Googles cybersäkerhetsexperter har just varnat för en storskalig attackkampanj som genomförts av hackergruppen Clop, riktad mot programvaran Oracle E-Business Suite, vilket lett till stöld av data från dussintals organisationer.
Detta ses som det första tecknet på att kampanjens omfattning kan sprida sig globalt.
Enligt Google utnyttjade Clop-gruppen en allvarlig säkerhetsbrist (nolldagsbrist) i Oracle E-Business Suite, en affärsprogramvaruplattform som används för att hantera kunddata, ekonomi och personal...
Oracle tvingades släppa en nödpatch för att stoppa den pågående attacken.
Denna sårbarhet, identifierad som CVE-2025-61882, har en allvarlighetsgrad på 9,8/10 och tillåter angripare att exekvera fjärrkod utan autentisering, enbart genom att komma åt via HTTP-protokollet.
När hackaren väl lyckats utnyttja den kunde den få fullständig kontroll över Oracle E-Business Suite-systemets samtidiga bearbetning.
Enligt analytiker började attackkampanjen den 10 juli 2025, tre månader innan de första organisationerna upptäckte tecken på intrång i början av oktober.
Chefer på flera amerikanska företag fick sedan mejl med lösensummor där hackare påstod sig vara i besittning av känsliga datafiler som stulits från deras system.
Google sa att Clop-gruppen var hjärnan bakom kampanjen, som har legat bakom en serie storskaliga ransomware-attacker som utnyttjade nolldagssårbarheter i filöverföringsverktyg som MOVEit, Cleo och GoAnywhere.
Flera tekniska indikatorer tyder också på en koppling mellan denna kampanj och FIN11-gruppen, ett ekonomiskt motiverat cyberbrottssyndikat, tillsammans med Scattered Lapsus$ Hunters.
Charles Carmakal, teknisk chef för Mandiant-Google Cloud, bekräftade att mejlen med lösensumman skickades från hundratals komprometterade e-postkonton, inklusive minst ett konto som tidigare kopplats till FIN11-aktivitet.
Ursprungligen publicerade Oracles säkerhetschef Rob Duhart ett meddelande där han hävdade att sårbarheterna hade åtgärdats i juli, vilket antydde att attackerna hade upphört, men meddelandet togs senare bort.
Bara några dagar senare tvingades Oracle erkänna att hackare fortfarande utnyttjade deras programvara för att stjäla personuppgifter och företagsdokument. Oracle släppte omedelbart en ny nödpatch som bekräftade existensen av nolldagspatchen.
Google har publicerat e-postadresser, indikatorer på kompromettering (IoC:er) och teknisk vägledning för att hjälpa cybersäkerhetsexperter att kontrollera om deras Oracle-system har komprometterats.
Oracle insisterar på att kundernas betalningsdata inte påverkades, men experter varnar för att personaldata och operativ information kan ha läckt ut.
Säkerhetsexperter rekommenderar att företag omedelbart uppdaterar den senaste uppdateringen av Oracle E-Business Suite; övervakar HTTP-åtkomstloggar och ovanliga aktiviteter relaterade till samtidig bearbetning samt utför en forensisk granskning om de misstänker ett intrång.
Denna attackkampanj visar återigen den växande risken från nolldagssårbarheter i företagsprogramvara och betonar behovet av snabba patchar och proaktiv övervakning i samband med alltmer sofistikerad cyberbrottslighet.
Källa: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp
Kommentar (0)