Clop fidye yazılımı grubu, dünya çapındaki kurumsal kuruluşlar için önemli bir tehdit oluşturmaya devam ediyor; son analizler, Oracle E-Business Suite’teki kritik bir sıfır gün güvenlik açığından yararlandıklarını ortaya koyuyor.
2019’un başından bu yana faaliyet gösteren Clop, kurulduğu günden bu yana 1.025 kuruluşu aşan kurban sayısına ulaşarak ve 500 milyon dolardan fazla gasp yaparak kendisini en üretken ve gelişmiş fidye yazılımı çetelerinden biri olarak kanıtladı.
2016 yılında ortaya çıkan CryptoMix fidye yazılımının bir çeşidi olduğuna inanılan grup, kökenlerinin Rusya’ya dayandığından şüphelenilen Bağımsız Devletler Topluluğu (BDT) ülkelerini hedeflemekten stratejik olarak kaçınıyor.
“Clop” terminolojisi, başarılı saldırıların ardından şifrelenmiş dosyalara eklenen ve Rusça’da “tahtakuru” anlamına da gelen farklı dosya uzantısından (.cl0p) türemiştir.
Bu tehdit aktörünü çağdaşlarından ayıran şey, grubun teknik gelişmişliğini ve istihbarat toplama operasyonlarını vurgulayan en son teknolojiye sahip sıfır gün güvenlik açıklarından tutarlı bir şekilde yararlanmasıdır.
Oracle EBS Sıfır Gün Sömürüsü
Son tehdit istihbaratı analizi, Oracle E-Business Suite’te ilk olarak Haziran 2025’te tanımlanan kritik bir sıfır gün güvenlik açığını ortaya çıkardı ve Oracle, Ekim 2025’te resmi olarak güvenlik ihlali göstergelerini (IOC’ler) yayınladı.
Kritik bir güvenlik açığı olarak sınıflandırılan CVE-2025-61882, saldırganların etkilenen kuruluşlar genelinde sipariş yönetimi, satın alma ve lojistik operasyonlarından sorumlu entegre kurumsal kaynak planlama sistemlerini tehlikeye atmasına olanak tanıyor.
Araştırma, Oracle tarafından paylaşılan iki giden IP adresiyle başladı: 185.181.60.11 (ASN: AS56655, Gigahost) ve 200.107.207.26 (ASN: AS273045, DATAHOME SA). Shodan ve FOFA dahil olmak üzere internet tarayıcıları kullanılarak yapılan daha fazla keşif, El Salvador IP’si ile ilişkili ve 96 ek IP adresiyle ilişkilendirilen bir ağ parmak izi tespit etti.
Coğrafi analiz, Almanya’nın 16 IP ile lider olduğunu, onu 13 IP ile Brezilya’nın ve 12 IP ile Panama’nın takip ettiğini gösterdi.
Rusya’nın yalnızca üç IP ile listenin en altında yer alması dikkat çekicidir; bu da kuruluşların Rus otonom sistem numaralarını (ASN’ler) giderek daha fazla engellemesi nedeniyle kasıtlı bir altyapı çeşitlendirme stratejisine işaret etmektedir.
Tarihsel MOVit Kampanyası
Araştırmacıların mevcut istismar altyapısını, CISA’nın 2023 MOVit güvenlik açığından yararlanmaya ilişkin resmi raporlarında belgelenen tarihi IOC’lerle çapraz referanslaması, derinlemesine analiz sırasında önemli bir atılım ortaya çıkardı.
Spesifik olarak, belirlenen 96 alt ağ IP’sinden 41’i daha önce MOVit kampanyası (CVE-2023-34362) sırasında kullanılmış olup, mevcut ve geçmiş Clop operasyonları arasında yüksek güvenliğe sahip bir bağlantı kurulmuştur.
Çakışan alt ağ analizi, Clop’un Ocak 2023’ten mevcut operasyonlara kadar uzanan çok sayıda istismar kampanyasında kalıcı altyapı modellerini sürdürdüğünü ortaya çıkardı.
Araştırmacılar, hem MOVit istismar kümesinden hem de sonraki Fortra GoAnywhere komut ekleme güvenlik açığından (CVE-2023-0669) gelen verileri birleştirerek, her iki 2023 olayında tam eşleşmeler gösteren 37 yüksek güvenirliğe sahip IP adresi belirlediler.
Özellikle, bu IP’lerin yüzde 59,5’i ABD’de, yüzde 13,5’i Kanada’da ve yüzde 8,1’i Hollanda’da bulunuyor.
SSL sertifikası parmak izi analizi, altyapı sürekliliğinin sağlanmasında etkili olduğunu kanıtladı.
Oracle EBS istismarıyla ilişkili “bd613b3be57f18c3bceb0aaf86a28ad8b6df7f9bccacf58044f1068d1787f8a5” parmak izi, daha önce 2023 MOVit operasyonları sırasında belgelenen parmak izleriyle eşleşti ve mevcut saldırıları doğrudan geçmiş kampanyalara bağladı.
Birden fazla parmak izi üzerinden yapılan alt ağ analizi, tanımlanan alt ağların yüzde 77,8’inin yeniden kullanım modelleri sergilediğini ve 5.188.86/24 alt ağının birden fazla istismar olayında 14 kez göründüğünü ortaya çıkardı.
Bu bulgular, artan tespit çabalarına rağmen Clop’un kalıcı altyapıya güvendiğinin altını çiziyor ve grubun, bölgesel engelleme önlemlerinden kaçınmak için coğrafi dağılımı aşamalı olarak değiştirirken kasıtlı olarak bölümlere ayrılmış ağ bölümleri aracılığıyla operasyonel sürekliliği koruduğunu gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.