ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Google เพิ่งเตือนเกี่ยวกับแคมเปญโจมตีขนาดใหญ่ที่ดำเนินการโดยกลุ่มแฮกเกอร์ Clop ซึ่งมุ่งเป้าไปที่ซอฟต์แวร์ Oracle E-Business Suite ส่งผลให้ข้อมูลขององค์กรต่างๆ จำนวนมากถูกขโมยไป
นี่ถือเป็นสัญญาณแรกที่บ่งบอกว่าขอบเขตของแคมเปญอาจขยายไปทั่วโลก
ตามที่ Google ระบุ กลุ่ม Clop ได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่ร้ายแรง (zero-day) ใน Oracle E-Business Suite ซึ่งเป็นแพลตฟอร์มซอฟต์แวร์ทางธุรกิจที่ใช้สำหรับจัดการข้อมูลลูกค้า การเงิน และทรัพยากรบุคคล
Oracle ถูกบังคับให้ออกแพตช์ฉุกเฉินเพื่อหยุดการโจมตีที่กำลังดำเนินอยู่
ช่องโหว่นี้ระบุเป็น CVE-2025-61882 มีคะแนนความรุนแรง 9.8/10 และอนุญาตให้ผู้โจมตีรันโค้ดระยะไกลได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ เพียงแค่เข้าถึงผ่านโปรโตคอล HTTP เท่านั้น
เมื่อถูกใช้ประโยชน์สำเร็จแล้ว แฮกเกอร์จะสามารถควบคุมระบบ Concurrent Processing ของระบบ Oracle E-Business Suite ได้อย่างสมบูรณ์
ตามที่นักวิเคราะห์ระบุ แคมเปญโจมตีเริ่มต้นในวันที่ 10 กรกฎาคม พ.ศ. 2568 ซึ่งเป็นเวลาสามเดือนก่อนที่องค์กรแรกๆ จะตรวจพบสัญญาณการบุกรุกในช่วงต้นเดือนตุลาคม
ผู้บริหารระดับสูงของบริษัทต่างๆ ในสหรัฐฯ หลายแห่งได้รับอีเมลเรียกค่าไถ่ ซึ่งแฮกเกอร์อ้างว่าตนมีไฟล์ข้อมูลลับที่ขโมยมาจากระบบของตนอยู่ในความครอบครอง
Google กล่าวว่ากลุ่ม Clop เป็นผู้วางแผนหลักของแคมเปญนี้ ซึ่งอยู่เบื้องหลังการโจมตีแรนซัมแวร์ขนาดใหญ่หลายชุดที่ใช้ประโยชน์จากช่องโหว่แบบ zero-day ในเครื่องมือถ่ายโอนไฟล์ เช่น MOVEit, Cleo และ GoAnywhere
ตัวบ่งชี้ทางเทคนิคหลายตัวยังชี้ให้เห็นถึงความเชื่อมโยงระหว่างแคมเปญนี้กับกลุ่ม FIN11 ซึ่งเป็นกลุ่มอาชญากรทางไซเบอร์ที่แสวงหาผลกำไรทางการเงิน ร่วมกับกลุ่ม Scattered Lapsus$ Hunters
Charles Carmakal ซึ่งเป็น CTO ของ Mandiant-Google Cloud ยืนยันว่าอีเมลเรียกค่าไถ่ถูกส่งมาจากบัญชีอีเมลที่ถูกบุกรุกหลายร้อยบัญชี รวมถึงบัญชีอย่างน้อยหนึ่งบัญชีที่เคยมีความเกี่ยวข้องกับกิจกรรม FIN11 มาก่อน
ในตอนแรก Rob Duhart ซึ่งเป็นหัวหน้าฝ่ายรักษาความปลอดภัยของ Oracle ได้โพสต์ประกาศอ้างว่าช่องโหว่ต่างๆ ได้รับการแก้ไขแล้วในเดือนกรกฎาคม ซึ่งนัยว่าการโจมตีได้ยุติลงแล้ว แต่ในเวลาต่อมา ประกาศดังกล่าวก็ถูกลบออกไป
เพียงไม่กี่วันต่อมา Oracle ถูกบังคับให้ยอมรับว่าแฮกเกอร์ยังคงใช้ประโยชน์จากซอฟต์แวร์ของบริษัทเพื่อขโมยข้อมูลส่วนบุคคลและเอกสารขององค์กร Oracle จึงได้ออกแพตช์ฉุกเฉินใหม่ทันที เพื่อยืนยันการมีอยู่ของช่องโหว่ Zero-day
Google ได้เผยแพร่ที่อยู่อีเมล ตัวบ่งชี้การบุกรุก (IoC) และคำแนะนำทางเทคนิคเพื่อช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ตรวจสอบได้ว่าระบบ Oracle ของตนถูกบุกรุกหรือไม่
Oracle ยืนยันว่าข้อมูลการชำระเงินของลูกค้าไม่ได้รับผลกระทบ แต่ผู้เชี่ยวชาญเตือนว่าข้อมูลบุคลากรและข้อมูลการปฏิบัติงานอาจรั่วไหล
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ธุรกิจต่างๆ อัปเดตแพตช์ล่าสุดของ Oracle E-Business Suite ทันที ตรวจสอบบันทึกการเข้าถึง HTTP และกิจกรรมที่ผิดปกติที่เกี่ยวข้องกับ Concurrent Processing รวมถึงดำเนินการตรวจสอบนิติวิทยาศาสตร์หากสงสัยว่ามีการบุกรุก
แคมเปญโจมตีนี้แสดงให้เห็นอีกครั้งถึงความเสี่ยงที่เพิ่มมากขึ้นจากช่องโหว่แบบ zero-day ในซอฟต์แวร์องค์กร และเน้นย้ำถึงความจำเป็นในการแก้ไขอย่างรวดเร็วและการตรวจสอบเชิงรุกในบริบทของอาชญากรรมทางไซเบอร์ที่ซับซ้อนมากขึ้นเรื่อยๆ
ที่มา: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp
![[ภาพ] โสมแดนภูเขา ของขวัญล้ำค่าจากธรรมชาติสู่ดินแดนกิญบั๊ก](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F30%2F1764493588163_ndo_br_anh-longform-jpg.webp&w=3840&q=75)
การแสดงความคิดเห็น (0)