{"id":27760,"date":"2026-05-24T23:49:36","date_gmt":"2026-05-24T20:19:36","guid":{"rendered":"https:\/\/fajr.news\/?p=27760"},"modified":"2026-05-24T23:49:36","modified_gmt":"2026-05-24T20:19:36","slug":"orta-dogu-telekomunikasyonunu-hedef-alan-showboat-linux-zararli-yazilimi-bolgesel-guvenligi-tehdit-ediyor","status":"publish","type":"post","link":"https:\/\/fajr.news\/?p=27760&lang=tr","title":{"rendered":"Orta Do\u011fu Telekom\u00fcnikasyonunu Hedef Alan ‘Showboat’ Linux Zararl\u0131 Yaz\u0131l\u0131m\u0131 B\u00f6lgesel G\u00fcvenli\u011fi Tehdit Ediyor"},"content":{"rendered":"

Siber g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131, Orta Do\u011fu’daki telekom\u00fcnikasyon sa\u011flay\u0131c\u0131lar\u0131n\u0131 hedef alan yeni bir Linux zararl\u0131 yaz\u0131l\u0131m\u0131 olan Showboat<\/strong> hakk\u0131nda \u00e7arp\u0131c\u0131 detaylar\u0131 kamuoyuyla payla\u015ft\u0131. En az 2022 y\u0131l\u0131n\u0131n ortalar\u0131ndan bu yana aktif olan bu tehdit, b\u00f6lgedeki kritik altyap\u0131lar i\u00e7in ciddi bir g\u00fcvenlik riski olu\u015fturuyor.<\/p>\n

Showboat: Mod\u00fcler Bir Tehdit<\/h2>\n

Lumen Technologies Black Lotus Labs taraf\u0131ndan haz\u0131rlanan rapora g\u00f6re, Showboat<\/em>, Linux sistemleri i\u00e7in tasarlanm\u0131\u015f mod\u00fcler bir sald\u0131r\u0131 sonras\u0131 \u00e7er\u00e7evesidir. Bu zararl\u0131 yaz\u0131l\u0131m, uzaktan komut kabu\u011fu olu\u015fturma, dosya transferi yapma ve SOCKS5 proxy olarak i\u015flev g\u00f6rme yeteneklerine sahip. Bu \u00f6zellikler, sald\u0131rganlara ele ge\u00e7irdikleri sistemler \u00fczerinde geni\u015f kontrol imkan\u0131 sunuyor.<\/p>\n

\u00c7in Ba\u011flant\u0131l\u0131 Tehdit Akt\u00f6rleri \u0130\u015f Ba\u015f\u0131nda<\/h2>\n

Ara\u015ft\u0131rmac\u0131lar, Showboat<\/em>‘un en az bir, muhtemelen daha fazla \u00c7in ba\u011flant\u0131l\u0131 tehdit grubu taraf\u0131ndan kullan\u0131ld\u0131\u011f\u0131n\u0131 belirtiyor. Calypso<\/strong> (di\u011fer ad\u0131yla Bronze Medley ve Red Lamassu) gibi akt\u00f6rler, komuta ve kontrol (C2) d\u00fc\u011f\u00fcmleri ile \u00c7in’in Si\u00e7uan eyaletinin ba\u015fkenti Chengdu’da co\u011frafi olarak konumland\u0131r\u0131lm\u0131\u015f IP adresleri aras\u0131nda ba\u011flant\u0131lar tespit edildi. Calypso’nun 2016’dan bu yana Brezilya, Hindistan, Kazakistan, Rusya, Tayland ve T\u00fcrkiye gibi \u00fclkelerdeki devlet kurumlar\u0131n\u0131 hedef ald\u0131\u011f\u0131 biliniyor.<\/p>\n

Ortak Ara\u00e7lar ve Kaynak Havuzu<\/h2>\n

Sald\u0131rganlar\u0131n kulland\u0131\u011f\u0131 ara\u00e7lar aras\u0131nda PlugX<\/em>, WhiteBird<\/em> ve BYEBY<\/em> gibi arka kap\u0131lar bulunuyor. \u00d6zellikle BYEBY<\/em>, ESET taraf\u0131ndan Mikroceen<\/strong> ad\u0131 alt\u0131nda izlenen daha geni\u015f bir k\u00fcmenin par\u00e7as\u0131. Bu durum, Showboat<\/em>‘u PlugX<\/em>, ShadowPad<\/em> ve NosyDoor<\/em> gibi di\u011fer \u00c7in ba\u011flant\u0131l\u0131 gruplar taraf\u0131ndan kullan\u0131lan ortak \u00e7er\u00e7eveler aras\u0131na yerle\u015ftiriyor. “Kaynak havuzu” olarak adland\u0131r\u0131lan bu yakla\u015f\u0131m, devlet destekli \u00c7inli tehdit akt\u00f6rlerinin gerekli ara\u00e7lar\u0131 temin etmek i\u00e7in bir “dijital ikmalciye” g\u00fcvendi\u011fini g\u00f6steriyor.<\/p>\n

Sald\u0131r\u0131n\u0131n Ba\u015flang\u0131c\u0131 ve Eri\u015fim Y\u00f6ntemleri<\/h2>\n

Soru\u015fturma, May\u0131s 2025’te VirusTotal’a y\u00fcklenen bir ELF ikili dosyas\u0131yla ba\u015flad\u0131. Zararl\u0131 yaz\u0131l\u0131m tarama platformu, bunu k\u00f6k kiti benzeri yeteneklere sahip geli\u015fmi\u015f bir Linux arka kap\u0131s\u0131 olarak s\u0131n\u0131fland\u0131rd\u0131. Kaspersky ise bu eseri EvaRAT<\/em> olarak takip ediyor. Black Lotus Labs g\u00fcvenlik ara\u015ft\u0131rmac\u0131s\u0131 Danny Adamitis, zararl\u0131 yaz\u0131l\u0131m\u0131n ilk eri\u015fim vekt\u00f6r\u00fcn\u00fcn hen\u00fcz bilinmedi\u011fini belirtse de, Calypso’nun ge\u00e7mi\u015fte bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 kullanarak veya uzaktan eri\u015fim i\u00e7in kullan\u0131lan varsay\u0131lan bir hesaba s\u0131zarak ASPX web kabu\u011fu kulland\u0131\u011f\u0131 g\u00f6zlemlenmi\u015fti. Ayr\u0131ca, bu d\u00fc\u015fman, Microsoft Exchange Server’daki CVE-2021-26855<\/em> g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 (ProxyLogon sald\u0131r\u0131 zincirinin ilk ad\u0131m\u0131) silahland\u0131ran ilk \u00c7in ba\u011flant\u0131l\u0131 gruplar aras\u0131ndayd\u0131.<\/p>\n

Showboat’un \u0130\u015flevselli\u011fi ve Gizlenme Taktikleri<\/h2>\n

Showboat<\/em>, bir C2 sunucusuyla ileti\u015fim kurmak, sistem bilgilerini toplamak ve bu bilgileri \u015fifreli ve Base64 kodlu bir dize olarak bir PNG alan\u0131nda sunucuya geri iletmek \u00fczere tasarlanm\u0131\u015ft\u0131r. Ayr\u0131ca, ana makineden dosya y\u00fckleme ve indirme, s\u00fcre\u00e7 listesinden varl\u0131\u011f\u0131n\u0131 gizleme ve C2 sunucular\u0131n\u0131 y\u00f6netme yetene\u011fine de sahiptir. Kendini gizlemek i\u00e7in Pastebin’de bar\u0131nd\u0131r\u0131lan bir kod par\u00e7ac\u0131\u011f\u0131n\u0131 kullan\u0131r. Bu kod par\u00e7as\u0131 11 Ocak 2022’de olu\u015fturulmu\u015ftur. Zararl\u0131 yaz\u0131l\u0131m, di\u011fer cihazlar\u0131 tarayabilir ve SOCKS5 proxy arac\u0131l\u0131\u011f\u0131yla onlara ba\u011flanabilir. Bu, Showboat<\/em>‘un birincil amac\u0131n\u0131n ele ge\u00e7irilmi\u015f sistemlerde bir dayanak noktas\u0131 olu\u015fturmak oldu\u011funu g\u00f6stermektedir.<\/p>\n

Black Lotus Labs, “Bu, sald\u0131rganlar\u0131n internete a\u00e7\u0131k olmayan ve yaln\u0131zca LAN arac\u0131l\u0131\u011f\u0131yla eri\u015filebilen makinelerle etkile\u015fime girmesine olanak tan\u0131r” a\u00e7\u0131klamas\u0131n\u0131 yapt\u0131.<\/p>\n

Hedefler Geni\u015fliyor: Afganistan, Azerbaycan ve \u00d6tesi<\/h2>\n

Altyap\u0131 analizleri, Afganistan merkezli bir internet servis sa\u011flay\u0131c\u0131s\u0131 (\u0130SS) ve Azerbaycan’da bulunan ba\u015fka bir bilinmeyen varl\u0131k olmak \u00fczere iki kurban\u0131 ortaya \u00e7\u0131kard\u0131. Orijinal C2 sunucusuyla benzer X.509 sertifikalar\u0131 kullanan ikincil bir C2 k\u00fcmesi, ABD’de iki ve Ukrayna’da bir olas\u0131 ihlali ortaya \u00e7\u0131kard\u0131. Bu durum, tehdidin b\u00f6lgesel s\u0131n\u0131rlar\u0131 a\u015farak k\u00fcresel bir nitelik kazand\u0131\u011f\u0131n\u0131 g\u00f6stermektedir.<\/p>\n

Adamitis, “Baz\u0131 tehdit akt\u00f6rleri tespitten ka\u00e7\u0131nmak i\u00e7in giderek daha gizli, yerel sistem ara\u00e7lar\u0131n\u0131 kullan\u0131rken, di\u011ferleri hala kal\u0131c\u0131 zararl\u0131 yaz\u0131l\u0131m implantlar\u0131 da\u011f\u0131t\u0131yor” dedi. “Bu t\u00fcr tehditlerin varl\u0131\u011f\u0131, etkilenen a\u011flarda daha geni\u015f ve daha ciddi g\u00fcvenlik sorunlar\u0131n\u0131n potansiyelini g\u00f6steren erken bir uyar\u0131 i\u015fareti olarak al\u0131nmal\u0131d\u0131r.”<\/p>\n

JFMBackdoor: Windows Sistemlerine Y\u00f6nelik Tehdit<\/h2>\n

Afganistan’daki telekom\u00fcnikasyon sa\u011flay\u0131c\u0131s\u0131n\u0131 hedef alan kampanyada Calypso taraf\u0131ndan kullan\u0131lan bir di\u011fer ara\u00e7 ise, DLL yan y\u00fcklemesi yoluyla da\u011f\u0131t\u0131lan JFMBackdoor<\/strong> kod adl\u0131 tam \u00f6zellikli bir Windows implant\u0131d\u0131r. Bu sald\u0131r\u0131 zinciri, me\u015fru bir y\u00fcr\u00fct\u00fclebilir dosyay\u0131 ba\u015flatan ve ard\u0131ndan k\u00f6t\u00fc ama\u00e7l\u0131 DLL’i y\u00fckleyen bir toplu i\u015f komut dosyas\u0131n\u0131 i\u00e7erir. JFMBackdoor, uzaktan kabuk eri\u015fimi, dosya i\u015flemleri, a\u011f proxy’si, ekran g\u00f6r\u00fcnt\u00fcs\u00fc yakalama ve kendi kendini kald\u0131rma dahil olmak \u00fczere geni\u015f bir yetenek yelpazesini desteklemektedir.<\/p>\n

PricewaterhouseCoopers (PwC), koordineli bir raporda, “Afganistan ve telekom\u00fcnikasyon sekt\u00f6r\u00fcn\u00fcn hedef al\u0131nmas\u0131, Red Lamassu’nun daha geni\u015f operasyonel hedefleri ve ama\u00e7lar\u0131yla neredeyse kesinlikle \u00f6rt\u00fc\u015fmektedir” ifadelerini kulland\u0131. Bu geli\u015fmeler, b\u00f6lgedeki siber g\u00fcvenlik tehditlerinin ciddiyetini ve karma\u015f\u0131kl\u0131\u011f\u0131n\u0131 bir kez daha g\u00f6zler \u00f6n\u00fcne sermektedir.<\/p>\n

#SiberG\u00fcvenlik #ShowboatMalware #LinuxTehdit #OrtaDo\u011fu #Telekom\u00fcnikasyon #SOCKS5Proxy #\u00c7inliHackerlar #KritikAltyap\u0131 #RedLamassu #SiberSald\u0131r\u0131<\/p>\n","protected":false},"excerpt":{"rendered":"

Siber g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131, Orta Do\u011fu’daki telekom\u00fcnikasyon sa\u011flay\u0131c\u0131lar\u0131n\u0131 hedef alan yeni bir Linux zararl\u0131 yaz\u0131l\u0131m\u0131 olan Showboat hakk\u0131nda \u00e7arp\u0131c\u0131 detaylar\u0131 kamuoyuyla payla\u015ft\u0131. En az 2022 y\u0131l\u0131n\u0131n ortalar\u0131ndan bu yana aktif olan bu tehdit, b\u00f6lgedeki kritik altyap\u0131lar i\u00e7in ciddi bir g\u00fcvenlik riski olu\u015fturuyor. Showboat: Mod\u00fcler Bir Tehdit Lumen Technologies Black Lotus Labs taraf\u0131ndan haz\u0131rlanan rapora g\u00f6re, Showboat, […]<\/p>\n","protected":false},"author":2,"featured_media":27761,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[37],"tags":[],"class_list":["post-27760","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-orta-dogu-haberleri"],"_links":{"self":[{"href":"https:\/\/fajr.news\/index.php?rest_route=\/wp\/v2\/posts\/27760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fajr.news\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fajr.news\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fajr.news\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/fajr.news\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=27760"}],"version-history":[{"count":0,"href":"https:\/\/fajr.news\/index.php?rest_route=\/wp\/v2\/posts\/27760\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fajr.news\/index.php?rest_route=\/wp\/v2\/media\/27761"}],"wp:attachment":[{"href":"https:\/\/fajr.news\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=27760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fajr.news\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=27760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fajr.news\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=27760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}