Cybersecurity-experts van Google hebben zojuist gewaarschuwd voor een grootschalige aanvalscampagne uitgevoerd door de Clop-hackersgroep. Deze is gericht op Oracle E-Business Suite-software en heeft geleid tot de diefstal van gegevens van tientallen organisaties.
Dit wordt gezien als het eerste teken dat de campagne wereldwijd ingang kan vinden.
Volgens Google maakte de Clop-groep misbruik van een ernstig beveiligingslek (zero-day) in Oracle E-Business Suite, een bedrijfssoftwareplatform dat wordt gebruikt voor het beheer van klantgegevens, financiën en personeelszaken...
Oracle zag zich genoodzaakt een noodpatch uit te brengen om de aanhoudende exploit te stoppen.
Deze kwetsbaarheid, geïdentificeerd als CVE-2025-61882, heeft een ernstscore van 9,8/10 en stelt aanvallers in staat om code op afstand uit te voeren zonder authenticatie, door toegang te krijgen via het HTTP-protocol.
Als de hacker succesvol misbruik maakt van de malware, kan hij volledige controle krijgen over de gelijktijdige verwerking van het Oracle E-Business Suite-systeem.
Volgens analisten begon de aanvalscampagne op 10 juli 2025, drie maanden voordat de eerste organisaties begin oktober tekenen van inbraak detecteerden.
Vervolgens ontvingen leidinggevenden van diverse Amerikaanse bedrijven e-mails met losgeld, waarin de hackers beweerden in het bezit te zijn van gevoelige gegevensbestanden die van hun systemen waren gestolen.
Volgens Google was de Clop-groep het brein achter de campagne, die achter een reeks grootschalige ransomware-aanvallen zat die misbruik maakten van zero-day-kwetsbaarheden in bestandsoverdrachtprogramma's zoals MOVEit, Cleo en GoAnywhere.
Verschillende technische indicatoren wijzen ook op een verband tussen deze campagne en de FIN11-groep, een cybercrimineel syndicaat met financiële motieven, en Scattered Lapsus$ Hunters.
Charles Carmakal, CTO van Mandiant-Google Cloud, bevestigde dat de losgeldmails werden verzonden vanaf honderden gecompromitteerde e-mailaccounts, waaronder minstens één account dat eerder was gekoppeld aan FIN11-activiteiten.
In juli plaatste Rob Duhart, Chief Security Officer van Oracle, een bericht waarin stond dat de kwetsbaarheden waren verholpen. Dit impliceerde dat de aanvallen waren gestopt. Dit bericht werd later echter verwijderd.
Slechts enkele dagen later moest Oracle toegeven dat hackers nog steeds misbruik maakten van de software om persoonlijke gegevens en bedrijfsdocumenten te stelen. Oracle bracht onmiddellijk een nieuwe noodpatch uit, die het bestaan van de zero-day-aanval bevestigde.
Google heeft e-mailadressen, indicatoren van inbreuk (IoC's) en technische richtlijnen gepubliceerd waarmee cybersecurityprofessionals kunnen controleren of hun Oracle-systemen zijn gecompromitteerd.
Oracle beweert dat er geen betalingsgegevens van klanten zijn gestolen, maar experts waarschuwen dat er mogelijk personeelsgegevens en operationele informatie zijn gelekt.
Beveiligingsexperts adviseren bedrijven om direct de nieuwste patch van Oracle E-Business Suite bij te werken, de HTTP-toegangslogs en ongebruikelijke activiteiten met betrekking tot gelijktijdige verwerking in de gaten te houden en een forensische audit uit te voeren als ze een inbraak vermoeden.
Deze aanvalscampagne toont opnieuw aan dat het risico van zero-day-kwetsbaarheden in bedrijfssoftware toeneemt. Ook benadrukt het de noodzaak van snelle patches en proactieve monitoring in de context van steeds geavanceerdere cybercriminaliteit.
Bron: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp
![[Foto] Premier Pham Minh Chinh ontvangt de president van het Cubaanse Latijns-Amerikaanse persbureau](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F01%2F1764569497815_dsc-2890-jpg.webp&w=3840&q=75)
Reactie (0)