Google Mandiant ve Google Tehdit İstihbarat Grubu (GTIG), muhtemelen CL0P olarak bilinen finansal olarak motive olmuş bir tehdit aktörüyle bağlantılı yeni bir faaliyet kümesini izlediklerini açıkladı.
Kötü niyetli etkinlik, çeşitli kuruluşlardaki yöneticilere gasp e-postaları göndermeyi ve Oracle E-Business Suite’ten hassas verileri çaldığını iddia etmeyi içerir.
Hacker News’e yaptığı açıklamada, “Bu faaliyet 29 Eylül 2025’te veya daha önce başladı, ancak Mantiant’ın uzmanları hala birden fazla soruşturmanın ilk aşamalarında ve bu grup tarafından yapılan iddiaları henüz doğrulamamıştır.”
Mantiant CTO Charles Carmakal, devam eden faaliyeti yüzlerce uzlaşmış hesaptan başlatılan “yüksek hacimli bir e-posta kampanyası” olarak nitelendirdi ve bu hesaplardan en az birinin daha önce TA505 grubu içindeki bir alt küme olan FIN11’den gelen faaliyetlerle ilişkili olduğunu gösterdi.
Fin11, Maniant, 2020’ye kadar fidye yazılımı ve gasp saldırılarıyla uğraştı. Daha önce, Flawedammyy, Friendspeak ve MixLabel gibi çeşitli kötü amaçlı ailelerin dağılımıyla bağlantılıydı.
Carmakal, “Kötü niyetli e -postalar iletişim bilgileri içeriyor ve sağlanan iki özel iletişim adresinin CL0P Veri Sızıntısı Sitesinde (DLS) kamuya açık olduğunu doğruladık.” Diyerek şöyle devam etti: “Bu hareket, CL0P ile bir ilişki olduğunu ve mevcut operasyonları için marka tanımasını kullanıyorlar.”
Bununla birlikte, Google, geçmiş CL0P saldırılarında gözlenen taktiklerdeki benzerliklere rağmen, iddia edilen bağları doğrulamak için kendi başına herhangi bir kanıt bulunmadığını söyledi. Şirket ayrıca kuruluşları tehdit aktör faaliyeti kanıtı için çevrelerini araştırmaya çağırıyor.
Şu anda başlangıç erişiminin nasıl elde edildiği açık değil. Bununla birlikte, Bloomberg’e göre, saldırganların kullanıcı e-postalarını tehlikeye attığına ve Halycon tarafından paylaşılan bilgilere atıfta bulunarak internete bakan Oracle E-Business Suite portallarının geçerli kimlik bilgilerini kazanmak için varsayılan şifre sıfırlama işlevini istismar ettiklerine inanılıyor.
Hacker News, gasp kampanyası hakkında daha fazla yorum yapmak için Oracle’a ulaştı ve tekrar duyarsak hikayeyi güncelleyecek.
Son yıllarda, son derece üretken CL0P grubu, binlerce kuruluşu başarıyla ihlal eden Solarwinds Serv-U FTP, Solarwinds Serv-U FTP, Fortra Goanywhere MFT ve İlerleme Hareketli Transfer Platformları’ndaki sıfır gün kusurlarından yararlanan bir dizi saldırı dalgasına atfedildi.