A Google kiberbiztonsági szakértői nemrég figyelmeztettek a Clop hackercsoport által végrehajtott nagyszabású támadási kampányra, amely az Oracle E-Business Suite szoftvert vette célba, és több tucat szervezet adatainak ellopásához vezetett.
Ez az első jelnek tekinthető arra, hogy a kampány hatóköre globálisra terjedhet.
A Google szerint a Clop-csoport egy súlyos (nulladik napi) biztonsági rést használt ki az Oracle E-Business Suite-ban, amely egy ügyféladatok, pénzügyek és emberi erőforrások kezelésére használt üzleti szoftverplatform...
Az Oracle kénytelen volt kiadni egy sürgősségi javítást a folyamatban lévő sérülékenység megállítására.
Ez a CVE-2025-61882 néven azonosított sebezhetőség 9,8/10-es súlyossági besorolással rendelkezik, és lehetővé teszi a támadók számára, hogy hitelesítés nélkül, pusztán HTTP protokollon keresztül hozzáférve távoli kódot futtassanak.
A sérülékenység sikeres kihasználása után a hacker teljes irányítást szerezhet az Oracle E-Business Suite rendszer egyidejű feldolgozása felett.
Elemzők szerint a támadási kampány 2025. július 10-én kezdődött, három hónappal azelőtt, hogy az első szervezetek október elején behatolás jeleit észlelték volna.
Több amerikai vállalat vezetői váltságdíjat követelő e-maileket kaptak, amelyekben a hackerek azt állították, hogy a rendszereikből ellopott érzékeny adatfájlok birtokában vannak.
A Google szerint a Clop csoport volt a kampány fő kidolgozója, amely egy sor nagyszabású zsarolóvírus-támadás mögött állt, amelyek a MOVEit, a Cleo és a GoAnywhere fájlátviteli eszközök nulladik napi sebezhetőségeit használták ki.
Számos technikai mutató is utal arra, hogy összefüggés van a kampány és a FIN11 csoport, egy pénzügyileg motivált kiberbűnözői szindikátus, valamint a Scattered Lapsus$ Hunters között.
Charles Carmakal, a Mandiant-Google Cloud műszaki igazgatója megerősítette, hogy a váltságdíjat követelő e-maileket több száz feltört e-mail fiókból küldték, köztük legalább egy olyan fiókból, amely korábban a FIN11 tevékenységhez kapcsolódott.
Kezdetben az Oracle biztonsági igazgatója, Rob Duhart egy közleményt tett közzé, amelyben azt állította, hogy a sebezhetőségeket júliusban kijavították, utalva arra, hogy a támadások véget értek, de a közleményt később eltávolították.
Néhány nappal később az Oracle kénytelen volt elismerni, hogy a hackerek továbbra is kihasználják szoftverüket személyes adatok és vállalati dokumentumok ellopására. Az Oracle azonnal kiadott egy új vészhelyzeti javítást, amely megerősítette a nulladik napi vírus létezését.
A Google közzétette az e-mail címeket, a kompromittálódás indikátorait (IoC-ket) és a technikai útmutatókat, amelyek segítenek a kiberbiztonsági szakembereknek ellenőrizni, hogy Oracle rendszereiket feltörték-e.
Az Oracle ragaszkodik ahhoz, hogy az ügyfelek fizetési adatait nem érintette a támadás, de a szakértők arra figyelmeztetnek, hogy személyi adatok és működési információk is kiszivároghattak.
A biztonsági szakértők azt javasolják, hogy a vállalkozások azonnal frissítsék az Oracle E-Business Suite legújabb javítását; figyeljék a HTTP-hozzáférési naplókat és a párhuzamos feldolgozással kapcsolatos szokatlan tevékenységeket, valamint végezzenek forenzikus ellenőrzést, ha behatolásra gyanakszanak.
Ez a támadási kampány ismét rávilágít a vállalati szoftverek nulladik napi sebezhetőségeinek növekvő kockázatára, és hangsúlyozza a gyors javítások és a proaktív monitorozás szükségességét az egyre kifinomultabb kiberbűnözés kontextusában.
Forrás: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp
![[Fotó] Dan hegyi ginzeng, a természet értékes ajándéka Kinh Bac földjének](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F30%2F1764493588163_ndo_br_anh-longform-jpg.webp&w=3840&q=75)
Hozzászólás (0)