EN
EN

2026 25. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

25. Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim

Açıklama

Röle

Röle, üzerinden küçük bir akım geçirilerek daha yüksek akım veya gerilimle çalışan başka bir devreyi kontrol etmeye, yani açıp kapatmaya yarayan elektromanyetik bir anahtardır.

Haftanın Zafiyetleri

Tarih

Başlık

Tür/Faaliyet

Platform

18-06-2026

CVE-2026-42530, CVE-2026-42055

RCE

F5 NGINX

19-06-2026

CVE-2025-20701

Hatalı yetkilendirme

Apple Beats Studio Buds

20-06-2026

CVE-2026-4020

Bilgi sızdırma

Gravity SMTP WordPress eklentisi

22-06-2026

CVE-2026-49777

Arka kapı

ShapedPlugin WordPress Pro Eklentisi

24-06-2026

CVE-2026-20230

SSRF

Cisco Unified CM

Haftanın Zararlı Yazılımları

Tarih

Başlık

Tür/Faaliyet

Hedef

22-06-2026

AryStinger

Komut çalıştırma

Home router

Haftanın Veri İhlalleri

Tarih

Başlık

Tür

Platform

24-06-2026

Mepa Aktif Elektrik Pazarlama Sanayi ve Ticaret A.Ş.

Siber saldırı, erişim kısıtı

Dijital sistemler

24-06-2026

Tempo Makina Pazarlama A.Ş.

Siber saldırı

Kişisel veri

24-06-2026

Doro Dizayn Teksil Sanayi ve Dış Ticaret Limited Şirketi

Fidye yazılımı

Bilgi sistemleri

24-06-2026

Baltaş Eksen Seçme Değerlendirme Eğitim ve Org. Tic. AŞ

SQL Injection

Web uygulama

24-06-2026

Makel Elektrik Malzemeleri San. ve Tic. A.Ş.

Siber saldırı, erişim kısıtı

Dijital sistemler

Haber Yazısı 1

Meşru Trafiğin Arkasına Gizlenen Tehdit: Backdoor.Turn ve TURN Rölelerinin Kötüye Kullanımı

Tarih: 18 Haziran 2026

Fidye yazılımı ekosisteminde geleneksel Hizmet Olarak Fidye Yazılımı (RaaS) modelinden organize bir kartel yapısına evrilen DragonForce (Hackledorb) grubu, siber savunma hatlarını tamamen kör eden yeni bir Go tabanlı uzaktan erişim truva atı (Backdoor.Turn) kullanmaya başlamıştır. Symantec ve Carbon Black (Broadcom) analistleri tarafından büyük bir ABD hizmet firmasına yönelik saldırıda keşfedilen bu zararlı yazılım, siber güvenlik literatüründe Microsoft Teams TURN röle altyapısını komuta kontrol (C2) trafiğini gizlemek için suistimal eden ilk örnek olarak kayıtlara geçmiştir. Geleneksel ağ izleme araçlarının sadece meşru Microsoft sunucularına giden trafiği görmesini sağlayan bu yöntem, saldırganların kurban ağında aylarca fark edilmeden kalmasına zemin hazırlamıştır.

Saldırganların hedef ağa sızma anından kalıcılık aşamasına kadar izledikleri operasyonel süreç ve teknik kırılımlar şu şekildedir:

Saldırganların ağa ilk erişimi bir İlk Erişim Aracısı (IAB) vasıtasıyla veya doğrudan bir SQL / MS-SQL sunucusundaki zafiyeti istismar ederek sağladığı değerlendirilmektedir. İlk sızmanın ardından, teknik destek düzeltmesi süsü verilmiş zararlı bir ZIP arşivi PowerShell komutları yardımıyla sisteme indirilmiştir. Saldırganlar, DLL yan yükleme (DLL Side-Loading) yöntemiyle güvenlik yazılımlarını devre dışı bırakmak için BYOVD (Bring Your Own Vulnerable Driver) tekniğine başvurmuştur. Bu kapsamda meşru ancak zafiyet barındıran Huawei sürücüsü (HWAuidoOs2Ec.sys) ile birlikte wsftprm.sys (CVE-2023-52271), GameDriverX64.sys (CVE-2025-61155) ve K7RKScan.sys (CVE-2025-1055) gibi sürücüler kullanılarak uç nokta koruma (EDR/AV) ajanları tamamen susturulmuştur.

Güvenlik yazılımları bypass edildikten sonra ana fidye yazılımı yüklenmiş ve arka planda kalıcılığı garantilemek adına Backdoor.Turn zararlısı meşru DbgView64.exe işlemine (process injection) enjekte edilmiştir. Bu arka kapının asıl yıkıcı gücü, Praetorian araştırmacılarının geçmişte "Ghost Calls" (Hayalet Çağrılar) olarak adlandırdığı TURN altyapısı istismarına dayanmaktadır:

Kimlik Edinimi: Zararlı yazılım, Microsoft'un Skype destekli kimlik servislerine bağlanarak anonim bir Teams ziyaretçi belirteci (guest token) talep eder ve alır.

Tünelleme: Bu meşru belirteçle Microsoft'un NAT (Ağ Adresi Çevirisi) aşmak için kullandığı resmi TURN röle sunucularıyla bağlantı kurar.

C2 İletişimi: Röle üzerinden bağlantı köprüsü kurulduktan sonra, arka kapı doğrudan saldırganın gerçek C2 sunucusuna şifreli bir QUIC oturumu başlatır. Ağ analistlerinin ve firewall sistemlerinin gördüğü tek şey, Microsoft Teams sunucularına giden olağan, güvenli ve meşru şirket içi trafikten ibarettir.

Backdoor.Turn; komut yürütme, ağ taraması, Active Directory / LDAP sorguları, kimlik bilgisi hırsızlığı ve yanal hareket (lateral movement) gibi tam yetkili bir casusluk cephaneliğine sahiptir.

Sonuç olarak, DragonForce'un Backdoor.Turn hamlesi, tehdit aktörlerinin kurumsal ağlarda kalıcılık sağlamak ve tespit edilmekten kaçınmak için meşru bulut altyapılarını (özellikle iş birliği platformlarını) ne kadar ileri düzeyde manipüle edebileceğini göstermektedir. Geleneksel çevre güvenliği (Firewall) ve IP tabanlı engelleme listeleri, trafiğin kaynağı meşru Microsoft IP'leri olduğu için bu saldırı karşısında tamamen etkisiz kalmaktadır.

Bu karmaşık tehdide karşı ağ savunucularının, ağ içinden dışarıya doğru başlatılan sıra dışı QUIC (UDP port 443) oturumlarını yakından izlemesi, Teams/Skype altyapısına yönelen ancak anonim ziyaretçi belirteçleri (guest tokens) kullanan anormal kimlik doğrulama isteklerini log analizleriyle tespit etmesi gerekmektedir. Ayrıca, BYOVD saldırılarını engellemek adına Windows tarafında "Savunmasız Sürücü Engelleme Listesi" (Microsoft Vulnerable Driver Blocklist) aktif edilmeli ve imzasız ya da zafiyetli eski sürücülerin sisteme yüklenmesi kernel seviyesinde engellenmelidir.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Exploitler
  2. Zafiyetler
  3. Zararlı Yazılımlar
  4. Haber Yazıları
  5. Teknolojik Yenilik
  6. Veri İhlalleri