ASP OTOMASYON A.Ş. Haftalık Bültenler

Octo Tempest, Teams üzerinden tehdit ve şantaj mesajları gönderiyor. Sosyal mühendislikle MFA (çok faktörlü kimlik doğrulama) çalınıp, Teams’a girerek gizli veriler bulunuyor. Elde edilen bilgilerle para toplama, şantaj ve fidye amaçlı saldırılar yürütülüyor. Korunmak için kimlik güvenliğini artırın, uç noktaları güçlendirin ve Teams istemcilerini sıkı kontrol edin.

Socket’ın araştırma ekibi, “Beamglea” adı verilen bir kampanyada 175 zararlı npm paketini buldu. Bu paketler toplamda 26 000’den fazla kez indirildi ve 135’ten fazla teknoloji, enerji ve endüstri firmasını hedef aldı. Paketler kurulurken bir kod çalıştırmaz; sadece npm ve unpkg.com CDN’sini kullanarak sahte giriş (phishing) sayfalarına yönlendirir. Paket adları “redirect‑xxxxxx” şeklinde rastgele olup, tesadüfen kurulma ihtimalini azaltır. Saldırganlar, kurbanların e‑posta adresi ve sahte sipariş‑belgesi gibi temalı HTML çekicileri otomatik olarak üreten Python araçları geliştiriyor. Her paket, e‑posta adresini URL’nin “#” sonrası kısmına ekleyen basit bir JavaScript (processAndRedirect()) içeriyor; bu da sunucu loglarında görünmez. 175 paket hâlâ npm’de bulunuyor; araştırmacılar paketlerin kaldırılması ve ilgili hesapların askıya alınması talebinde bulunmuş. Bu kampanya, tedarik zinciri saldırılarının yeni bir aşamasını gösteriyor ve kritik altyapı sektörlerine yönelik ciddi bir risk oluşturuyor.

GreyNoise, aynı alt ağlarda bulunan IP’lerden Cisco ASA, Palo Alto GlobalProtect ve Fortinet VPN’lerini hedefleyen üç ayrı tarama kampanyası tespit etti. Eylül başında, Cisco’nun ASA ve FTD (Secure Firewall) yazılımlarını etkileyen iki zero‑day açığı (CVE‑2025‑20333, CVE‑2025‑20362) ortaya çıktı ve bu açıklar Çin menşeli ArcaneDoor casusluk operasyonu tarafından kullanıldı. Geçtiğimiz hafta, Palo Alto GlobalProtect giriş portalına yönelik tarama etkinliği %500 artış gösterdi; yaklaşık 1.300 IP iki gün içinde 2.200’e yükseldi. GreyNoise, sadece bir hafta içinde 1,3 milyon benzersiz giriş denemesi kaydetti ve kullanılan kimlik bilgilerini yayınladı. Fortinet VPN’lerine yönelik kaba kuvvet denemeleri de aynı alt ağlardan geldi; bu tür artışların genellikle 6 hafta içinde yeni bir güvenlik açığı açıklanmasıyla ilişkili olduğu bildirildi. GreyNoise, firewall ve VPN ürünlerine yönelik %80’lik aktivite artışının yeni açıklamaların erken uyarısı olduğunu vurguladı. Üç kampanya aynı TCP parmak izlerini, alt ağları ve benzer zaman dilimlerini paylaşıyor; muhtemelen aynı tehdit aktörü(ler) tarafından yürütülüyor. Şirket, Fortinet saldırısında kullanılan kimlik bilgileri listesini de yayımladı. Öneri: Fortinet SSL VPN’e yönelik kaba kuvvet girişimlerini yapan IP’leri engelleyin ve tüm firewall/VPN cihazlarınızı güçlendirin.

Japonya'da Asahi Group'un fabrika ve sipariş sistemleri siber saldırı nedeniyle durdu. Bira, şişe çay ve diğer ürünlerin tedariki azaldı. 7‑Eleven, FamilyMart, Lawson ve Life Cooperation gibi büyük marketler müşterilerine Asahi ürünlerinde kıtlık olacağını duyurdu. Asahi, haftaya çağrı merkezini yeniden açmayı ve siparişleri kısmen elle işlemeye başladığını bildirdi. Şirket, iyileşme süresi veremiyor ve dış e‑postaları da alamıyor. Grup başkanı Atsushi Katsuki özür diledi, sistemi hızlıca geri getireceklerini söyledi.

SonicWall, cloud backup servisinde bir brute‑force saldırısı ile müşterilerin firewall konfigürasyon dosyalarını çaldırdı. Mandiant destekli bir inceleme, saldırının SonicWall’ın dış müşteri sistemine yapıldığını doğruladı. Şirket, daha önce sadece %5’ten az firewall’un bu servisi kullandığını söylemişti; bu oran hâlâ kesin değil. Saldırganlar, kurallar, şifreli kimlik bilgileri, yönlendirme ayarları ve benzeri hassas verileri ele geçirdi. Uzmanlar, SonicWall’ın API’lerde hız sınırlaması ve temel korumaları eksik tutmasını eleştiriyor. 2021’den beri CISA’nın KEV listesine 14 SonicWall hatası girdi, bunların 9’u ransomware (ör. Akira) saldırılarında kullanıldı. Bu olay, SonicWall’ın cihaz hatalarından ziyade kendi bulut altyapısına doğrudan bir darbe aldı. Şirket, etkilenen tüm müşterileri bilgilendirdi, tespit ve düzeltme araçları sundu ve MySonicWall.com’da kontrol edilmesini istedi. Şifreler kriptografik olsa da, saldırganların offline olarak şifreleri kırma süresi olabiliyor; zayıf şifreler açıkça en kolayları. SonicWall, ek güvenlik önlemleri aldı ve Mandiant ile bulut altyapısını güçlendirmeye çalışıyor.