Clop’un Kore Hava Satıcısı İhlaliyle Bağlantısı Var

Ayrıca: Çin Bağlantılı APT Kaçırma Güncellemeleri, Condé Nast Verileri Sızdırıldı, La Poste Hit

Pooja Tikekar (@PoojaTikekar) •
1 Ocak 2026

Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta, Clop bağlantılı bir tedarikçi ihlali, Korean Air çalışanlarının verilerini açığa çıkardı, Çin bağlantılı bir APT, kötü amaçlı yazılım yaymak için yazılım güncellemelerini ele geçirdi, kritik bir sıfır gün kusurunun yaması kaldırıldı, Condé Nast saldırısı toplu kullanıcı veri sızıntısına yol açtı, Rus yanlısı bilgisayar korsanları Fransa’nın posta hizmetlerini aksattı ve yetkililer, uzun süredir devam eden bir kötü amaçlı yazılım operasyonu nedeniyle bir şüpheliyi iade etti.

Ayrıca bakınız: Geleneksel M365 Veri Koruması Artık Yeterli Değil

Korean Air, havayolunun eski uçak içi ikram ve uçak içi satış yan kuruluşu olan KC&D Service’e yapılan siber saldırının ardından yaklaşık 30.000 çalışana ait hassas bilgilerin ele geçirildiğini söyledi.

Havayolu, personeline gönderdiği dahili bir bildirimde, Korean Air tarafından Aralık 2020’de elden çıkarılan KC&D’nin, harici bir bilgisayar korsanlığı grubu tarafından, satıcının kurumsal kaynak planlama sisteminin bir parçası olarak çalışan verilerini depolayan sunuculara yetkisiz erişimle sonuçlanan bir ihlale uğradığını söyledi. Korea JoongAng Daily’nin haberine göre havayolunun açıklamasına göre, sızdırılan veriler çalışan adlarını ve banka hesap numaralarını içeriyor.

Daha büyük kampanyayı izleyen güvenlik araştırmacıları, olayın, Oracle E-Business Suite’teki kritik sıfır gün güvenlik açıklarından yararlanan ve savunmasız sistemlerde kimliği doğrulanmamış uzaktan kod yürütme elde etmek için CVE-2025-61882 ve CVE-2025-61884’ü takip eden Rusça konuşan Clop fidye yazılımı grubunun gerçekleştirdiği gasp operasyonunun bir parçası olduğunu söylüyor. Bu kusur, saldırganların, yamalar kullanıma sunulmadan önce birden fazla kurbandan hassas kurumsal verileri sızdırmasına olanak tanıdı (bkz: Oracle E-Business Suite’e Yönelik Clop Saldırıları Temmuz Ayına Kadar İzleniyor).

Clop, dosya aktarım çözümleri gibi yaygın olarak kullanılan sistemlerdeki sıfır gün kusurlarından yararlanan ve sıkıştırılmış zaman dilimleri içinde çok sayıda şirketin güvenliğini ihlal etmelerine olanak tanıyan yüksek hacimli saldırılar gerçekleştirmesiyle biliniyor.

Clop, Kasım ayında KC&D saldırısının sorumluluğunu üstlendi ve havayolunu veri sızıntısı sitesine ekleyerek, çalındığı iddia edilen materyallerin arşivlerini yayınladı ve ihlali Harvard Üniversitesi, Envoy Air, Logitech ve The Washington Post gibi diğer büyük kuruluşların dahil olduğu bir dizi benzer uzlaşmayla uyumlu hale getirdi.

Kaspersky’nin yeni araştırmasına göre, Evasive Panda olarak takip edilen Çin bağlantılı bir gelişmiş kalıcı tehdit grubu, kurbanları hedef almak için özel bir arka kapı olan MgBot’u sunmak için risk altındaki yazılım güncelleme mekanizmalarını kullanıyor.

Kasım 2022 ile Kasım 2024 arasında aktif olan kampanya, meşru yazılım güncelleme isteklerini saldırganların kontrolündeki sunuculara yönlendirmek için DNS zehirlenmesine ve ortadaki düşman tekniklerine dayanıyordu. Araştırmacılar, mağdur sistemlerin yasal güncelleme etki alanlarını kötü amaçlı IP adreslerine çözdüğünü ve bunun da orijinal yazılım güncellemeleri yerine bilmeden kötü amaçlı yükleyicileri almalarına neden olduğunu söyledi.

Saldırganlar, video yayın platformları SohuVA ve iQIYI Video’nun yanı sıra IObit Smart Defrag ve Tencent QQ uygulamalarına yönelik güncelleme kanallarını hedef aldı.

MgBot, on yıllık imzalı bir yürütülebilir dosya ve işlem enjeksiyonu kullanılarak DLL yan yüklemesini içeren çok aşamalı bir yürütme zinciri yoluyla dağıtıldı. svchost.exe. Kötü amaçlı yazılım, kalıcılık sağladı ve şifrelenmiş kanallar kullanarak komuta ve kontrol sunucularıyla iletişim kurdu ve tespit edilmekten kaçınmak için bellek içi yürütmeyi kullandı.

Araştırmacılar, her bir enfeksiyonun özelleştirilmiş gibi göründüğünü, bu da aktivitenin fırsatçı olmaktan çok hedef odaklı olduğunu öne sürdüğünü söyledi. Telemetri verileri öncelikle Çin, Hindistan ve Türkiye’deki enfeksiyonları gösterdi.

Daggerfly, Bronze Highland ve StormBamboo isimleriyle de takip edilen Evasive Panda, en az 2014’ten beri aktif. Symantec, grubun iyi kaynaklara sahip olduğunu ve kamuya açık hale geldikten sonra operasyonlara devam etmek için araç setini hızla güncelleyebilecek kapasitede olduğunu değerlendiriyor.

Güvenlik araştırmacıları, XSpeeder’ın SXZOS donanım yazılımını etkileyen, dünya çapında 70.000’den fazla yönlendiricinin ve SD-WAN cihazının açığa çıkma potansiyeline sahip, kritik, kimliği doğrulanmamış bir sıfır gün güvenlik açığını ortaya çıkardı. CVE-2025-54322 olarak takip edilen kusur, ürünün web arayüzünde bulunuyor.

Güvenlik açığı, kimlik doğrulaması olmadan kök ayrıcalıklarıyla uzaktan kod yürütülmesine olanak tanıyarak saldırganların etkilenen sistemleri tamamen tehlikeye atmasına olanak tanıyor. Sorun, Django tabanlı web kimlik doğrulama mantığının güvenli olmayan şekilde kullanılmasından kaynaklanıyor. eval() Base64 kodu çözülmüş kullanıcı girişi üzerinde işlev göstererek saldırganların hazırlanmış HTTP istekleri yoluyla kötü amaçlı Python kodu enjekte etmesine ve yürütmesine olanak tanır. GitHub’da birden fazla kavram kanıtı istismarı yayınlandı ve bu da aktif istismar olasılığını artırdı.

Güvenlik açığı CVSS puanı 10,0’dır ve açıklandığı sırada yama uygulanmamıştı. Araştırmacılar, yedi aydan uzun bir süre boyunca XSpeeder’a bu sorunu bildirmeye çalıştıklarını ancak satıcının henüz güvenlik önerileri yayınlamadığını veya düzeltmeler yayınlamadığını bildirdi.

“Lovely” takma adını kullanan bir tehdit aktörü, ana şirket Condé Nast’a ait sistemlere yapılan izinsiz girişin ardından Wired dergisinden 2,3 milyon kullanıcı kaydını sızdırdı.

Databreaches.net sitesini “Dissent Doe” adıyla yöneten veri ihlali blog yazarına göre aktör, kendisini bir güvenlik açığı muhabiri olarak tanıttı.

“Lovely, Condé Nast’ı bir güvenlik açığı konusunda bilgilendirmeye çalıştıklarını söyledi” ve kanıt olarak yalnızca sınırlı sayıda profil indirdiklerini iddia etti. Dissent Doe, daha sonraki değişimlerin, faaliyetin sorumlu ifşa ile uyumlu olmadığını gösterdiğini söyledi ve aktör daha sonra Wired veri setini en az iki yeraltı forumunda yayınladı.

Veri kümesini doğrulayan Have I Been Pwned ihlal bildirim hizmetine göre, ifşa edilen veriler e-posta adreslerini ve kullanıcı adlarını ve tam adları, telefon numaralarını, doğum tarihlerini, cinsiyeti ve fiziksel adresleri içeren bir kayıt alt kümesini içeriyor. Kayıtların Eylül ayı itibarıyla kullanıcı verilerini yansıttığı görülüyor.

Bilgisayar korsanı ayrıca Vogue, The New Yorker ve Vanity Fair dahil olmak üzere diğer yayınları kapsayan 40 milyona kadar kullanıcı kaydını tutan merkezi bir Condé Nast veritabanına erişim sağladığını iddia etti ve daha fazla sızıntı tehdidinde bulundu.

Condé Nast, ihlali kamuya açık bir şekilde doğrulamadı veya kapsamını ayrıntılı olarak açıklamadı.

Rusya yanlısı hacktivist grup NoName057(16), Fransa’nın ulusal posta operatörü La Poste ve onun bankacılık kolu La Banque Postale’deki dijital hizmetleri kesintiye uğratan siber saldırının sorumluluğunu üstlendi.

22 Aralık’ta başlayan saldırı, tatil nakliyesinin yoğun olduğu dönemde La Poste’un web sitesini, paket takip sistemlerini ve diğer çevrimiçi hizmetleri aksattı. Şirket, fiziksel posta ve paket teslimatlarının devam ettiğini ve o zamandan beri tüm dijital hizmetlerin geri yüklendiğini söyledi.

NoName057(16), saldırıları koordine etmek, katılımcıları işe almak ve iddiaları duyurmak için Telegram kanallarını kullanan “DDoSia” projesi aracılığıyla yürütülen DDoS operasyonlarıyla tanınıyor. Grup, Telegram CryptoBot aracılığıyla Ton kripto para birimine en çok katkıda bulunan “kahraman” kişilere ödeme yaparak katılımı teşvik ediyor.

Grup öncelikle Ukrayna, NATO ve AB ülkelerindeki hükümet siteleri, medya ve devlet kuruluşları gibi Rusya’nın çıkarlarına düşman olduğu düşünülen kuruluşları hedef alıyor.

La Poste, olayda müşteri veya çalışan verilerinin ele geçirildiğine dair bir belirti bulunmadığını söyledi.

Interpol ile birlikte çalışan Kore Ulusal Polis Teşkilatı, dünya çapındaki virüslü sistemlerden kripto para birimini çeken kötü amaçlı yazılım dağıtmakla suçlanan 29 yaşındaki Litvanya uyruklu bir kişiyi tutukladı.

Şüphelinin, geniş çapta dolaşan KMSAuto Windows etkinleştirme aracına kötü amaçlı kod yerleştirdiği iddia ediliyor. Kore polisine göre, Nisan 2020 ile Ocak 2023 arasında değiştirilen yazılım tahmini olarak 2,8 milyon kez indirildi.

Kötü amaçlı yazılım, yüklendikten sonra transfer işlemleri sırasında kripto para birimi cüzdan adreslerini manipüle ederek fonları saldırganın hesaplarına yönlendirdi. Müfettişler, yurt içi ve yurt dışı olmak üzere yaklaşık 3.100 cüzdan adresinin 8.400 yasa dışı işleme karıştığını tespit etti ve toplam hırsızlığın kabaca 1,7 milyar Kore wonu olduğu tahmin edildi. Yalnızca Güney Kore’de sekiz kurban yaklaşık 16 milyon won kaybetti.

Soruşturma, bir mağdurun, o sırada yaklaşık 12 milyon won değerindeki bir Bitcoin’in istenmeyen bir adrese aktarıldığını ve kaybolduğunu bildirmesinin ardından Ağustos 2020’de başladı.

Adli analiz, kurbanın bilgisayarına, kripto para transferleri sırasında amaçlanan alıcı adresini otomatik olarak bilgisayar korsanının adresiyle değiştiren kötü amaçlı yazılım bulaştığını buldu; bu teknik, pano ele geçirme veya “kötü amaçlı yazılım kesme” olarak bilinir.

Güvenlik araştırmacıları, kötü amaçlı yazılımların kripto para birimi hırsızlığında özellikle etkili olduğu konusunda uyarıyor çünkü işlemler geri döndürülemez ve adres değişiklikleri çoğu zaman fark edilmiyor. Kaspersky, KMSAuto’yu bir hack aracı veya riskli yazılım olarak sınıflandırıyor ve güvenilmeyen kanallar aracılığıyla dağıtılan korsan etkinleştirme araçlarının, kötü amaçlı yazılım kampanyalarında sıklıkla kötüye kullanıldığına dikkat çekiyor.

Bu Haftanın Diğer Hikayeleri