ARŞİV ▸ 11 – 17 Mayıs 2026 4 – 10 Mayıs 2026 27 Nisan – 3 Mayıs 2026 20 – 26 Nisan 2026 13 – 19 Nisan 2026 23 – 29 Mart 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

MuddyWater 4 Yeni Zararlı + Chaos Fidye Maskesi, TCLBANKER 59 Finans Platformunu Hedef Aldı, UAE'ye Günlük 800.000 Saldırı

4 – 10 Mayıs 2026  ·  Yayın: 11 Mayıs 2026  ·  TLP:WHITE

8 Kritik Haber
6 Aktif KEV CVE
800K Günlük UAE Saldırısı
59 Hedef Finans Platformu
BANKACILIK
59
Hedef Platform (TCLBANKER)
İRAN APT
4
Yeni MuddyWater Zararlısı
UAE
800K
Günlük Siber Saldırı
SUPPLY CHAIN
572K
Haftalık Etkilenen İndirme

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu haftanın en kritik tehdidi, Elastic Security Labs (REF3076) tarafından belgelenen TCLBANKER banking trojanıdır: 59 bankacılık, fintech ve kripto platformunu hedef alan bu Brezilya kökenli zararlı, kurbanın WhatsApp ve Outlook oturumlarını ele geçirerek kişi listesindeki 3.000 kişiye kadar trojanize yükleyici dağıtmakta ve geleneksel e-posta güvenlik filtrelerini atlatmaktadır. Aynı dönemde MuddyWater (MOIS), iki ayrı operasyonla MENA'yı vurdu: Group-IB tarafından yüksek güvenle atfedilen 'Operation Olalampo' kampanyasında GhostFetch, GhostBackDoor, HTTP_VIP ve Rust tabanlı CHAR olmak üzere 4 yeni zararlı ailesi konuşlandırıldı; Rapid7'nin raporladığı paralel operasyonda ise grup, Chaos fidye yazılımı kisvesi altında Microsoft Teams ekran paylaşımıyla MFA korumasını manipüle ederek kimlik bilgisi topladı ve gerçek amacını (keşif ile veri hırsızlığı) gizledi. CISA KEV listesindeki CVE-2026-0300 (PAN-OS kimlik doğrulamasız uzaktan kök yetki yürütme) ve CVE-2026-31431 (Linux Kernel yerel kök yükseltme, 732 baytlık PoC kamuya açık) acil yama gerektiren kritik öncelikli bulgulardır.

Orta Doğu cephesinde UAE Siber Güvenlik Konseyi verilerine göre (kaynağa dayalı bilgi) günlük saldırı girişimleri çatışma öncesindeki 200.000 seviyesinden 600.000–800.000'e yükseldi; Dubai Land Department, Dubai Mahkemeleri ve Ulaşım Otoritesi saldırı taleplerinin hedefinde yer aldı. Hacktivist gruplar DieNet ve Keymous+, Kuveyt, BAE, Katar ve Bahreyn'deki bankaları ve devlet portallarını sistematik hedef listesine aldığını ilan etti (kaynaklara göre). Tedarik zinciri cephesinde TeamPCP grubu SAP'ın npm paketlerini, PyTorch Lightning ve Intercom SDK'yı zehirleyerek haftalık 572.000 indirmeye ulaşan bir etki yarattı; payload, GitHub ve AWS kimlik bilgileri ile CI/CD sırlarını hedef alıyor. Finans sektörü açısından ayrıca Everest fidye yazılımı grubunun Nisan 2026'da isimsiz bir üçüncü taraf vendor üzerinden iki ABD bankasını aynı gün sızdırdığı ve Sicarii RaaS'ın şifreleme anahtarlarını imha ederek fidye ödense bile kalıcı veri kurtarmayı imkânsız kıldığı rapor edildi (her iki olay için kaynaklara göre).

// HAFTALIK HABERLER

01
Banking TrojanFinans SektörüElastic REF3076WhatsApp WormDLL Side-Loading
TCLBANKER: 59 Finans/Fintek Platformu Hedefinde, WhatsApp+Outlook ile 3.000 Kişiye Yayılıyor
Elastic Security Labs (REF3076) tarafından tespit edilen TCLBANKER, Maverick ailesinin büyük güncellemesi olup 59 bankacılık, fintech ve kripto platformunu hedef alıyor. Zararlı, Logitech AI Prompt Builder imzalı uygulamasına karşı DLL yan yükleme (side-loading) uygulayarak kurbanın WhatsApp Web ve Microsoft Outlook oturumlarını ele geçiriyor; böylece kişi listesindeki 3.000 kişiye kadar trojanize MSI yükleyici dağıtarak geleneksel e-posta filtrelerini atlatıyor. ETW telemetrisi devre dışı bırakılıyor, ortam karması ile payload şifresi çözülüyor; sahte kimlik bilgisi toplama ekranları ve WPF tabanlı tam ekran kaplama çerçevesiyle sosyal mühendislik gerçekleştiriliyor.
📅 8 May 2026 📰 The Hacker News / Elastic Security Labs 🎯 Bankacılık / Fintech / Kripto Platformları
59
Hedef Platform
02
Orta Doğuİran APTKritik AltyapıUAE
UAE'ye Günlük 800.000 Siber Saldırı: İran Bağlantılı Aktörler Dubai Land Department ve Mahkemeleri Hedef Aldı
UAE Siber Güvenlik Konseyi verilerine göre (kaynaklara göre) günlük siber saldırı girişimleri çatışma öncesindeki 200.000 seviyesinden 600.000–800.000'e yükseldi; saldırıların büyük bölümü İran bağlantılı aktörlere atfediliyor. Dubai Land Department, Dubai Mahkemeleri ve Ulaşım Otoritesi bu hafta saldırı taleplerinin odağında yer aldı. Bölgesel siber gerilimin bu denli hızlı tırmanması, finansal ve kamu hizmetleri altyapısı açısından kritik bir tehdit düzeyi oluşturuyor.
📅 6 May 2026 📰 Dark Reading / UAE Siber Güvenlik Konseyi 🎯 UAE Kritik Kurumlar / Finans / Devlet
800K
Günlük Saldırı
03
HacktivistDieNetKeymous+Körfez BölgesiDDoS
DieNet ve Keymous+: Kuveyt, BAE, Katar ve Bahreyn Bankaları Sistematik Hedef Listesinde
SOCRadar takibine göre (kaynaklara göre) hacktivist grup DieNet, Katar, Bahreyn, BAE, Kuveyt, Suudi Arabistan ve Umman'daki bakanlıklar, havalimanları, bankalar, telekomünikasyon ve enerji/su tesislerini kapsayan sistematik bir hedef listesi yayımladı. Keymous+ ise Kuveyt, Ürdün ve Suudi Arabistan'ı günlük hedef olarak ilan etti. Kuveyt'teki finansal kurumlar ve devlet portalları doğrudan tehdit kapsamında yer aldığından yerel SOC ekiplerinin bu gruplara ait IoC'leri öncelikli olarak izlemesi önerilmektedir.
📅 8 May 2026 📰 SOCRadar / Iran-Israel Cyber Conflict Dashboard 🎯 Kuveyt / BAE / Katar / Bahreyn Bankaları ve Devlet Portalları
6
Hedef Körfez Ülkesi
04
MuddyWater / MOISİran APTMENA FinansGroup-IBRust Backdoor
MuddyWater 'Operation Olalampo': MENA'ya 4 Yeni Zararlı — CHAR (Rust Backdoor) + Telegram C2
Group-IB, 26 Ocak 2026'dan itibaren aktif olan ve yüksek güvenle MuddyWater'a atfedilen 'Operation Olalampo' kampanyasını belgeledi; hedefler MENA bölgesindeki hükümet, finans ve kritik altyapı kurumları. Kampanyada 4 yeni zararlı ailesi konuşlandırıldı: Rust tabanlı CHAR arka kapısı, GhostFetch ve HTTP_VIP indiricileri ile gelişmiş GhostBackDoor; komuta-kontrol (C2) kanalı olarak Telegram botu kullanılması operasyonun post-exploitation aktivitesini açığa çıkardı. Yapay zeka destekli kod geliştirme belirtileri de tespit edildi; altyapı örtüşmesi Ekim 2025'e dayanan MuddyWater geçmiş operasyonlarıyla bağlantı kuruluyor.
📅 5 May 2026 📰 Group-IB Threat Intelligence 🎯 MENA Hükümet / Finans / Kritik Altyapı
4
Yeni Zararlı Ailesi
05
MuddyWater / MOISFidye KisvesiRapid7Microsoft TeamsMFA Bypass
MuddyWater, Chaos Fidye Maskesiyle Casusluk: Teams Ekran Paylaşımı + MFA Manipülasyonu ile 1 Saldırı
Rapid7'nin 2026 başı raporuna göre MuddyWater, Chaos fidye yazılımı kisvesi altında gerçek amacı keşif, kimlik bilgisi toplama ve veri hırsızlığı olan bir casusluk operasyonu yürüttü. Tehdit aktörleri Microsoft Teams üzerinden ekran paylaşımı oturumları kurarak MFA korumasını manipüle etti, kurban VPN yapılandırma dosyalarına erişti; DWAgent ve AnyDesk araçlarıyla kalıcı erişim sağlandı. Fidye yazılımı hiçbir zaman devreye girmedi: Chaos eserleri gerçek devlet destekli aktiviteyi gizlemek amacıyla sahte bayrak olarak yerleştirildi, özel RAT Darkcomp (Game.exe) ise önceki MuddyWater operasyonlarıyla bağlantılı bir sertifikayla imzalandı.
📅 7 May 2026 📰 SecurityWeek / Rapid7 🎯 Kurumsal Ağlar / VPN Altyapısı / MENA
1
Fidye Yazılımı Konuşlandırılmadı
06
Tedarik ZinciriTeamPCPSAP npm / PyPIAWS Kimlik BilgisiCI/CD Sır Hırsızlığı
TeamPCP Shai-Hulud Kampanyası: SAP npm + PyTorch Lightning 42dk Canlı — 572.000 Haftalık İndirme Etkilendi
Kaynaklara göre TeamPCP grubu, 29 Nisan–1 Mayıs 2026 arasında SAP'ın 4 resmi npm paketini, PyTorch Lightning (lightning 2.6.2/2.6.3, yalnızca 42 dakika canlı kaldı) ve Intercom SDK'yı aynı kimlik bilgisi hırsızlığı zararlısıyla zehirledi. Etkilenen SAP paketleri haftalık 572.000 indirmeye ulaşıyor; zararlı payload GitHub ve npm SSH anahtarları, AWS kimlik bilgileri ile CI/CD ortam sırlarını hedef alıyor. Finans sektörünün SAP ve PyTorch Lightning bağımlılıklarını kullanan CI/CD boru hatları ile geliştirme ortamları öncelikli olarak denetlenmeli; bağımlılık kilit dosyaları (lock files) ve sürüm bütünlüğü doğrulaması kritik önem taşıyor.
📅 1 May 2026 📰 The Register 🎯 SAP / PyTorch / Intercom Kullanıcıları / CI/CD / Geliştirme Ortamları
572K
Haftalık Etkilenen İndirme
07
Fidye YazılımıFinans SektörüTedarik ZinciriEverest Grubu
Everest RaaS: Paylaşımlı 3. Taraf Vendor Üzerinden 2 ABD Bankası Aynı Gün Sızdırıldı
Kaynaklara göre Everest fidye yazılımı grubu, Nisan 2026'da iki büyük ABD bankasını aynı gün dark web sızıntı sitesine ekledi; her iki banka da ihlal noktasının kendi ağları değil isimsiz bir üçüncü taraf vendor olduğunu doğruladı. Aynı günlük sızıntı ve paylaşılan üretim belgeleri, tek bir vendor uzlaşmasının birden fazla finans kurumunu eş zamanlı etkileyebildiğini somut biçimde ortaya koyuyor. Bu olay, finans sektöründe üçüncü taraf vendor güvenlik değerlendirmelerinin ve tedarik zinciri izlemenin aciliyetini bir kez daha gündeme taşıyor.
📅 5 May 2026 📰 PKWARE Blog 🎯 ABD Bankaları / Üçüncü Taraf Vendor Ekosistemi
2
Banka Aynı Anda Sızdırıldı
08
Yıkıcı FidyeSicarii RaaSMENAHalcyon RRCİran Bağlantılı
Sicarii RaaS MENA'yı Hedef Alıyor: Şifreleme Anahtarları İmha Ediliyor, Fidye Ödense Bile Kurtarma İmkânsız
Halcyon Ransomware Research Center (RRC), Aralık 2025'te ortaya çıktığı bildirilen Sicarii RaaS operasyonunu takip ediyor; zararlı yazılım dosyaları şifreledikten sonra anahtarlarını imha ettiğinden fidye ödense bile kalıcı veri kurtarma imkânsızlaşıyor (kaynaklara göre). Halcyon, grubun hedefleme hacmini dramatik biçimde artırdığını ve gözlemlenen kurban hedeflemesinin büyük bölümünün MENA bölgesinde yoğunlaştığını raporluyor. Sicarii'nin MuddyWater APT ile Operation Olalampo bağlamında değerlendirildiği ve İran'ın olası siber misilleme senaryolarında yıkıcı (destructive) araçlara başvurabileceği öngörülüyor.
📅 7 May 2026 📰 Halcyon RRC 🎯 MENA Kritik Altyapı / Kurumsal Ağlar
0%
Fidye Sonrası Kurtarma Şansı

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaAksiyon
CVE-2026-6973
CISA KEV 		7.2 Ivanti EPMM (on-premise) ≤12.8.0.0 Kimlik doğrulamalı yönetici yetkisiyle uzaktan kod yürütme. 800+ internet erişimine açık instance mevcut; aktif istismar, CISA son tarih 10 Mayıs 2026.
CISA KEV — Acil Yama
The Hacker News ↗
CVE-2026-0300
CISA KEV 		Kritik Palo Alto Networks PAN-OS (PA-Series & VM-Series Firewall) Captive Portal / User-ID servisinde sınır dışı yazma; kimlik doğrulama gerekmeksizin uzaktan root yetkisiyle kod yürütme. CISA KEV, 6 Mayıs 2026.
CISA KEV — Acil Yama
Palo Alto Advisory ↗
CVE-2026-31431
"Copy Fail"
CISA KEV 		7.8 Linux Kernel ≥4.13 (Ubuntu 24.04, RHEL 10.1, Amazon Linux 2023, Debian, Fedora, Arch vb.) Page cache'de 4 baytlık kontrollü yazma ile setuid binary bozma → yerel root. 732 baytlık Python PoC; Go/Rust varyantları kamuya açık. CISA KEV, 1 Mayıs 2026.
CISA KEV — Kernel Güncelle
The Hacker News ↗
CVE-2026-42208
CISA KEV 		Kritik BerriAI LiteLLM (LLM Proxy) SQL enjeksiyonu ile proxy veritabanında okuma/yazma, yetkisiz erişim ve yönetilen API kimlik bilgilerinin ele geçirilmesi. CISA KEV, son tarih 11 Mayıs 2026.
CISA KEV — Acil Yama
GitHub Advisory ↗
CVE-2024-57726
CISA KEV 		9.9 SimpleHelp Remote Support Eksik yetkilendirme; düşük ayrıcalıklı teknisyen sunucu yönetici rolüne yükseltilebiliyor. DragonForce fidye yazılımı kampanyalarında öncü exploit olarak aktif kullanımda.
CISA KEV — Acil Yama
The Hacker News ↗
CVE-2026-20122
CISA KEV 		Kritik Cisco Catalyst SD-WAN Manager Hatalı ayrıcalıklı API ile kötü amaçlı dosya yükleme → yerel dosya sisteminde rastgele üzerine yazma → vmanage yetkisi. Mart 2026'dan bu yana aktif istismar; CISA ED-26-03.
CISA ED-26-03 — Acil Yama
The Hacker News ↗

// 🎯 BİZDEKİ ETKİ — ENVANTER EŞLEŞMELERİ

config/inventory.yaml'daki sistemlerle CVE'lerin otomatik substring match'i.

CVE-2026-6973 Ivanti EPMM (on-premise) ≤12.8.0.0 ⚠ 2 sistem etkilenebilir
  • Ivanti Ivanti EPMM (Sentry) · sürüm 9.20.2 · sahip: mobile HIGH 🟠 OLASI
  • Ivanti Ivanti EPMM (Core) · sürüm 12.3.0.3 · sahip: mobile HIGH 🟠 OLASI
CVE-2026-0300 Palo Alto Networks PAN-OS (PA-Series & VM-Series Firewall) ⚠ 1 sistem etkilenebilir
  • Palo Alto PAN-OS · sürüm 11.1.6-h10 · sahip: network HIGH 🟠 OLASI
CVE-2026-31431 Linux Kernel ≥4.13 (Ubuntu 24.04, RHEL 10.1, Amazon Linux 2023, Debian, Fedora, ✓ envanterde eşleşme yok
CVE-2026-42208 BerriAI LiteLLM (LLM Proxy) ✓ envanterde eşleşme yok
CVE-2024-57726 SimpleHelp Remote Support ✓ envanterde eşleşme yok
CVE-2026-20122 Cisco Catalyst SD-WAN Manager ⚠ 5 sistem etkilenebilir
  • Cisco Cisco IOS XE (Catalyst 8500L-8S4X) · sürüm 17.12.4a · sahip: network HIGH 🟠 OLASI
  • Cisco Cisco IOS XE (Catalyst 8300-1N1S) · sürüm 17.9.4a · sahip: network HIGH 🟠 OLASI
  • Cisco Cisco IOS XE (Catalyst 8200L-1N-4T) · sürüm 17.12.4 · sahip: network HIGH 🟠 OLASI
  • Cisco Cisco IOS (Catalyst 38xx Stack) · sürüm 16.12.9 · sahip: network MEDIUM 🟠 OLASI
  • Cisco Cisco IOS (Catalyst 36xx Stack) · sürüm 16.12.9 · sahip: network MEDIUM 🟠 OLASI

// 🛡️ BİZDEKİ DURUM — CVE NOTLARI

CVE-2026-6973 Ivanti EPMM (on-premise) ≤12.8.0.0 ✅ Yamalandı

"CVE-2026-6973 Ivanti EPMM Zafiyet Kontrolü" maili ile veri güvenliği bilgilendirilmiş olup kontroller sonrası 2554 numaralı değişiklik kaydı ile 12.6.1.1 yamalı versiyona geçiş sağlanmıştır.

— admin · 2026-05-11T14:14:28

CVE-2026-0300 Palo Alto Networks PAN-OS (PA-Series & VM-Series Firewall) ❌ Bizde Yok

Güvenlik Altyapıları ile "CVE-2026-0300 - Palo Alto Networks PAN-OS Zafiyeti Hk." maili ile iletişime geçilmiş olup, Palo Alto tarafında Captive Portal kullanılmadığı ve zafiyetten etkilenmediğimiz bilgisi paylaşılmıştır. Ayrıca mevcut versiyonlarımız 11.1.6-h10 olup upgrade planladığımız versiyon 11.2.10-hx (en uygun hotfix) şeklindedir.

— admin · 2026-05-11T13:55:30

CVE-2026-31431 Linux Kernel ≥4.13 (Ubuntu 24.04, RHEL 10.1, Amazon Linux 2023, Debian, Fedora, Arch vb.) ❌ Bizde Yok

İlgili birimlere SOME bildirimi yapılmış olup Zafiyet yönetimi tarafından plugin taraması sonucu etkilenmediğimiz bildirilmiştir. Ayrıca BT Sistem Network müdürlüğü tarafından da yılda 2 defa yapılan güvenlik yama geçişi kapsamında belirtilen zafiyet sonradan ortaya çıkmış olması durumunda dahi bu çalışma kapsamında giderilmiş olacağı bilgiside tarafımıza aktarılmıştır.

— admin · 2026-05-11T13:55:39

CVE-2026-42208 BerriAI LiteLLM (LLM Proxy) ❌ Bizde Yok

Envanterimizde bulunmamaktadır, zafiyetten etkilenmemekteyiz.

— admin · 2026-05-11T14:21:13

CVE-2024-57726 SimpleHelp Remote Support ❌ Bizde Yok

Envanterimizde bulunmamaktadır, zafiyetten etkilenmemekteyiz.

— admin · 2026-05-11T14:22:52

CVE-2026-20122 Cisco Catalyst SD-WAN Manager 🚧 Çalışılıyor

"CVE-2026-20122 Cisco SD-WAN Zafiyet Kontrolü" maili ile zafiyet yönetimi konu hakkında bilgilendirilmiş olup kontroller devam etmektedir.

— admin · 2026-05-11T14:18:38