arkadaşlar, yeni bir sosyal mühendislik kampanyası var ortada ve klasik “it destek” numarası yapıyorlar. huntress geçen ay 5 farklı organizasyonda tespit etmiş bu saldırıları. olay şöyle: önce spam mail atıyorlar, ardından sizi arayıp “it desteğiz” diyorlar. sonra da havoc c2 framework’ünü sisteminize yerleştiriyorlar. yani ransomware veya veri sızdırma için zemin hazırlıyorlar.

spoiler: bu kampanya çok profesyonel görünüyor, çünkü her organizasyon için özelleştirilmiş havoc c2 kullanmışlar.

saldırı nasıl ilerliyor

şöyle bir senaryo izliyorlar:

…

arkadaşlar, sloppylemming diye bilinen tehdit aktör grubu yine iş başında. bu sefer pakistan ve bangladeş’teki devlet kurumları ile kritik altyapı operatörlerini hedef almışlar. arctic wolf’un raporuna göre saldırılar ocak 2025’ten ocak 2026’ya kadar sürmüş.

spoiler: bu grup iki farklı saldırı zinciri kullanarak burrowshell ve rust tabanlı kötü amaçlı yazılımlar dağıtmış. yani klasik tek yöntemle gelmediler, çift taraflı oyun oynamışlar.

olay ne tam olarak

sloppylemming grubu, hedef sistemlere sızmak için iki ayrı attack chain (saldırı zinciri) kullanmış. birinci zincirde burrowshell denen bir malware var, ikinci zincirde ise rust programlama diliyle yazılmış başka bir zararlı.

…

arkadaşlar, google pazartesi günü android cihazlarda kullanılan qualcomm bileşeninde bir açık olduğunu ve bunun aktif olarak sömürüldüğünü doğruladı. yani bu sıfır-gün dedikleri şeylerden, yamadan önce birilerinin bulup kullanmış olduğu türden.

CVE-2026-21385 numaralı bu zafiyet, qualcomm’un açık kaynak kodlu graphics (grafik) bileşeninde bulunuyor. cvss skoru 7.8, yani ciddi kategorisinde. spoiler: aktif sömürülüyor, o yüzden boş durmayın.

ne var ne yok bu açıkta

qualcomm’un açıklamasına göre, buffer over-read denen klasik bir bellek sorunu var. yani şöyle ki: kullanıcının gönderdiği veriyi alırken, buffer’da (tampondaki) yeterli yer olup olmadığına bakmadan ekliyor sistem. sonuç: bellek bozulması (memory corruption).

…

Özet

arkadaşlar ciddi bir kripto madenciliği saldırısı tespit edilmiş. solucan (wormable) özelliğine sahip xmrig kampanyası, kendi sürücüsünü getir (byovd - bring your own vulnerable driver) exploit’i ve yapay zeka destekli react2shell saldırılarıyla 90’dan fazla sunucuyu ele geçirmiş. en ilginç tarafı ise zaman bazlı mantık bombası (time-based logic bomb) kullanması. yani belirli bir zamanda tetiklenen kötü amaçlı kod var işin içinde.

…

Özet

arkadaşlar florida’da bir kadın yıllarca süren microsoft lisans dolandırıcılığı operasyonundan 22 ay hapis cezası aldı. binlerce çalıntı microsoft orijinallik sertifikası (coa) etiketini trafiğe sokmuş. microsoft lisansı denince aklımıza gelen o hologramlı etiketlerden bahsediyoruz yani.

…

Özet

arkadaşlar freepbx kullanan sistem yöneticilerine acil duyuru: 900’den fazla sistem ele geçirilmiş durumda. CVE-2025-64328 zafiyeti üzerinden web shell yerleştiriliyor sistemlere ve CISA bile artık resmi listesine almış. aktif saldırılar devam ediyor, hala yamalamadıysanız şanslısınız demektir.

…

arkadaşlar, google chrome ekibi ilginç bir duyuru yaptı. kuantum bilgisayarların gelecekte https sertifikalarını kırabileceği tehdidine karşı yeni bir sistem geliştirmişler: merkle tree certificates. yani klasik x.509 sertifikalarının yanına kuantum sonrası kriptografi (post-quantum cryptography) eklemek yerine, tamamen farklı bir yapı getiriyorlar.

olay ne tam olarak?

şöyle ki agalar, kuantum bilgisayarlar yeterince güçlü hale geldiğinde (ki bu 10-15 yıl içinde olabilir), şu an kullandığımız rsa ve ecc gibi şifreleme algoritmalarını kırabilecekler. bu da demek oluyor ki https’in temeli olan tls sertifikaları tehlikede.

…

arkadaşlar, google chrome’da yeni bir açık yamalanmış. aslında ocak 2026’da yamalanmış ama detayları şimdi açıklandı. CVE-2026-0628 numaralı bu açık, kötü niyetli chrome eklentilerinin gemini panelini kullanarak sistem üzerinde yetki yükseltmesi yapmasına ve yerel dosyalara erişmesine izin veriyormuş. CVSS skoru 8.8, yani ciddi seviyede bir açık.

ne olmuş yani?

şöyle ki, chrome’un webview tag’inde yeterli politika denetimi yokmuş. saldırganlar bunu kullanarak özel hazırladıkları kötü niyetli eklentileri gemini paneli üzerinden tetikleyip yetki yükseltebiliyormuş. yani kullanıcı bir eklenti kuruyor, o eklenti gemini panelini kullanarak sistemdeki dosyalara erişim sağlıyor. klasik privilege escalation vakası işte.

…

arkadaşlar, bu hafta tek bir büyük olay yerine genel bir durum değerlendirmesi yapacağız. çünkü işler yavaş yavaş farklı bir yöne kayıyor ve bunu görmek lazım.

the hacker news’in haftalık özetine baktığımızda şöyle bir tablo var ortada: ağ sistemleri, bulut altyapıları, yapay zeka araçları ve gündelik kullandığımız uygulamalar farklı farklı şekillerde zorlanıyor. küçük erişim kontrol hataları, açıkta kalan api anahtarları ve normal özellikler artık giriş noktası olarak kullanılıyor.

bu hafta neler oldu

spoiler: tek bir büyük açık yok, ama genel resim biraz ürkütücü.

…

arkadaşlar, samsung ile teksas eyaleti arasında ilginç bir anlaşma yapıldı. samsung’un akıllı televizyonları teksaslıların ne izlediğini, hangi içerikleri tükettiğini izinsiz toplamış. şimdi de anlaşmayla bu işi bırakacaklarına söz vermişler.

olay ne tam olarak

samsung’un akıllı televizyonları (smart tv dediğimiz şeyler) kullanıcıların ne izlediğini, hangi kanallara baktığını, hangi uygulamaları kullandığını sessizce topluyormuş. teksas eyaleti de demiş ki “arkadaş bu olmaz, bizim burada capture or use of biometric identifier act diye bir yasamız var”. yani açık açık izin almadan bu verileri toplayamazsınız.

…