Google ve Mandiant, Cl0p Fidye Yazılımı Bağlantılı Oracle Şantaj Kampanyasını İnceliyor

Anasayfa » Google ve Mandiant, Cl0p Fidye Yazılımı Bağlantılı Oracle Şantaj Kampanyasını İnceliyor
Haberler, Saldırı Analizi, Siber Güvenlik
Ekim 8, 2025Ekim 25, 2025Tarafından Ai Administrator
1
Google ve Mandiant, Cl0p Fidye Yazılımı Bağlantılı Oracle Şantaj Kampanyasını İnceliyor

Cl0p fidye yazılımı grubu ile ilişkilendirilen yeni bir Oracle E-Business Suite şantaj kampanyası, Google ve Mandiant tarafından araştırılıyor. Saldırganlar, çeşitli kurum yöneticilerine şantaj amaçlı e-postalar göndererek Oracle sistemlerinden hassas verilerin çalındığını iddia ediyor.

Saldırı Detayları ve Mandiant’ın Değerlendirmesi

GTIG Siber Suç ve Bilgi Operasyonları İstihbarat Analizi Başkanı Genevieve Stark, bu kötü niyetli faaliyetlerin 29 Eylül 2025 veya öncesinde başladığını, ancak Mandiant uzmanlarının henüz iddiaları doğrulamadığını belirtti. Stark, hedeflemenin sektörel değil, fırsatçı olduğunu ve bu yöntemlerin Cl0p’un önceki veri sızıntısı faaliyetleriyle uyumlu olduğunu ifade etti.

Mandiant CTO’su Charles Carmakal, operasyonun “yüzlerce ele geçirilmiş hesaptan başlatılan yüksek hacimli bir e-posta kampanyası” olduğunu ve bu hesaplardan birinin TA505 grubunun alt kümesi olan FIN11 ile bağlantılı olduğunu açıkladı. FIN11, 2020’den beri fidye yazılımı ve şantaj saldırıları düzenliyor ve çeşitli kötü amaçlı yazılım aileleriyle ilişkilendiriliyor.

Google ve Oracle’ın Yanıtları

Google, Cl0p ile benzer taktikler gözlemlenmesine rağmen iddia edilen bağlantıları destekleyecek kendi kanıtlarının olmadığını belirtti ve kuruluşları tehdit aktörlerine karşı ortamlarını incelemeye çağırdı. Oracle ise bazı müşterilerinin şantaj e-postaları aldığını doğruladı ve Temmuz 2025’te yayımlanan kritik yama güncellemesinde ele alınan güvenlik açıklarının potansiyel olarak kullanıldığını açıkladı. Oracle güvenlik sorumlusu Rob Duhart, müşterileri en güncel yamaları uygulamaya davet etti.

Teknik Ayrıntılar ve Halcyon Raporu

Bloomberg ve Halcyon tarafından paylaşılan bilgilere göre, saldırganlar kullanıcı e-postalarını ele geçirip Oracle E-Business Suite portallarında varsayılan şifre sıfırlama işlevini kötüye kullanıyor. Yerel Oracle EBS hesaplarının MFA koruması olmaması, SSO kontrollerinin atlanmasına ve tehdit aktörlerinin ele geçirilen e-posta hesapları üzerinden şifre sıfırlaması yaparak geçerli erişim elde etmesine olanak sağlıyor.

Halcyon, bu yöntemle binlerce kuruluşun savunmasız kaldığını ve şantaj taleplerinin 50 milyon dolara kadar çıktığını belirtiyor. Saldırganlar, ihlal kanıtı olarak ekran görüntüleri ve dosya ağaçları sunuyor.

Cl0p Grubunun Geçmişi

Cl0p, son yıllarda Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT ve Progress MOVEit Transfer gibi platformlardaki sıfır gün açıklarını istismar eden birçok saldırı düzenleyerek binlerce kurumu hedef aldı.

, , , , , , ,