Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Ayrıca Avustralya Polisi Anom App Sting’in Yeni Turunda 55 Kişiyi Tutukladı
Anviksha Daha Fazla (AnvikshaDevamı) •
6 Kasım 2025
Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta, UPenn e-posta ihlaliyle karşılaştı, Avustralya polisi Anom sohbet uygulaması tutuklamalarının yeni turunda 55 şüpheliyi yakaladı, ‘SesameOp’ arka kapısı C2 trafiğini sakladı, BEC dolandırıcılığı Amazon AWS’yi kullandı, bilgisayar korsanları kamyon kargosunu çaldı, bir Ukrayna vatandaşı Conti fidye yazılımındaki rolü nedeniyle ABD’ye iade edildi ve gelişmiş kurulum aracında tedarik zinciri riski oluştu.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
UPenn E-posta İhlalinden Etkilendi
Bir bilgisayar korsanı, 1,2 milyon bağışçı, mezun ve öğrenciye ait verilerin ifşa edildiği büyük ölçekli bir ihlal iddiasıyla Pennsylvania Üniversitesi’nde geçen hafta meydana gelen “Hacklendik” e-posta olayının sorumluluğunu üstlendi.
Bilgisayar korsanı, üniversitenin Salesforce Marketing Cloud posta sistemi aracılığıyla Penn’in güvenlik ve kabul uygulamalarıyla alay eden bir e-posta gönderdi.
Ivy League kurumu e-postanın nereden geldiğini doğruladı connect.upenn.eduSalesforce tarafından barındırılan ve mesajı listelenen yaklaşık 700.000 alıcıya dağıtan bir üniversite posta platformu. Bilgisayar korsanı, öğrenci, mezun ve bağışçı adları, doğum tarihleri, adresler, iletişim bilgileri, tahmini net serveti ve bağış geçmişinin yanı sıra din, ırk ve cinsel yönelim gibi demografik bilgiler de dahil olmak üzere verileri de çaldı.
Saldırganlar, 31 Ekim’de erişimi kaybettikten sonra Salesforce Marketing Cloud sistemini hâlâ kontrol ettiklerini ve onu saldırgan mesajlar göndermek için kullandıklarını söyledi. Daha sonra Penn’in SharePoint ve Box sistemlerinden dahili elektronik tablolar ve bağışçı materyalleri içerdiği iddia edilen 1,7 gigabaytlık bir arşiv yayınladılar.
Bilgisayar korsanı The Verge’e, saldırının ardındaki asıl amacın bağışçı veritabanını ele geçirmek olduğunu söyledi.
Avustralya Polisi AN0M Sting’in Yeni Turunda 55 Kişiyi Tutukladı
Avustralya polisi, organize suç ağlarına sızmak için arka kapılı mesajlaşma uygulaması Anom’u kullanan küresel bir operasyon olan Ironside Operasyonu’nun son aşamasında 55 kişiyi tutukladı ve 17 milyon dolar değerinde varlığa el koydu (bkz.: Şifreli İletişim Ağı ‘Anom’ Sting Operasyonuydu).
Tutuklamalar, polisin gözaltına alınanların “ciddi ve organize suça” karıştığını söylediği Güney Avustralya’daki 23 mülke düzenlenen koordineli baskınların ardından geldi. Kısıtlanan varlıklar arasında iki Harley-Davidson motosikleti de vardı.
Operasyon, ABD yetkililerinin suçlulara şifreli telefonlar sağlayan Kanadalı bir şirket olan Phantom Secure’u çökerttiği 2018 yılına kadar uzanıyor. Değiştirme talebini öngören FBI ve Avustralya Federal Polisi, kullanıcı iletişimlerini gizlice kolluk kuvvetlerine gönderen, sözde güvenli bir mesajlaşma hizmeti olan Anom’u (aynı zamanda “AN0M” olarak da yazılır) yarattı. Suçlular, tehlikeye atıldığının farkında olmadan platformu yoğun bir şekilde kullandı.
2021’de AFP, dünya çapındaki tutuklamaların ardından Anom’un varlığını ortaya çıkardı. Tutuklamalara katılan sanıklar, programın yasadışı müdahale anlamına geldiğini savundu. Ancak Ekim 2024’te Avustralya Yüksek Mahkemesi, Anom’un halka açık bir telekomünikasyon ağı değil, kapalı bir sistem olduğunu tespit ederek tutuklamaların yasal olduğuna karar verdi.
‘SesameOp’ Arka Kapısı C2 Trafiğini Açık Görüşte Gizliyor
Microsoft, bilgi işlem devinin “SesameOp” adını verdiği yeni bir arka kapıyı ortaya çıkardı. Arka kapı, gizli komut ve kontrol iletişimi için OpenAI Asistanları API’sini kullanarak saldırganların kötü amaçlı trafiği meşru API etkinliği olarak gizlemesine olanak tanır.
Arka kapı, truva atı haline getirilmiş bir Netapi64.dll yükleyici ve .NET AppDomainManager kalıcılık sağlamak için enjeksiyon. SesameOp, OpenAI platformunda barındırılan, saldırgan tarafından kontrol edilen Asistanlarla iletişim kurdu. Komutlar ve çalınan veriler “Uyku”, “Yük” ve “Sonuç” etiketli alanlara gömüldü, ardından sıkıştırıldı, şifrelendi ve aynı API aracılığıyla geri gönderildi.
Microsoft, arka kapının API kullanımını OpenAI’nin tehlikeye atılmasından ziyade kötüye kullanım olarak sınıflandırdı. Microsoft’un dörtte birinden biraz fazlasına sahip olduğu OpenAI ile koordineli olarak kötü amaçlı hesapları ve anahtarları devre dışı bıraktı.
Devasa BEC Dolandırıcılığı ‘TruffleNet’, Amazon AWS’yi Kimlik Avı Aracına Dönüştürüyor
Araştırmacılar, siber suçluların, “57 farklı C Sınıfı ağda 800’den fazla benzersiz ana bilgisayarı” içeren büyük ölçekli dolandırıcılık ve kimlik avı operasyonlarını başlatmak için meşru bulut altyapısını ele geçirdiğini buldu.
FortiGuard tarafından “TruffleNet” olarak adlandırılan dolandırıcılık, Amazon Web Service’i iş e-postalarının ele geçirilmesi için farkında olmadan bir araca dönüştürüyor. Saldırganlar, AWS Basit E-posta Hizmeti hesaplarına erişmek, yeni e-posta kimlikleri oluşturmak ve orijinal görünen sahte mesajlar göndermek için çalınan kimlik bilgilerini kullanır. Araştırmacılar ayrıca “teslim edilebilirliği optimize etmek ve kısıtlama veya itibar sorunlarını azaltmak için özel IP ısınma ayarlarını da yapıyorlar” dedi. Saldırganlar, meşru API’leri ve bulut yapılandırmalarını kötüye kullanarak tespitten kaçınır ve VPN’ler veya botnet’ler gibi geleneksel olarak kötü amaçlı altyapılara güvenmeden çalışır.
Araştırmacılar ayrıca WordPress sitelerinden çalınan DKIM anahtarlarının çalındığını da gözlemlediler; bu durum “AWS SES’in saldırgan adına e-posta göndermesine olanak tanıyor.” Bu mesajların çoğu sahte faturalar veya yazım hatası yapılmış alan adlarına bağlı ödeme talepleri gönderiyor.
Bilgisayar Korsanları Kamyon Kargolarını Çalmak İçin Uzaktan Erişim Araçlarını Kullanıyor
Proofpoint, tehdit aktörlerinin fiziksel kargoyu çalmak için uzaktan izleme ve yönetim araçlarıyla kamyon taşımacılığı ve nakliye şirketlerinin sistemlerini ele geçirdiğini tespit etti.
Saldırganlar, Haziran ayından bu yana, sahte listeler ve kimlik avı yapan kamyon şirketlerini yayınlamak için komisyoncu yük panolarına (navlun sevkiyatlarını kaydetmek için kullanılan çevrimiçi platformlar) sızdı. Kurbanlar kötü amaçlı bağlantılara tıkladığında, bilgisayar korsanları ScreenConnect, SimpleHelp, PDQ Connect veya N-able gibi uzaktan izleme ve yönetim yazılımlarını yükleyerek iş sistemlerine uzaktan erişim sağlıyor. Daha sonra orijinal gönderiler için teklif veriyorlar ve kargoya el koyuyorlar, çoğunlukla kargoyu internetten satıyorlar ya da organize suç gruplarının yardımıyla yurt dışına gönderiyorlar.
Proofpoint, kampanyanın fırsatçı göründüğünü ve küçük aile şirketlerinden büyük lojistik firmalarına kadar hedefleri etkilediğini söyledi. Araştırmacılar, kargo hırsızlığının yılda yaklaşık 35 milyar dolarlık küresel kayba neden olduğunu tahmin ediyor. Firma daha önce 2024’teki benzer saldırıları belgelemişti ancak bu kümeyle doğrudan bir bağlantı bulamadı.
Ukraynalı Mülteci, Conti Fidye Yazılımındaki Rolü Nedeniyle ABD’ye İade Edildi
İrlandalı yetkililer, Conti fidye yazılımı saldırılarındaki rolü nedeniyle suçlamalarla karşı karşıya kalan Ukraynalı bir adamı ABD’ye iade etti.
43 yaşındaki Oleksii Oleksiyovych Lytvynenko’nun 2020 ile 2022 yılları arasında Conti operasyonlarına katıldığı ve 2023’te tutuklanana kadar siber suç faaliyetlerini sürdürdüğü iddia ediliyor. Conti, dünya çapında 1.000’den fazla kurbanı ve en az 150 milyon dolarlık fidye ödemesiyle dünyanın en kötü şöhretli fidye yazılımı gruplarından biriydi ve 2022’de kamuya açık bir şekilde destekleme kararıyla ilgili iç anlaşmazlıkların ortasında patladı. Rusya’nın Ukrayna’yı işgali (bkz: Conti’nin Mirası: Fidye Yazılımının En Çok Arananları Ne Oldu?).
Lytvynenko, Rusya’nın işgalinin ardından 2022’de eşi ve çocuğuyla birlikte Ukrayna’dan kaçtı ve İrlanda’da geçici koruma aldı. Temmuz 2023’te ABD’nin iade emri üzerine tutuklandı ve iadeyle mücadele ederken gözaltında kaldı. Son itirazını da kaybettikten sonra İrlandalı yetkililer onu ABD yetkililerine teslim etti ve o, bu hafta Conti saldırılarının kurbanlarından zorla kripto para birimi olarak 500.000 doların üzerinde paranın alındığı Tennessee federal mahkemesine çıkarıldı.
Lytvynenko, Ukrayna’dan tanık veya delil toplayamadığı için iade edilmesinin adil yargılanma hakkını ihlal ettiğini savundu. Kendisi, beş yıla kadar hapisle cezalandırılabilecek bilgisayar dolandırıcılığı komplosu ve elektronik dolandırıcılık komplosu suçlamalarıyla karşı karşıya bulunuyor ve en fazla 20 yıl hapis cezasına çarptırılıyor.
Gelişmiş Kurulum Aracında Tedarik Zinciri Riski
Cyderes’teki araştırmacılar, Microsoft, Apple, Dell ve Adobe gibi yazılım şirketleri tarafından “SolarWinds kapsamı açısından karşılaştırılabilir” saldırıları mümkün kılabilecek yazılım yükleme paketleri oluşturmak için kullanılan popüler bir araç olan Advanced Installer’da bir tedarik zinciri zayıflığı tespit etti.
Cyderes tarafından “kendi güncellemenizi getirme” riski olarak tanımlanan sorun, saldırganların, meşru yazılım güncellemeleri aracılığıyla kötü amaçlı yazılım dağıtmak için Gelişmiş Yükleyici’nin güncelleyici özelliğini kötüye kullanmasına olanak tanıyor. Güncelleyici, uzaktan yapılandırma dosyalarını almak için URL’leri kabul eder ancak bunların meşruiyetini doğrulamak için dijital imzalara ihtiyaç duymaz. Gelişmiş Yükleyici kullanan bir geliştiricinin güvenliği ihlal edilirse, bir saldırgan, güncellemeleri son kullanıcıların sistemlerine kötü amaçlı yazılım yükleyen kötü amaçlı bir dosyaya yönlendirebilir.
Gelişmiş Yükleyici geliştiricisi Caphyon sorunu kabul etti ancak yazılımın halihazırda kullanıcıların güncellemelerde dijital imzaları zorunlu kılmasına olanak tanıyan isteğe bağlı bir ayar içerdiğini söyledi. Cyderes, çoğu kullanıcının ve hatta Caphyon’un kendisinin bu korumayı kullanmadığını tespit etti.
Geçen Haftadan Diğer Hikayeler
New Jersey’deki Bilgi Güvenliği Medya Grubu’ndan Gregory Sirico ve Mumbai’deki Pooja Tikekar’ın raporlarıyla.