arkadaşlar, bugün biraz farklı bir haberle geldim. beast gang diye bir fidye yazılımı çetesi var, bunlar opsec (operasyonel güvenlik) konusunda tam bir fiyasko yaşamış. merkezi bulut sunucuları açıkta kalmış ve içinden ne çıktıysa çıkmış.

ne olmuş peki

beast gang’in kullandığı merkezi bulut sunucusu ifşa olmuş. sunucudaki dosyalar incelendiğinde, bu grubun saldırı taktikleri, teknikleri ve prosedürleri (ttp’leri) ortaya çıkmış. özellikle ilginç olan şu: bunlar sistematik bir şekilde ağ yedeklerine saldırıyormuş. yani kurbanların “en kötü ihtimalde yedekten döneriz” dediği senaryonun tam içine sıçıyorlar.

…

arkadaşlar, hızlı olmak nedir işte size güzel bir örnek. langflow’da bulunan kritik bir açık, açıklandıktan sadece 20 saat sonra aktif olarak sömürülmeye başlamış. yani sabah açığı duyurdular, akşam saldırılar başlamış. bu hız ne böyle diyeceksiniz ama işte gerçek bu.

söz konusu açık CVE-2026-33017 olarak kayıtlara geçmiş ve CVSS skoru 9.3 yani kritik seviyede bir bela. ne var bu açıkta derseniz, kimlik doğrulama eksikliği + kod enjeksiyonu kombosu var. yani hem giriş yapmadan erişebiliyorsunuz, hem de istediğiniz kodu çalıştırabiliyorsunuz. uzaktan kod çalıştırma (RCE) dediğimiz felaketin tam kendisi.

…

arkadaşlar oracle acil bir yama yayınladı. identity manager ve web services manager’da kritik bir uzaktan kod çalıştırma (rce) açığı bulunmuş. CVE-2026-21992 diye geçiyor bu zafiyet ve kimlik doğrulamasız sömürülebiliyor, yani saldırganın kullanıcı adı şifre bilmesine gerek yok.

ne var ne yok

bu CVE-2026-21992 açığı oracle identity manager (oim) ve oracle web services manager (owsm) ürünlerini etkiliyor. kritik seviyede bir zafiyet, yani cvss skoru muhtemelen 9+ civarında.

spoiler: oracle normal yama döngüsünü beklemeden acil (out-of-band) yama çıkarmış, bu da işin ciddiyetini gösteriyor. genelde böyle acil yamalar ya aktif sömürü var ya da çok yakında olacak demektir.

…

arkadaşlar, ciddi bir durum var. güvenlik araştırmacıları 54 tane edr killer (yani güvenlik yazılımlarını öldüren) aracı incelemiş ve hepsi aynı numarayı kullanıyormuş: byovd (bring your own vulnerable driver - kendi açıklı sürücünü getir) denen teknik.

peki nedir bu byovd meselesi? şöyle ki, saldırganlar 35 tane imzalı ama açıklı windows sürücüsünü kullanarak sistem çekirdeğine (kernel) erişim sağlıyorlar. “imzalı” diyoruz çünkü microsoft’un dijital imzası var bu sürücülerde, yani windows bunlara güveniyor. ama içlerinde açık var işte, saldırganlar da bunu kullanıp edr yazılımlarını öldürüyorlar.

…

arkadaşlar, magento kullanan e-ticaret sitesi yönetiyorsanız hemen buraya bakın. polyshell denen yeni bir zafiyet ortaya çıktı ve durum ciddi. tüm magento open source ve adobe commerce 2.x sürümlerini etkiliyor, hem de kimlik doğrulaması gerektirmeden uzaktan kod çalıştırma (rce) imkanı veriyor. yani saldırgan kullanıcı adı şifre falan aramıyor, direkt sisteme giriyor.

ne var ne yok bu polyshell meselesinde

CVE-2025-24086 numaralı bu açık, magento’nun phtml template engine’inde bir zafiyet. saldırgan özel hazırlanmış bir istek göndererek sunucuda istediği kodu çalıştırabiliyor. cvss skoru 9.8 (kritik) yani acil acil yamalayın seviyesinde.

…

arkadaşlar, ios kullananlar için kötü haber geldi. darksword denen bir exploit kiti var, apple cihazlarınızı tepeden tırnağa ele geçirebiliyor. google threat intelligence group, iverify ve lookout birlikte rapor yayınlamış. kısacası: kasım 2025’ten beri birden fazla saldırgan grubu bu kiti kullanıyormuş.

ne var ne yok bu darksword’de

agalar, bu kit 6 tane açık kullanıyor ve bunların 3 tanesi zero-day yani apple yamayı yapmadan önce sömürülmüş. tam anlamıyla full device takeover denen olay var ortada. cihazınızdaki hassas verileri çalabiliyorlar.

…

arkadaşlar, texas’ta finans sektöründe hizmet veren marquis şirketinde ağustos 2025’te gerçekleşen bir fidye yazılımı saldırısında 672 bin kişinin verisi çalınmış. daha da kötüsü, bu saldırı abd’deki 74 bankanın operasyonlarını da aksatmış. şimdi mart 2026’da açıklama yapıyorlar, yani tam 7 ay sonra. klasik hareket yani.

olay ne, nasıl olmuş?

marquis, bankalar için üçüncü taraf finansal hizmet sağlayıcısı. ağustos 2025’te fidye yazılımı çetesi sistemlerine girmiş ve hem veri çalmış hem de operasyonları durdurmuş. 74 banka etkilenmiş, yani domino etkisi yapmış olay.

…

arkadaşlar, eclypsium’dan güvenlik araştırmacıları ucuz ip kvm cihazlarında ciddi sorunlar bulmuş. ip kvm dediğimiz şey, sunucularınızı uzaktan yönetmenizi sağlayan cihazlar yani - klavye, video, mouse kontrolü falan. düşünün ki bu cihazlarda açık var, saldırgan direk sunucunuza root yetkisiyle giriyor. tam bir felaket senaryosu.

ne olmuş peki

toplamda 9 tane kritik zafiyet bulunmuş, 4 farklı üreticinin cihazlarında. bunlar da şunlar:

• GL-iNet Comet RM-1
• Angeet/Yeeso ES3 KVM
• Sipeed NanoKVM
• JetKVM

spoiler: bu açıklar kimlik doğrulama gerektirmeden root erişimi veriyor. yani kullanıcı adı şifre falan da gerekmiyor, direk giriş.

…

arkadaşlar, zimbra collaboration suite’te (zcs) aktif olarak sömürülen bir xss açığı var ve cisa bu sefer ciddi ciddi “yamalayın” demiş. federal ajanslar için 4 nisan’a kadar zorunlu yamalama emri gelmiş, siz de boş durmayın derim.

olay ne?

zimbra’da bir cross-site scripting (xss) zafiyeti keşfedilmiş ve spoiler: aktif olarak sömürülüyor. CVE-2025-34139 numaralı bu açık, saldırganların kurbana özel hazırlanmış bir link göndererek zararlı javascript kodu çalıştırmasına izin veriyor. yani klasik xss hikayesi ama bu sefer gerçekten kullanılıyor.

…

arkadaşlar, leaknet diye bir fidye yazılımı çetesi var, bunlar işi biraz daha ileri götürmüş. clickfix denen sosyal mühendislik tekniğiyle kurumsal ağlara giriyorlar, sonra da deno runtime (javascript/typescript için açık kaynaklı bir ortam) tabanlı bir malware loader kullanıyorlar. yani klasik fidye çetesi hareketi değil bu, biraz daha teknik ve sinsi bir iş dönüyor.

olay ne tam olarak

leaknet çetesi şöyle çalışıyor: önce clickfix tekniğiyle kullanıcıları kandırıyorlar. clickfix dedikleri şey, sahte hata mesajları gösterip “düzeltmek için tıkla” diye kullanıcıyı tuzağa düşürmek. kullanıcı tıklayınca, sistem panoya kopyalanmış kötü niyetli powershell komutlarını çalıştırıyor. klasik “kullanıcı en zayıf halka” durumu yani.

…