2026 25. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
25. Hafta Siber Güvenlik Haberleri
Haftanın Siber Güvenlik Terimi
|
Terim |
Açıklama |
|
Röle |
Röle, üzerinden küçük bir akım geçirilerek daha yüksek akım veya gerilimle çalışan başka bir devreyi kontrol etmeye, yani açıp kapatmaya yarayan elektromanyetik bir anahtardır. |
Haftanın Zafiyetleri
|
Tarih |
Başlık |
Tür/Faaliyet |
Platform |
|
18-06-2026 |
RCE |
F5 NGINX |
|
|
19-06-2026 |
Hatalı yetkilendirme |
Apple Beats Studio Buds |
|
|
20-06-2026 |
Bilgi sızdırma |
Gravity SMTP WordPress eklentisi |
|
|
22-06-2026 |
Arka kapı |
ShapedPlugin WordPress Pro Eklentisi |
|
|
24-06-2026 |
SSRF |
Cisco Unified CM |
Haftanın Zararlı Yazılımları
|
Tarih |
Başlık |
Tür/Faaliyet |
Hedef |
|
22-06-2026 |
Komut çalıştırma |
Home router |
Haftanın Veri İhlalleri
|
Tarih |
Başlık |
Tür |
Platform |
|
24-06-2026 |
Siber saldırı, erişim kısıtı |
Dijital sistemler |
|
|
24-06-2026 |
Siber saldırı |
Kişisel veri |
|
|
24-06-2026 |
Fidye yazılımı |
Bilgi sistemleri |
|
|
24-06-2026 |
SQL Injection |
Web uygulama |
|
|
24-06-2026 |
Siber saldırı, erişim kısıtı |
Dijital sistemler |
Haber Yazısı 1
Meşru Trafiğin Arkasına Gizlenen Tehdit: Backdoor.Turn ve TURN Rölelerinin Kötüye Kullanımı
Tarih: 18 Haziran 2026
Fidye yazılımı ekosisteminde geleneksel Hizmet Olarak Fidye Yazılımı (RaaS) modelinden organize bir kartel yapısına evrilen DragonForce (Hackledorb) grubu, siber savunma hatlarını tamamen kör eden yeni bir Go tabanlı uzaktan erişim truva atı (Backdoor.Turn) kullanmaya başlamıştır. Symantec ve Carbon Black (Broadcom) analistleri tarafından büyük bir ABD hizmet firmasına yönelik saldırıda keşfedilen bu zararlı yazılım, siber güvenlik literatüründe Microsoft Teams TURN röle altyapısını komuta kontrol (C2) trafiğini gizlemek için suistimal eden ilk örnek olarak kayıtlara geçmiştir. Geleneksel ağ izleme araçlarının sadece meşru Microsoft sunucularına giden trafiği görmesini sağlayan bu yöntem, saldırganların kurban ağında aylarca fark edilmeden kalmasına zemin hazırlamıştır.
Saldırganların hedef ağa sızma anından kalıcılık aşamasına kadar izledikleri operasyonel süreç ve teknik kırılımlar şu şekildedir:
Saldırganların ağa ilk erişimi bir İlk Erişim Aracısı (IAB) vasıtasıyla veya doğrudan bir SQL / MS-SQL sunucusundaki zafiyeti istismar ederek sağladığı değerlendirilmektedir. İlk sızmanın ardından, teknik destek düzeltmesi süsü verilmiş zararlı bir ZIP arşivi PowerShell komutları yardımıyla sisteme indirilmiştir. Saldırganlar, DLL yan yükleme (DLL Side-Loading) yöntemiyle güvenlik yazılımlarını devre dışı bırakmak için BYOVD (Bring Your Own Vulnerable Driver) tekniğine başvurmuştur. Bu kapsamda meşru ancak zafiyet barındıran Huawei sürücüsü (HWAuidoOs2Ec.sys) ile birlikte wsftprm.sys (CVE-2023-52271), GameDriverX64.sys (CVE-2025-61155) ve K7RKScan.sys (CVE-2025-1055) gibi sürücüler kullanılarak uç nokta koruma (EDR/AV) ajanları tamamen susturulmuştur.
Güvenlik yazılımları bypass edildikten sonra ana fidye yazılımı yüklenmiş ve arka planda kalıcılığı garantilemek adına Backdoor.Turn zararlısı meşru DbgView64.exe işlemine (process injection) enjekte edilmiştir. Bu arka kapının asıl yıkıcı gücü, Praetorian araştırmacılarının geçmişte "Ghost Calls" (Hayalet Çağrılar) olarak adlandırdığı TURN altyapısı istismarına dayanmaktadır:
Kimlik Edinimi: Zararlı yazılım, Microsoft'un Skype destekli kimlik servislerine bağlanarak anonim bir Teams ziyaretçi belirteci (guest token) talep eder ve alır.
Tünelleme: Bu meşru belirteçle Microsoft'un NAT (Ağ Adresi Çevirisi) aşmak için kullandığı resmi TURN röle sunucularıyla bağlantı kurar.
C2 İletişimi: Röle üzerinden bağlantı köprüsü kurulduktan sonra, arka kapı doğrudan saldırganın gerçek C2 sunucusuna şifreli bir QUIC oturumu başlatır. Ağ analistlerinin ve firewall sistemlerinin gördüğü tek şey, Microsoft Teams sunucularına giden olağan, güvenli ve meşru şirket içi trafikten ibarettir.
Backdoor.Turn; komut yürütme, ağ taraması, Active Directory / LDAP sorguları, kimlik bilgisi hırsızlığı ve yanal hareket (lateral movement) gibi tam yetkili bir casusluk cephaneliğine sahiptir.
Sonuç olarak, DragonForce'un Backdoor.Turn hamlesi, tehdit aktörlerinin kurumsal ağlarda kalıcılık sağlamak ve tespit edilmekten kaçınmak için meşru bulut altyapılarını (özellikle iş birliği platformlarını) ne kadar ileri düzeyde manipüle edebileceğini göstermektedir. Geleneksel çevre güvenliği (Firewall) ve IP tabanlı engelleme listeleri, trafiğin kaynağı meşru Microsoft IP'leri olduğu için bu saldırı karşısında tamamen etkisiz kalmaktadır.
Bu karmaşık tehdide karşı ağ savunucularının, ağ içinden dışarıya doğru başlatılan sıra dışı QUIC (UDP port 443) oturumlarını yakından izlemesi, Teams/Skype altyapısına yönelen ancak anonim ziyaretçi belirteçleri (guest tokens) kullanan anormal kimlik doğrulama isteklerini log analizleriyle tespit etmesi gerekmektedir. Ayrıca, BYOVD saldırılarını engellemek adına Windows tarafında "Savunmasız Sürücü Engelleme Listesi" (Microsoft Vulnerable Driver Blocklist) aktif edilmeli ve imzasız ya da zafiyetli eski sürücülerin sisteme yüklenmesi kernel seviyesinde engellenmelidir.
Haberin ayrıntılarına buradan ulaşabilirsiniz.



