Googles cybersikkerhetseksperter har nettopp advart om en storstilt angrepskampanje utført av Clop-hackergruppen, rettet mot Oracle E-Business Suite-programvaren, noe som har ført til tyveri av data fra dusinvis av organisasjoner.
Dette blir sett på som det første tegnet på at kampanjens omfang kan spre seg globalt.
Ifølge Google utnyttet Clop-gruppen et alvorlig sikkerhetsproblem (nulldagssårbarhet) i Oracle E-Business Suite, en forretningsprogramvareplattform som brukes til å administrere kundedata, økonomi og personalressurser...
Oracle ble tvunget til å gi ut en nødoppdatering for å stoppe den pågående utnyttelsen.
Denne sårbarheten, identifisert som CVE-2025-61882, har en alvorlighetsgrad på 9,8/10, og lar angripere kjøre ekstern kode uten autentisering, bare ved å få tilgang via HTTP-protokollen.
Når hackeren har blitt utnyttet, kan den få full kontroll over Oracle E-Business Suite-systemets samtidige prosessering.
Ifølge analytikere startet angrepskampanjen 10. juli 2025, tre måneder før de første organisasjonene oppdaget tegn på inntrenging tidlig i oktober.
Ledere i flere amerikanske selskaper mottok deretter e-poster om løsepenger der hackere hevdet å være i besittelse av sensitive datafiler stjålet fra systemene deres.
Google sa at Clop-gruppen var hovedhjernen bak kampanjen, som har stått bak en rekke storskala ransomware-angrep som utnyttet nulldagssårbarheter i filoverføringsverktøy som MOVEit, Cleo og GoAnywhere.
Flere tekniske indikatorer tyder også på en kobling mellom denne kampanjen og FIN11-gruppen, et økonomisk motivert nettkriminalitetssyndikat, sammen med Scattered Lapsus$ Hunters.
Charles Carmakal, teknisk direktør i Mandiant-Google Cloud, bekreftet at løsepenge-e-postene ble sendt fra hundrevis av kompromitterte e-postkontoer, inkludert minst én konto som tidligere var knyttet til FIN11-aktivitet.
Opprinnelig publiserte Oracles sikkerhetssjef Rob Duhart en melding der han hevdet at sårbarhetene var blitt fikset i juli, noe som antydet at angrepene var avsluttet, men meldingen ble senere fjernet.
Bare dager senere ble Oracle tvunget til å innrømme at hackere fortsatt utnyttet programvaren deres til å stjele personopplysninger og bedriftsdokumenter. Oracle ga umiddelbart ut en ny nødoppdatering som bekreftet eksistensen av nulldagsoppdateringen.
Google har publisert e-postadresser, indikatorer på kompromittering (IoC-er) og teknisk veiledning for å hjelpe cybersikkerhetsfagfolk med å sjekke om Oracle-systemene deres har blitt kompromittert.
Oracle insisterer på at kundenes betalingsdata ikke ble påvirket, men eksperter advarer om at personaldata og driftsinformasjon kan ha blitt lekket.
Sikkerhetseksperter anbefaler at bedrifter umiddelbart oppdaterer den nyeste oppdateringen av Oracle E-Business Suite, overvåker HTTP-tilgangslogger og uvanlige aktiviteter knyttet til samtidig behandling, samt utfører en rettsmedisinsk revisjon hvis de mistenker et inntrenging.
Denne angrepskampanjen viser nok en gang den økende risikoen fra nulldagssårbarheter i bedriftsprogramvare, og understreker behovet for rask oppdatering og proaktiv overvåking i sammenheng med stadig mer sofistikert nettkriminalitet.
Kilde: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp
![[Foto] Formannen for nasjonalforsamlingen, Tran Thanh Man, mottar første viseformann i Føderasjonsrådet i Den russiske føderasjons føderale forsamling.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F02%2F1764648408509_ndo_br_bnd-8452-jpg.webp&w=3840&q=75)
Kommentar (0)