Oracle E-Business Suite müşterilerini hedef alan bir bilgisayar korsanlığı kampanyası, bilgisayar korsanlarının yazılımdaki güvenlik açıklarını birbirine zincirlemeye başladığı Temmuz gibi erken bir tarihte başlamış olabilir. bir rapora göre Perşembe günü Google Tehdit İstihbaratı Grubu (GTIG) tarafından yayınlandı.
Araştırmacılar, ünlü Clop fidye yazılımı grubuyla bağlantılı olan saldırganların, kimlik doğrulamaya ihtiyaç duymadan uzaktan kod çalıştırmayı elde ettikten sonra büyük miktarda veriyi çalmak için sıfır gün güvenlik açığıyla bir dizi kusuru zincirlediğini buldu.
Şu şekilde izlenen güvenlik açığı: CVE-2025-61882ağ erişimi olan, kimliği doğrulanmamış bir saldırganın Oracle E-Business Suite’in Oracle Eşzamanlı İşleme bölümünü devralmasına olanak tanır.
GTIG araştırmacıları, kampanyanın dosyasız, karmaşık, çok aşamalı kötü amaçlı yazılım içerdiğini ve saldırıların dosya tabanlı tespit sistemlerinden kaçmasını sağladığını söyledi. Kampanyanın karmaşıklığı, bilgisayar korsanlarının saldırıları planlamaya önemli miktarda zaman ve kaynak ayırdığını gösteriyor.
GTIG baş analisti John Hultquist yaptığı açıklamada, “Olayın kapsamını hâlâ değerlendiriyoruz ancak düzinelerce kuruluşu etkilediğine inanıyoruz” dedi. “Bazı tarihi Clop veri şantaj kampanyalarının yüzlerce kurbanı oldu.”
Mandiant Consulting’in CTO’su Charles Carmakal, araştırmacılar veri hırsızlığının izini Ağustos ayına kadar sürerken, olası kötüye kullanım faaliyetinin ilk işaretleri 10 Temmuz’da başladı. bir LinkedIn gönderisinde söyledi. Bu, Oracle’ın kullanıcıları indirmeye çağırdığı Temmuz yamasının öncesine tarihleniyor.
WatchTowr’daki araştırmacılar Pazartesi günü bir yayınladı istismar zincirinin tam analiziönceden kimlik doğrulaması yapılmış uzaktan kod yürütülmesine izin vermek için “birlikte düzenlenmiş beş farklı hatayı” gösteriyor.
Oracle, 4 Ekim’de bir acil durum yaması yayınladı ve kullanıcıları derhal güncellemeye çağırdı onların sistemleri.
Shadowserver’dan araştırmacılar Salı günü 576 potansiyel olarak savunmasız olduğunu gösteren veriler yayınlandı Sıfır günü temel alan IP adresleri.
Mandiant’tan araştırmacılar, perakendecilere ve diğer şirketlere yönelik çok sayıda sosyal mühendislik saldırısıyla bağlantılı bir grup olan Scattered Lapsus$ Hunters tarafından 3 Ekim’de yayınlanan sızdırılmış bir yararlanma koduyla bazı örtüşmeler buldu. Grup aynı zamanda üretimi kesintiye uğratan son saldırının sorumluluğunu da üstlendi. Jaguar LandRover.
Ancak araştırmacılar, Temmuz ayındaki etkinliğin bu istismarı içerip içermediğini veya ilk Oracle etkinliği ile ShinyHunters arasında doğrudan bir bağlantı olup olmadığını şu anda değerlendiremediklerini söyledi.
Hultquist, sıfır günlerin büyük ölçekli istismarının, bilgisayar korsanlığı kampanyalarında giderek daha yaygın bir özellik haline geldiğini söyledi.
Clop, 2023’te güvenlik açıklarının kitlesel olarak istismar edilmesiyle bağlantılı olarak uluslararası üne kavuştu. MOVEit dosya aktarım yazılımı. Grup ayrıca, Cleo dosya aktarım yazılımındaki kusurlardan yararlandıktan sonra 2024’ün sonlarında başlayan bir bilgisayar korsanlığı çılgınlığıyla da bağlantılıydı.
Mevcut şantaj kampanyası, geçen hafta Oracle E-Business Suite kullanan çok sayıda şirketin yöneticilerinin yaptığı bir görüşmeyle ortaya çıktı. şantaj e-postaları aldım Clop’tan olduklarını iddia eden bilgisayar korsanlarından.