Sajber kriminalci su objavili skoro 30 organizacija koje su navodno pogođene nedavnom kampanjom usmjerenom na korisnike Oracleovog E-Business Suite (EBS) ERP rješenja.
Kampanju, koja je uključivala slanje mejlova za iznudu izvršnim direktorima desetina organizacija krajem septembra, sprovodila je profitno motivisana grupa hakera poznata pod oznakom FIN11.
Napadi su pripisani ransomware grupi Cl0p (poznatoj i kao Clop). Sajber zajednica je ranije povezivala Cl0p sa FIN11, a odluka da se ovaj alias koristi kao javno lice kampanje vjerovatno je motivisana njegovim ranijim učešćem u sličnim napadima velikih razmjera na korisnike Cleo, MOVEit i Fortra sistema za transfer fajlova.
Do sada je 29 navodnih žrtava Oracle EBS napada navedeno na Cl0p leak sajtu. Organizacije koje su prve pomenute – poput Harvardskog univerziteta, južnoafričkog Wits univerziteta i Envoy Aira, podružnice American Airlinesa – potvrdile su da su pogođene ubrzo nakon što su ih hakeri imenovali sredinom oktobra.
Prošle sedmice, The Washington Post je takođe potvrdio da je bio uspješno meta ove kampanje, ali nije otkrio dodatne detalje, prenosi Reuters.
Ipak, većina ostalih navodnih žrtava još nije potvrdila da je pretrpjela kompromitaciju podataka.
Portal SecurityWeek kontaktirao je nekoliko značajnih organizacija sa liste, ali nijedna nije odgovorila. Među njima su industrijski giganti Schneider Electric i Emerson, proizvođač potrošačke elektronike Logitech, komunikacioni i automobilski konglomerat Cox Enterprises, proizvođač srebra i zlata Pan American Silver, firma za auto-dijelove LKQ Corporation i HVAC kompanija Copeland.
Ostale navodne žrtve uključuju kompanije iz sektora rudarstva, profesionalnih usluga, tretmana otpadnih voda, građevinarstva, osiguranja, finansija, proizvodnje, transporta, tehnologije, automobilske industrije, energetike i HVAC-a.
Organizacije pogođene Oracle EBS napadom najvjerovatnije sprovode interne istrage, a neke vjerovatno ne žele da dijele informacije dok one ne budu završene. Druge, kao što je pokazalo prethodno iskustvo sa Cl0p napadima, pokušavaju da izbjegnu pažnju javnosti ćutanjem.
Hakeri su objavili podatke navodno ukradene od 18 žrtava, u nekim slučajevima u količinama od više stotina gigabajta, pa čak i nekoliko terabajta fajlova.
SecurityWeek je sproveo ograničenu strukturalnu analizu dijela objavljenih fajlova i zaključio da vjerovatno potiču iz Oracle okruženja.
S obzirom na istoriju Cl0p grupe, malo je vjerovatno da su organizacije lažno navedene kao žrtve. Ipak, nije neuobičajeno da hakeri namjerno prikažu matične kompanije kao mete, iako je stvarni uticaj bio ograničen na manju podružnicu (kao što je bio slučaj sa American Airlinesom u napadu na Envoy Air). Takođe, moguće je da su u pojedinim slučajevima hakeri pretjerali u vezi sa vrijednošću i osjetljivošću ukradenih podataka.
Još uvijek nije jasno koje su tačno ranjivosti Oracle EBS sistema iskorišćene u kampanji. Najvjerovatniji kandidati su CVE-2025-61882 i CVE-2025-61884, obje ranjivosti koje se mogu eksploatisati daljinski, bez autentifikacije i interakcije korisnika, radi pristupa osjetljivim podacima. U slučaju CVE-2025-61882, eksploatacija kao zero-day ranjivosti započela je najmanje dva mjeseca prije nego što su objavljene zakrpe.
Izvor: SecurityWeek
