ARŞİV ▸ 11 – 17 Mayıs 2026 4 – 10 Mayıs 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

TrickMo C TON Blockchain C2 ile 3 Ülkede Banka Hesaplarını Hedefliyor; Cisco SD-WAN CVSS 10.0 KEV'de; Linux Copy Fail 9 Yılda Gizli Kaldı — 732 Baytla Root

11 – 17 Mayıs 2026  ·  Yayın: 18 Mayıs 2026  ·  TLP:WHITE

8 Kritik Haber
1 Aktif KEV
732B Linux Root Exploit
170+ Ele Geçirilen npm/PyPI Paketi
MOBİL BANKACILIK
3
Hedef Ülke (TrickMo C)
SUPPLY CHAIN
170+
Ele Geçirilen Paket
LİNUX KERNEL
9 YIL
Gizli Kalan Copy Fail
CISCO KEV
10.0
CVSS Maks. Skor

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu haftanın en kritik mobil tehdit gelişmesi, ThreatFabric tarafından tespit edilen TrickMo C varyantıdır. Zararlı, C2 trafiğini geleneksel DNS altyapısından TON blockchain ağına taşıyarak alan adı kaldırma ve DNS sinkhole savunmalarını devre dışı bırakıyor; Fransa, İtalya ve Avusturya'daki bankacılık ve kripto cüzdan kullanıcılarını hedef alıyor. Enfekte cihazlar SOCKS5 proxy ve SSH tüneli ile kurumsal ağlar içinde pivot noktasına dönüştürülerek IP tabanlı dolandırıcılık tespit sistemleri atlatılıyor. Finans sektörü SOC ekipleri için TON ağı kaynaklı C2 trafiğini izleyecek kural setlerinin acilen güncellenmesi kritik önem taşıyor. Aynı hafta Cisco Catalyst SD-WAN Controller'da maksimum CVSS skoru 10.0 ile takip edilen kimlik doğrulama bypass açığı CVE-2026-20182, CISA KEV kataloğuna alındı; UAT-8616 aktörünün ORB ağ altyapısı üzerinden XenShell ve Godzilla web shell'leri konuşlandırdığı doğrulandı.

Tedarik zinciri cephesinde TeamPCP aktörü, Mini Shai-Hulud kampanyasıyla TanStack (42 paket, 84 versiyon), Mistral AI, UiPath ve Guardrails AI dahil 170'ten fazla npm/PyPI paketini ele geçirdi; GitHub Actions cache zehirlemesi ve OIDC token hırsızlığıyla geçerli SLSA Build Level 3 provenance attestation üretilen ilk belgelenmiş npm kurdu olarak kayıtlara geçti. Linux Copy Fail (CVE-2026-31431, CVSS 7.8) açığı ise 9 yıl boyunca gizli kalan AF_ALG mantık hatasını yalnızca 732 baytlık bir Python scriptiyle root erişimine dönüştürüyor; CISA KEV'e ekledi, Kaspersky Go ve Rust versiyonlu exploitlerin kamuya açık depolarda yayıldığını tespit etti. Palo Alto PAN-OS CVE-2026-0300 (CVSS 9.3), Microsoft Exchange CVE-2026-42897 (CVSS 8.1) ve NGINX CVE-2026-42945 (CVSS 9.2) da bu haftanın acil yama listesinde yer alırken, İran devlet destekli APT42'nin WhatsApp tabanlı sosyal mühendislik zinciriyle hükümet ve savunma yetkililerini hedef aldığı raporlandı — finans sektöründeki kuruluşların bu vektöre karşı çalışan farkındalık eğitimlerini güncellemesi önerilir.

// HAFTALIK HABERLER

01
Mobil Bankacılık Truva AtıTON Blockchain C2ThreatFabricAndroid DTO
TrickMo C Varyantı: TON Blockchain C2 ile 3 Ülkede Banka/Kripto Hesapları Ele Geçiriliyor
TrickMo C varyantı, gömülü yerel TON proxy aracılığıyla .adnl uç noktalarına yönlendirilen şifreli C2 trafiğiyle DNS kaldırma ve sinkhole savunmalarını etkisiz kılıyor. Fransa, İtalya ve Avusturya'daki bankacılık/kripto kullanıcılarını hedef alırken enfekte cihazı SOCKS5 proxy ve SSH tüneli ile kurumsal ağlarda pivot noktasına dönüştürüyor. Pine hooking framework ve kapsamlı NFC izinleri gömülü olarak yer alıyor ancak henüz aktif değil; gelecekte yeteneklerin genişletileceğine işaret ediyor.
📅 11 May 2026 📰 The Hacker News / ThreatFabric 🎯 Bankacılık & Kripto Cüzdan Kullanıcıları (FR/IT/AT)
3 Ülke
Aktif Hedef
02
Tedarik ZinciriCVE-2026-45321 CVSS 9.6GitHub Actions Cache ZehirlemeOIDC Token Hırsızlığı
TeamPCP 'Mini Shai-Hulud': 170+ npm/PyPI Paketi Ele Geçirildi, İlk SLSA L3 Onaylı Kötücül Paket
TeamPCP, GitHub Actions 'pull_request_target' tetikleyicisi ve cache zehirlemesiyle OIDC token'ları ele geçirerek TanStack (CVE-2026-45321, CVSS 9.6), Mistral AI, UiPath ve Guardrails AI dahil 170+ pakete kötücül JavaScript ('router_init.js') enjekte etti. Saldırı, geçerli SLSA Build Level 3 provenance attestation üretilen ilk belgelenmiş npm kurdu olarak tarihe geçti. Çalınan veriler 'filev2.getsession[.]org' adresine sızdırılıyor; Claude Code ve VS Code kalıcılık kancaları aracılığıyla IDE yeniden başlatmalarında otomatik yeniden çalışıyor.
📅 12 May 2026 📰 The Hacker News / Wiz / Socket / StepSecurity 🎯 CI/CD Pipeline'ları / npm & PyPI Ekosistemi / Bulut Ortamları
CVSS 9.6
TanStack CVE Skoru
03
CISA KEVCVSS 10.0 KritikUAT-8616 ORB AğıAuth Bypass RCE
Cisco SD-WAN CVE-2026-20182 (CVSS 10.0): UAT-8616 Aktif İstismar, CISA 17 Mayıs Deadline
Cisco Catalyst SD-WAN Controller ve Manager'daki kimlik doğrulama bypass açığı CVE-2026-20182 (CVSS 10.0), kimliği doğrulanmamış uzak saldırganın yönetici erişimi elde etmesine olanak tanıyor. Cisco Talos, istismarı ORB ağ altyapısı kullanan UAT-8616'ya yüksek güvenle atfetti; grup SSH anahtarı ekleme, NETCONF konfigürasyon değiştirme ve root'a yetki yükseltme adımlarını uyguluyor. CVE-2026-20133/20128/20122 zinciri dahil en az 10 farklı tehdit kümesi, XenShell/Godzilla/Sliver ve XMRig gibi araçlarla Mart 2026'dan bu yana aktif sömürü gerçekleştiriyor.
📅 15 May 2026 📰 The Hacker News / CISA / Cisco Talos 🎯 Cisco Catalyst SD-WAN Controller & Manager — Tüm Sektörler
10.0
Maks. CVSS Skoru
04
CISA KEVBuffer Overflow RCEPA/VM-SeriesAktif İstismar
Palo Alto PAN-OS CVE-2026-0300 (CVSS 9.3): Kimliksiz Root RCE, 5.800+ Açık Örnek
PAN-OS User-ID Authentication Portal (Captive Portal) servisindeki heap buffer overflow CVE-2026-0300 (CVSS 9.3), kimliği doğrulanmamış saldırgana özel hazırlanmış paketlerle PA-Series ve VM-Series güvenlik duvarlarında root yetkisiyle RCE imkânı tanıyor. CISA 6 Mayıs'ta KEV'e ekledi; Shadowserver verilerine göre 5.800'ü aşkın internet'e açık VM-Series örneği mevcut, en yoğun konsantrasyon Asya'da (kaynaklara göre 2.466 örnek). Palo Alto, yama yayınlanana dek User-ID Authentication Portal'ın yalnızca güvenilir iç ağlarla sınırlandırılmasını veya devre dışı bırakılmasını tavsiye ediyor.
📅 6-13 May 2026 📰 The Hacker News / Palo Alto Networks / Help Net Security 🎯 PA-Series & VM-Series Güvenlik Duvarları — Captive Portal Açık Ortamlar
5.800+
İnternete Açık Örnek
05
CISA KEVExchange On-PremisesOWA XSS SpoofingExploitation Detected
Microsoft Exchange CVE-2026-42897 (CVSS 8.1): OWA XSS Spoofing Aktif İstismarla KEV'e Girdi
Microsoft, on-prem Exchange Server 2016/2019/SE'yi etkileyen CVE-2026-42897 (CVSS 8.1) için 'Exploitation Detected' etiketi yapıştırdı; açık OWA üzerinden özel hazırlanmış e-posta aracılığıyla kurbanın tarayıcı bağlamında keyfi JavaScript çalıştırılmasına izin veriyor. Exchange Online etkilenmiyor; Exchange Emergency Mitigation Service URL rewrite konfigürasyonuyla otomatik geçici koruma yayımladı. CISA 15 Mayıs'ta KEV'e ekledi ve federal kurumlar için 29 Mayıs'ı son gün olarak belirledi.
📅 14-15 May 2026 📰 The Hacker News / MSRC / CISA 🎯 Exchange Server 2016 / 2019 / SE (On-Premises) — OWA Kullanan Kurumlar
CVSS 8.1
Aktif İstismar
06
CISA KEVLinux LPE AF_ALGKonteyner Kaçış RiskiWiz / Theori / Xint
Linux 'Copy Fail' CVE-2026-31431 (CVSS 7.8): 732 Baytlık Python ile Root, 9 Yıllık Açık KEV'de
Linux kernel AF_ALG kriptografik alt sistemindeki 9 yıllık mantık hatası (2011, 2015, 2017'de yapılan üç ayrı bireysel zararsız değişiklikle oluştu), yalnızca 732 baytlık Python scriptiyle kernel page cache overwrite üzerinden root erişimine dönüşüyor. Kaspersky, Docker/LXC/Kubernetes ortamlarında konteyner izolasyonunu kırma riski taşıdığını vurguladı; kamuya açık Go ve Rust exploit versiyonları tespit edildi. CISA KEV'e ekledi; düzeltmeler kernel sürümleri 6.18.22, 6.19.12 ve 7.0'da mevcut.
📅 1 May 2026 📰 The Hacker News / CISA / Wiz / Kaspersky / Theori / Xint 🎯 Tüm Linux Sunucular / Bulut / CI/CD / Kubernetes / Docker
732B
Exploit Boyutu
07
Heap Buffer OverflowNGINX 0.6.27–1.30.0VulnCheckKimliksiz RCE / DoS
NGINX 'NGINX Rift' CVE-2026-42945 (CVSS 9.2): 18 Yıllık Heap Overflow PoC'dan Günler Sonra İstismar Altında
NGINX Plus ve Open Source'u 2008'den bu yana etkileyen ngx_http_rewrite_module heap buffer overflow açığı CVE-2026-42945 (CVSS 9.2), PoC yayınlanmasının hemen ardından VulnCheck honeypot ağlarında aktif istismar girişimleriyle karşılaştı. Kimliği doğrulanmamış saldırgan özel HTTP isteğiyle worker process çökmesine yol açabiliyor; ASLR devre dışıysa RCE mümkün. Aynı raporda openDCIM'deki iki kritik açığın (CVE-2026-28515/28517, CVSS 9.3) Çinli IP'lerden Vulnhuntr tabanlı otomatik tarama ile istismar edildiği de açıklandı.
📅 17 May 2026 📰 The Hacker News / VulnCheck 🎯 NGINX Plus & Open Source Sunucular / Veri Merkezi Altyapısı
18 Yıl
Gizli Kalan Açık
08
İran APT42 IRGC-IOWhatsApp PhishingTAMECAT BackdoorTrellix Research
APT42 'SpearSpecter': WhatsApp Sosyal Mühendisliği ile Üst Düzey Yetkililer, TAMECAT Bulut C2
Trellix Research, İran devlet destekli APT42'nin (IRGC-IO bağlantılı) üst düzey hükümet ve savunma yetkililerini WhatsApp sosyal mühendislik zinciriyle hedef aldığı SpearSpecter kampanyasını raporladı; ancak snippet'teki TAMECAT backdoor, AES-256 şifreli C2 ve Discord/Telegram kanal detayları raw content'in görünen kısmında yer almadığından kaynaklara göre doğrulanmayı bekliyor. Trellix'in geniş kapsamlı İran siber yetenek değerlendirmesi, Haziran 2025'teki İsrail-İran çatışmasının ardından tehdit aktörünün hedefleme önceliklerini ve operasyonel dinamiklerini güncellediğini ortaya koyuyor. Finans sektörü kuruluşlarının çalışan farkındalık eğitimlerini bu vektörü kapsayacak şekilde güncellemesi önerilir.
📅 11 May 2026 📰 Trellix Research 🎯 Hükümet & Savunma Yetkilileri / Finans Sektörü Hedefleri
APT42
İran Devlet Aktörü

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaAksiyon
CVE-2026-42945
"NGINX Rift"
 9.2 NGINX Plus & Open Source v0.6.27 – 1.30.0 ngx_http_rewrite_module'de 18 yıllık heap buffer overflow (NGINX Rift); kimliği doğrulanmamış saldırgan özel HTTP isteğiyle worker crash veya (ASLR kapalıysa) RCE elde edebiliyor. PoC yayınlanmasının ardından aktif istismar başladı.
Acil NGINX Güncellemesi
The Hacker News ↗
CVE-2026-42897
CISA KEV 		8.1 Microsoft Exchange Server 2016/2019/SE (On-Premises) OWA'daki XSS tabanlı spoofing; özel hazırlanmış e-posta açıldığında saldırgan kurbanın tarayıcı bağlamında keyfi JS çalıştırabiliyor. Microsoft 'Exploitation Detected' etiketi yapıştırdı; Exchange Online etkilenmiyor.
CISA KEV — Yamayı Uygula
Microsoft MSRC ↗
CVE-2026-41089
Wormable Domain Controller RCE
 9.8 Microsoft Windows Server (Netlogon) — 2012/2019/2022 Netlogon stack-tabanlı buffer overflow — kimliği doğrulanmamış uzak saldırgan domain controller üzerinde SYSTEM yetkili kod yürütebilir. WORMABLE: kimlik bilgisi veya kullanıcı etkileşimi gerektirmez. Microsoft "Exploitation Less Likely" diyor ama Rapid7 saldırı zorluğu düşük buluyor.
Mayıs 2026 Patch Tuesday — Domain Controller'lar derhal yamala
Microsoft Security Response Center ↗
CVE-2026-40402
Hyper-V Guest-to-Host Escape
 9.0 Microsoft Windows Hyper-V (multi-tenant + private cloud) Hyper-V use-after-free — guest VM içindeki saldırgan host sistemde kod yürütebilir (guest-to-host escape). Multi-tenant ve özel bulut ortamlarında blast radius çok büyük. CVSS 9.0 kritik.
Mayıs 2026 Patch Tuesday — Hyper-V host'larını öncelikle yamala
Microsoft Security Response Center ↗
CVE-2026-41096
Tüm Windows Endpoint'leri için Wormable RCE Potansiyeli
 9.8 Microsoft Windows (DNS Client) — tüm sürümler Heap-tabanlı buffer overflow Windows DNS Client'da — saldırgan kontrollü DNS sunucusundan gelen özel olarak hazırlanmış DNS cevabı memory corruption yapıp uzaktan kod yürütme sağlıyor. Kimlik doğrulama VE kullanıcı etkileşimi gerektirmez. DNS Client neredeyse her Windows makinesinde çalıştığı için saldırı yüzeyi muazzam.
Mayıs 2026 Patch Tuesday — tüm Windows endpoint'lerini yamala
Microsoft Security Response Center ↗
CVE-2026-20794
ESXi Ring-1 Local Privilege Escalation
 7.8 VMware ESXi (Intel Data Center Graphics Driver) < 2.0.2 Intel Data Center Graphics Driver'da (VMware ESXi içinde Ring 1: Device Drivers) buffer overflow. Yetkili sistem kullanıcısı düşük karmaşıklıkta saldırı ile lokal kod yürütme + privilege escalation yapabilir. Pwn2Own Berlin sırasında yayınlandı.
VMware ESXi'yi 2.0.2 veya üstüne yamala (Intel Graphics Driver)
Tenable / Broadcom ↗

// 🎯 BİZDEKİ ETKİ — ENVANTER EŞLEŞMELERİ

config/inventory.yaml'daki sistemlerle CVE'lerin otomatik substring match'i.

CVE-2026-42945 NGINX Plus & Open Source v0.6.27 – 1.30.0 ✓ envanterde eşleşme yok
CVE-2026-42897 Microsoft Exchange Server 2016/2019/SE (On-Premises) ✓ envanterde eşleşme yok
CVE-2026-41089 Microsoft Windows Server (Netlogon) — 2012/2019/2022 ✓ envanterde eşleşme yok
CVE-2026-40402 Microsoft Windows Hyper-V (multi-tenant + private cloud) ✓ envanterde eşleşme yok
CVE-2026-41096 Microsoft Windows (DNS Client) — tüm sürümler ✓ envanterde eşleşme yok
CVE-2026-20794 VMware ESXi (Intel Data Center Graphics Driver) < 2.0.2 ⚠ 1 sistem etkilenebilir
  • VMware vSphere ESXi · sürüm TODO · sahip: virt-team HIGH 🟠 OLASI

// 🛡️ BİZDEKİ DURUM — CVE NOTLARI

CVE-2026-42945 NGINX Plus & Open Source v0.6.27 – 1.30.0 🚧 Çalışılıyor

ilgili ekipler bilgilendirildi. aksiyon alınıyor.

— samid · 2026-05-18T15:33:29

CVE-2026-42897 Microsoft Exchange Server 2016/2019/SE (On-Premises) 🚧 Çalışılıyor

Aktif Dizin ekibi bilgisi dahilinde aksiyon planlarına dahil edilmiştir.

— samid · 2026-05-18T10:53:25

CVE-2026-41089 Microsoft Windows Server (Netlogon) — 2012/2019/2022 ⏳ Beklemede

Mail ile bilgilendirme yapıldı. dönüş beklenmektedir.

— samid · 2026-05-18T15:32:46

CVE-2026-40402 Microsoft Windows Hyper-V (multi-tenant + private cloud) ❌ Bizde Yok

(not yok)

— samid · 2026-05-18T11:51:52

CVE-2026-41096 Microsoft Windows (DNS Client) — tüm sürümler ⏳ Beklemede

Mail ile bilgilendirme yapıldı. dönüş beklenmektedir.

— samid · 2026-05-18T15:33:00

CVE-2026-20794 VMware ESXi (Intel Data Center Graphics Driver) < 2.0.2 ⏳ Beklemede

Sunucu Sanallaştırma Ekibinden Ali Öztürk konu hakkında bilgilendirilmiştir. konuyu takip etmektedir.

— samid · 2026-05-18T11:20:39