ARŞİV ▸ 25 – 31 Mayıs 2026 18 – 24 Mayıs 2026 11 – 17 Mayıs 2026 4 – 10 Mayıs 2026 27 Nisan – 3 Mayıs 2026 20 – 26 Nisan 2026 13 – 19 Nisan 2026 23 – 29 Mart 2026
// SİBER TEHDİT İSTİHBARATI — HAFTALIK BÜLTENİ

Kali365 PhaaS $250/Ay ile 300+ Kuruluşun M365 MFA'sını Atlattı, BTMOB Android RAT $5.000 Yaşam Boyu Lisansla Bankacılık Hesaplarını Hedef Aldı

25 – 31 Mayıs 2026  ·  Yayın: 1 Haziran 2026  ·  TLP:WHITE

4 Kritik Haber
4 CISA KEV CVE
$5.000 BTMOB Yaşam Boyu Lisans
40M ShinyHunters İddia Kaydı
PhaaS
$250
Aylık M365 MFA Atlama Kiti
ANDROID RAT
$5K
BTMOB Yaşam Boyu MaaS
SUPPLY CHAIN
4
CISA KEV — npm & Daemon
VERİ İHLALİ
40M
ShinyHunters İddiası

// YÖNETİCİ ÖZETİ

▸ HAFTALIK DEĞERLENDİRME

Bu hafta finans sektörünü doğrudan hedef alan iki büyük tehdit öne çıktı. FBI, Nisan 2026'da ortaya çıkan Kali365 PhaaS platformuna ilişkin acil uyarı yayımladı; platform, Microsoft 365 OAuth token'larını ele geçirerek MFA'yı atlatıyor ve Telegram üzerinden aylık $250'a satılıyor. Yapay zeka destekli yemleme içerikleri, otomatik kampanya şablonları ve gerçek zamanlı kurban izleme paneli sunan kit, finans dahil birden fazla sektörde yüzlerce kuruluşu etkileyen aktif kampanyalarda kullanıldığı öne sürülüyor. Savunma için Microsoft Conditional Access politikalarıyla device code flow'un kısıtlanması ve OAuth oturum denetiminin güçlendirilmesi kritik önem taşıyor. Öte yandan ESET tarafından raporlanan BTMOB Android RAT, $5.000 yaşam boyu lisansla MaaS modeline geçmiş; sıfır kod gerektiren APK builder ile finansal işlemleri engelleyebilir, ekran görüntüsü alabilir ve cihazı uzaktan yönetebilir hale gelmiştir.

Tedarik zinciri cephesinde CISA bu hafta dört kritik CVE'yi KEV listesine ekledi: CVE-2026-48027 (Nx Console npm) ve CVE-2026-45321 (TanStack npm) saldırgan tarafından npm'e yayımlanan kötü amaçlı sürümlerle geliştirici ortamlarını tehdit ederken, CVE-2026-8398 Daemon Tools Lite kurulum paketine gömülü zararlı kod içeriyor. CVE-2026-0257 ise Palo Alto PAN-OS GlobalProtect bileşeninde kimlik doğrulama atlamaya yol açıyor; federal kurumlara yama son tarihi 19 Haziran 2026 olarak belirlendi ve finans sektörü VPN altyapılarını doğrudan ilgilendiriyor. Brezilya odaklı NuGet Sicoob.Sdk paketi, gerçek bir C# SDK'yı taklit ederek yaklaşık 500 geliştiriciyi etkiledi ve PFX sertifikalarını sızdırarak Pix ödeme altyapısını riske attı. Son olarak ShinyHunters gasp grubu, Charter Communications'dan vishing saldırısı yoluyla Salesforce verilerine eriştiğini iddia ediyor; grubun 40 milyon kayıt çaldığı iddiasına karşın şirket hassas kişisel bilgi çalınmadığını açıkladı. Söz konusu sosyal mühendislik tekniklerinin SaaS uygulamalarına OAuth token erişimi sağlamak için giderek daha fazla kullanılması, finans kurumlarının SSO ve SaaS entegrasyon güvenliğine öncelik vermesini zorunlu kılıyor.

// HAFTALIK HABERLER

01
FBI IC3 UyarısıPhaaS / MFA AtlatmaMicrosoft 365Finans Sektörü
Kali365 PhaaS: FBI Uyarısı — M365 OAuth Token Çalarak MFA Atlatma, Aylık $250 Telegram Kiti
FBI, Nisan 2026'da ortaya çıkan Kali365 PhaaS platformunun Microsoft 365 device code flow açığını istismar ederek OAuth access ve refresh token'larını ele geçirdiğini ve MFA'yı atlatarak Outlook, Teams ve OneDrive'a kalıcı erişim sağladığını duyurdu. Platform, yapay zeka destekli yemleme içerikleri, otomatik kampanya şablonları ve gerçek zamanlı kurban izleme paneli sunarak teknik bilgisi düşük saldırganlara da kapı açıyor. FBI, Conditional Access politikasıyla device code flow'un tüm kullanıcılar için kısıtlanmasını ve mevcut kullanımın denetlenmesini tavsiye ediyor.
📅 25 May 2026 📰 FBI IC3 / BleepingComputer 🎯 Microsoft 365 Kullanan Tüm Kurumlar / Finans / Kamu
$250/ay
Telegram Kit Fiyatı
02
Android RAT / MaaSMobil BankacılıkESETSpySolr Ailesi
BTMOB Android RAT MaaS v4: $5.000 Yaşam Boyu Lisans, Sıfır Kodla APK Builder, Finansal İşlem Engelleme
ESET, SpySolr ailesinden türeyen BTMOB Android RAT'ının MaaS modeline geçtiğini raporladı; platform aylık $700 abonelik veya $5.000 yaşam boyu lisansla Telegram'daki özel kanallarda satılıyor. Sıfır kod gerektiren APK builder sayesinde saldırganlar özelleştirilmiş yük oluşturabilir, Android Accessibility Services aracılığıyla yükseltilmiş izin alabilir, finansal işlemleri engelleyebilir ve cihazı uzaktan yönetebilir. Zararlı yazılım; akış servisleri ve kripto madenciliği platformlarını taklit eden kimlik avı siteleri üzerinden dağıtılıyor, Google Play yansıma sayfalarıyla kullanıcılar sahte uygulama indirmeye yönlendiriliyor.
📅 27 May 2026 📰 BleepingComputer / ESET 🎯 Android Kullanıcıları / Mobil Bankacılık Müşterileri / Brezilya & Latin Amerika
$5.000
Yaşam Boyu MaaS Lisansı
03
Tedarik ZinciriNuGet / .NETSocketFinansal SDK Taklidi
NuGet 'Sicoob.Sdk' Tedarik Zinciri Saldırısı: ~500 İndirme, Brezilya Finans PFX Sertifikaları Sızdırıldı
Socket araştırmacıları, Brezilya'nın en büyük kooperatif finansal sistemi Sicoob'un meşru C# SDK'sını taklit eden kötü amaçlı bir NuGet paketini tespit etti; paket yaklaşık 500 kez indirildi. Kaynaklara göre zararlı paket, geliştiricilerin PFX sertifikalarını çalarak Sicoob bankacılık ağı ve Pix ödeme otomasyonunu tehlikeye atıyor. Finans kurumlarının tedarikçi ve entegrasyon geliştirici ortamlarında NuGet paket bütünlüğünü denetlemesi, yayıncı imzası doğrulaması yapması önerilir.
📅 29 May 2026 📰 The Hacker News / Socket 🎯 Sicoob Ekosistemi Geliştiricileri / Brezilya Finans Entegratörleri
~500
Zararlı Paket İndirmesi
04
ShinyHunters / GaspVishing / Sosyal MühendislikSalesforce / SaaSMicrosoft Entra
ShinyHunters, Charter Communications'ı Vishing ile Hackledi: 40M Kayıt İddiası, Salesforce Verisi Sızdırıldı
ShinyHunters gasp grubu, Nisan 2026 başında Charter Communications'a yönelik bir vishing (sesli kimlik avı) saldırısıyla bir çalışanın Microsoft Entra hesabını ele geçirdi ve Salesforce örneğinden müşteri kayıtlarını dışarı aktardığını iddia etti. Grup 40 milyon kayıt çaldığını öne sürerken Charter, hassas kişisel bilgi veya müşteri ağ bilgisinin (CPNI) dışarı çıkmadığını açıkladı; iki tarafın iddiaları arasındaki çelişki sürmektedir. ShinyHunters'ın OAuth token çalarak Salesforce, Microsoft 365, Slack ve Zendesk gibi SaaS uygulamalarına erişim sağlayan bu yöntemi birçok farklı kuruluşa uyguladığı bilinmektedir.
📅 28 May 2026 📰 BleepingComputer 🎯 Telekomünikasyon / SaaS Entegrasyon Ortamları / Tüm Kurumsal Salesforce Kullanıcıları
40M
Grup İddiası Kayıt Sayısı

// HAFTALIK ZAFİYETLER

CVECVSSÜrünAçıklamaAksiyon
CVE-2026-8398
Malicious Embedded Code
CISA KEV 		Kritik Daemon Tools Lite (tüm etkilenen sürümler) Daemon Tools Lite kurulum paketi içine gömülü kötü amaçlı kod tespit edildi; gizlilik, bütünlük ve erişilebilirlik üzerinde yüksek etki. CISA KEV'e 27 Mayıs 2026'da eklendi.
CISA KEV — Acil Kaldır
CISA Alert ↗
CVE-2026-0257
GlobalProtect Auth Bypass
CISA KEV 		Kritik Palo Alto PAN-OS — GlobalProtect Portal & Gateway GlobalProtect portal ve gateway'de kimlik doğrulama bypass; yetkisiz VPN bağlantısıyla iç ağa erişim mümkün. Federal kurumlara yama tarihi: 19 Haziran 2026.
CISA KEV — Acil Yama
Palo Alto Advisory ↗
CVE-2026-48027
npm Supply Chain Attack
CISA KEV 		Kritik Nx Console (npm supply chain — kötü amaçlı sürüm) Saldırgan kötü amaçlı bir Nx Console sürümünü npm'e yayınladı; npm supply chain saldırısı yoluyla geliştirici ortamları hedef alındı. CISA KEV: 27 Mayıs 2026.
CISA KEV — Sürüm Doğrula
CISA KEV ↗
CVE-2026-45321
npm Supply Chain Attack
CISA KEV 		Kritik TanStack (npm supply chain — kötü amaçlı sürüm) Geniş kullanıma sahip TanStack frontend kütüphanesine kötü amaçlı sürüm npm'e yayınlandı; supply chain saldırısı ile bağımlı projelerin tamamı risk altında. CISA KEV: 27 Mayıs 2026.
CISA KEV — Sürüm Doğrula
CISA KEV ↗

// 🎯 BİZDEKİ ETKİ — ENVANTER EŞLEŞMELERİ

config/inventory.yaml'daki sistemlerle CVE'lerin otomatik substring match'i.

CVE-2026-8398 Daemon Tools Lite (tüm etkilenen sürümler) ✓ envanterde eşleşme yok
CVE-2026-0257 Palo Alto PAN-OS — GlobalProtect Portal & Gateway ⚠ 1 sistem etkilenebilir
  • Palo Alto PAN-OS · sürüm 11.1.6-h10 · sahip: network HIGH 🟠 OLASI
CVE-2026-48027 Nx Console (npm supply chain — kötü amaçlı sürüm) ✓ envanterde eşleşme yok
CVE-2026-45321 TanStack (npm supply chain — kötü amaçlı sürüm) ✓ envanterde eşleşme yok