuyor. Bu modelde, farklı kurban setlerine odaklanan birden fazla küme benzer sertifika oluşturma desenleri ve araçlar kullanıyor.

Lumen, kullanılan araçların büyük ihtimalle birden fazla Çin merkezli tehdit grubu arasında paylaşıldığını, her birinin farklı bölgeleri hedef aldığını ve aynı kötü amaçlı yazılım ekosistemini kullandığını belirtmektedir.

Çözüm ve Korunma

Kullanıcıların bu saldırılara karşı alması gereken önlemler şunlardır:

• Yazılım güncellemeleri — Tüm sistemlerinizi ve yazılımlarınızı güncel tutun.
• Ağ İzleme — Şüpheli aktiviteleri izleyin ve sistemlerinizi sıkı bir şekilde gözlemleyin.
• Güvenlik Duvarları — Gereksiz portları kapatın ve güvenlik duvarlarınızı yapılandırın.
• Eğitim — Çalışanlarınıza siber güvenlik eğitimi verin ve dikkatlice bilgilendirin.

Unutmayın, bu tür tehditlere karşı hazırlıklı olmak, potansiyel saldırıları önlemek ve sonuçlarını azaltmak için son derece önemlidir.