Mantiant ve Google, birden fazla şirketteki yöneticilerin, Oracle E-Business Suite Sistemlerinden hassas verilerin çalındığını iddia eden e-postalar aldıkları yeni bir gasp kampanyası izliyor.
GTIG’deki siber suç ve bilgi operasyonları istihbarat analizi başkanı Genevieve Stark’a göre, kampanya Eylül ayı sonlarında başladı.
Stark, “Bu etkinlik 29 Eylül 2025’te veya daha önce başladı, ancak Mantiant’ın uzmanları hala birden fazla soruşturmanın ilk aşamalarında ve henüz bu grup tarafından yapılan iddiaları doğrulamamışlar.” Dedi.
Maniant – Google Cloud’dan CTO olan Charles Carmakal, gasp e -postalarının çok sayıda tehlikeye atılan e -posta hesabından gönderildiğini belirtti.
Karmakal, “Şu anda yüzlerce uzlaşmış hesaptan başlatılan yüksek hacimli bir e-posta kampanyasını gözlemliyoruz ve ilk analizimiz, bu hesaplardan en az birinin fidye yazılımı dağıtımı ve gasp içinde bulunduğu bilinen uzun süredir finansal olarak motive olmuş bir tehdit grubu olan FIN11’in faaliyetleriyle ilişkili olduğunu doğrulamaktadır.”
Mantiant ve GTIG, e -postaların, gasp grubuna olası bir bağlantıyı gösteren klop fidye yazılımı çetesinin veri sızıntı sitesinde listelendiği bilinen iletişim adresleri içerdiğini bildirir.
Bununla birlikte, Carmakal, taktiklerin Clop’un önceki gasp kampanyalarına benzer olsa da ve e -posta adreslerinin potansiyel bir bağlantıyı göstermesine rağmen, verilerin gerçekten çalındığını belirlemek için yeterli kanıt olmadığını söylüyor.
Mantiant ve GTIG, bu e-postaları alan kuruluşların, Oracle e-Business Suite platformlarında olağandışı erişim veya uzlaşma için ortamlarını araştırmasını önermektedir.
BleepingComputer, gasp e -postalarının arkasında olup olmadığını doğrulamak için Clop Fidye yazılımı çetesi ile temasa geçti, ancak şu anda bir yanıt almadı.
Ayrıca, veri hırsızlığına yol açabilecek yakın zamanda sıfır gün sömürüsünün farkında olup olmadıklarını belirlemek için Oracle ile temasa geçtik.
Bu olay veya diğer açıklanmayan saldırılarla ilgili herhangi bir bilginiz varsa, 646-961-3731 numaralı telefondan veya [email protected] adresinden sinyal aracılığıyla bize gizlice iletişime geçebilirsiniz.
Clop gasp çetesi kimdir?
TA505, CL0P ve FIN11 olarak da izlenen klop fidye yazılımı işlemi, Cryptomix fidye yazılımlarının bir çeşidiyle kurumsal ağları hedeflemeye başladığında Mart 2019’da başlatıldı.
Diğer fidye yazılımı çeteleri gibi, Clop üyeleri de kurumsal ağları ihlal eder, verileri çalar ve daha sonra sistemleri şifrelemek için fidye yazılımı dağıtır.
Çalıntı veriler ve şifrelenmiş dosyalar daha sonra şirketleri bir şifreleme karşılığında fidye talebini ödemeye zorlamak ve çalıntı verilerin sızmasını önlemek için kaldıraç olarak kullanılır.
Grubun hala fidye yazılımı dağıttığı bilinse de, 2020’den beri, veri çalmak için güvenli dosya aktarım platformlarındaki sıfır gün güvenlik açıklarından yararlanmaya kaymıştır.
En önemli saldırılarından bazıları şunları içerir:
Clop ile ilişkili en son kampanya, tehdit aktörlerinin veri ve zorlu şirketleri çalmak için iki Cleo dosya transferi sıfır gününden (CVE-2024-50623 ve CVE-2024-55956) sömürdüğü Ekim 2024’teydi.
ABD Dışişleri Bakanlığı şu anda Clop’un fidye yazılımı faaliyetlerini yabancı bir hükümete bağlayan bilgiler için adalet programı programı aracılığıyla 10 milyon dolarlık bir ödül sunuyor.
Katılmak İhlal ve Saldırı Simülasyon Zirvesi ve deneyimle Güvenlik doğrulamasının geleceği. Üst düzey uzmanlardan dinleyin ve nasıl olduğunu görün AI ile çalışan BAS ihlal ve saldırı simülasyonunu dönüştürüyor.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın