Хакери Clop підловили уражений нульовий вектор Oracle: як вони крадуть особисті дані топ-менеджерів

Oracle вжила заходів для усунення вразливості нульового дня у своєму програмному забезпеченні, яку зловмисники активно використовують для крадіжки конфіденційної інформації про керівників компаній.

У короткому повідомленні, оновленому на вихідних, головний директор з безпеки Oracle Роб Дюхарт повідомив, що компанія випустила новий патч для виправлення вразливості в Oracle E-Business Suite, закликавши клієнтів терміново встановити оновлення.

У безпековій консультації зазначається, що вразливість, позначена як CVE-2025-61882, може бути експлуатована через мережу без необхідності вводити логін та пароль. Як наслідок, хакери використовують цю вразливість для крадіжки чутливих даних клієнтів. Oracle надала ряд ознак компрометації, які допоможуть користувачам виявити потенційні загрози на своїх системах.

Oracle відзначає, що тисячі компаній по всьому світу використовують E-Business Suite для управління бізнес-процесами, зокрема для зберігання даних клієнтів та файлів людських ресурсів своїх співробітників.

Вразливість називають нульовим днем, оскільки компанія не мала часу для її виправлення до того, як зловмисники почали її використовувати.

В оновленій заяві Дюхарта йдеться про зміни у раніше зроблених висновках — спочатку було зазначено, що деякі керівники отримали листи з погрозами, пов’язані з відомими раніше вразливостями, які були виправлені у липні. Однак нова інформація про нульовий день свідчить про те, що хакери продовжують експлуатувати невідомі на той час недоліки у програмному забезпеченні Oracle.

Тема погроз з боку хакерів, що націлені на корпоративних керівників, вперше з’явилася минулого тижня. 2 жовтня експерти з безпеки Google повідомили, що активна хакерська група Clop, що має за плечима чимало атак з використанням програм-вимагачів, надсилала електронні листи керівникам Oracle, вимагаючи гроші за ненаразі публікацію їх особистої інформації, починаючи з 29 вересня.

Чарльз Кармакал, головний технічний директор підрозділу реагування на інциденти Google Mandiant, зазначив у своєму пості в LinkedIn, що вразливості в E-Business Suite використовуються в кампанії масового експлуатації даних з метою крадіжки та шантажу.

За словами Кармакала, більша частина експлуатації відбулася в серпні, після випуску липневих патчів, і повідомив, що Clop продовжує надсилати листи з погрозами різним жертвам вже з минулого понеділка, проте ще не контактували з усіма своїми мішенями.