США: Десятки компаній постраждали від крадіжки даних через вразливість Oracle

Експерти Google з кібербезпеки щойно попередили про масштабну атаку, здійснену хакерською групою Clop, спрямовану на програмне забезпечення Oracle E-Business Suite, що призвело до крадіжки даних десятків організацій.

Це розглядається як перша ознака того, що масштаби кампанії можуть поширитися на весь світ.

За даними Google, група Clop скористалася серйозною вразливістю безпеки (нульового дня) в Oracle E-Business Suite, платформі бізнес-програмного забезпечення, яка використовується для управління даними клієнтів, фінансами та людськими ресурсами...

Oracle була змушена випустити екстрене оновлення, щоб зупинити триваючу експлойт.

Ця вразливість, ідентифікована як CVE-2025-61882, має рівень серйозності 9,8/10 та дозволяє зловмисникам виконувати віддалений код без автентифікації, лише через HTTP-протокол.

Після успішного використання зловмисник може отримати повний контроль над паралельною обробкою даних системи Oracle E-Business Suite.

За даними аналітиків, атакуюча кампанія розпочалася 10 липня 2025 року, за три місяці до того, як перші організації виявили ознаки вторгнення на початку жовтня.

Керівники кількох американських компаній отримали електронні листи з проханням про викуп, у яких хакери стверджували, що володіють конфіденційними файлами даних, викраденими з їхніх систем.

Google заявила, що група Clop була головним організатором кампанії, яка стояла за серією масштабних атак програм-вимагачів, що використовували вразливості «нульового дня» в інструментах передачі файлів, таких як MOVEit, Cleo та GoAnywhere.

Кілька технічних показників також вказують на зв'язок між цією кампанією та групою FIN11, фінансово мотивованим кіберзлочинним синдикатом, а також Scattered Lapsus$ Hunters.

Чарльз Кармакал, технічний директор Mandiant-Google Cloud, підтвердив, що електронні листи з вимогою викупу були надіслані із сотень скомпрометованих облікових записів електронної пошти, включаючи щонайменше один обліковий запис, раніше пов'язаний з активністю FIN11.

Спочатку головний директор з безпеки Oracle Роб Духарт опублікував повідомлення, в якому стверджувалося, що вразливості були виправлені в липні, маючи на увазі, що атаки припинилися, але пізніше це повідомлення було видалено.

Всього через кілька днів Oracle була змушена визнати, що хакери все ще використовують її програмне забезпечення для крадіжки персональних даних та корпоративних документів. Oracle негайно випустила новий екстрений патч, що підтверджує існування вірусу нульового дня.

Google опублікував адреси електронної пошти, індикатори компрометації (IoC) та технічні рекомендації, щоб допомогти фахівцям з кібербезпеки перевірити, чи були скомпрометовані їхні системи Oracle.

Oracle наполягає, що дані про платежі клієнтів не постраждали, але експерти попереджають, що міг статися витік даних персоналу та операційної інформації.

Експерти з безпеки рекомендують компаніям негайно оновити останній патч Oracle E-Business Suite; контролювати журнали HTTP-доступу та незвичайну активність, пов'язану з паралельною обробкою, а також проводити судово-медичний аудит, якщо є підозри на вторгнення.

Ця атакуюча кампанія вкотре демонструє зростаючий ризик від вразливостей «нульового дня» в корпоративному програмному забезпеченні та підкреслює необхідність швидкого оновлення та проактивного моніторингу в контексті дедалі складнішої кіберзлочинності.

Джерело: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp