Siber güvenlik şirketi CrowdStrike’a göre Clop fidye yazılımı çetesi, en azından Ağustos başından bu yana veri hırsızlığı saldırılarında kritik bir Oracle E-Business Suite (EBS) sıfır gün hatasından yararlanıyor.
Hafta sonu Oracle tarafından CVE-2025-61882 olarak takip edilen ve yamalanan bu güvenlik açığı, Oracle EBS’nin Eşzamanlı İşleme bileşeninin BI Yayıncı Entegrasyonu bileşeninde keşfedildi ve kimliği doğrulanmamış saldırganların, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda yama uygulanmamış sistemlerde uzaktan kod yürütme olanağı elde etmesine olanak tanıdı.
Ancak watchTowr Labs güvenlik araştırmacıları, Scattered Lapsus$ Hunters siber suç çetesi tarafından (Mayıs 2025 zaman damgasına sahip) çevrimiçi olarak sızdırılan bir kavram kanıtlama (PoC) istismarına tersine mühendislik uygularken buldukları gibi, CVE-2025-61882 aslında tehdit aktörlerinin tek bir HTTP isteği kullanarak kimlik doğrulama gerektirmeden uzaktan kod yürütme elde etmesine olanak tanıyan bir güvenlik açığı zinciridir.
Pazartesi günü, CrowdStrike analistleri ilk olarak CVE-2025-61882’yi hassas belgeleri çalmak için CVE-2025-61882’yi sıfır gün olarak kullanan Clop fidye yazılımı çetesini tespit ettiklerini bildirdi ve saldırılara diğer tehdit gruplarının da katılmış olabileceğini ekledi.
CrowdStrike, “CrowdStrike Intelligence, GRACEFUL SPIDER’ın muhtemelen bu kampanyaya dahil olduğunu orta düzeyde bir güvenle değerlendiriyor ancak birden fazla tehdit aktörünün CVE-2025-61882’yi istismar ettiği olasılığını göz ardı edemiyor. Bilinen ilk istismar 9 Ağustos 2025’te gerçekleşti; ancak soruşturmalar devam ediyor ve bu tarih değişebilir.” dedi.
“CrowdStrike Intelligence ayrıca, 3 Ekim 2025 tarihli kavram kanıtı (POC) açıklamasının ve CVE-2025-61882 yama sürümünün, tehdit aktörlerini, özellikle de Oracle EBS’ye aşina olanları, silahlı POC’ler oluşturmaya ve bunları internete açık EBS uygulamalarına karşı kullanmaya teşebbüs etmeye neredeyse kesinlikle teşvik edeceğini değerlendiriyor.”
Mandiant ve Google Tehdit İstihbarat Grubu (GTIG), geçen hafta BleepingComputer’a, Clop’un devam eden bir şantaj kampanyası kapsamında birden fazla şirketteki yöneticilere e-posta gönderdiğini ve Oracle E-Business Suite sistemlerinden çalındığı iddia edilen hassas verilerin çevrimiçi sızdırılmasını önlemek için fidye talep ettiğini söyledi.
Perşembe günü Oracle, Clop siber suç çetesi tarafından iddia edilen şantaj e-postalarını CVE-2025-61882 Oracle EBS güvenlik açığıyla ilişkilendirerek müşterileri aktif olarak yararlanılan bu kusuru düzeltmeye öncelik vermeye çağırdı.
“Oracle, müşterilerin bu Güvenlik Uyarısı tarafından sağlanan güncellemeleri mümkün olan en kısa sürede uygulamalarını şiddetle tavsiye eder. Oracle, müşterilerin her zaman aktif olarak desteklenen sürümlerde kalmasını ve tüm Güvenlik Uyarılarını ve Kritik Yama Güncellemesi güvenlik yamalarını gecikmeden uygulamasını önerir.”
Clop şantaj grubunun, büyük veri hırsızlığı kampanyalarında sıfır gün kusurlarını kötüye kullanma konusunda uzun bir geçmişi var; en son, Cleo’nun güvenli dosya aktarım yazılımındaki sıfır gün güvenlik açığını (CVE-2024-50623) hedef alan saldırılarda dosyalarını çaldıktan sonra Ocak ayında düzinelerce kurbandan şantaj yaptı.
Daha önce Clop, Accellion FTA, GoAnywhere MFT ve MOVEit Transfer’de sıfır günleri hedefleyen çok sayıda başka veri hırsızlığı kampanyasıyla bağlantılıydı ve ikincisi 2.770’den fazla kuruluşu etkiliyordu.
ABD Dışişleri Bakanlığı artık Clop’un fidye yazılımı saldırılarını yabancı bir hükümetle ilişkilendirmeye yardımcı olabilecek her türlü bilgi için 10 milyon dolarlık bir ödül sunuyor.
Katılın İhlal ve Saldırı Simülasyon Zirvesi ve deneyimleyin güvenlik doğrulamanın geleceği. En iyi uzmanlardan bilgi alın ve nasıl olduğunu görün Yapay zeka destekli BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın