黑客针对Oracle电子商务套件客户发起勒索活动

大量组织收到黑客发送的勒索邮件，声称已从其Oracle电子商务套件实例中窃取敏感信息，谷歌威胁情报小组和Mandiant部门警告称。

Oracle电子商务套件是一套集成业务应用程序，被大型组织用于自动化和管理业务流程。Oracle表示全球有数千家组织使用这款企业资源规划系统。

根据谷歌威胁情报小组和Mandiant的说法，针对Oracle EBS的恶意活动据称始于9月29日左右。攻击者已向"众多"公司高管发送勒索邮件，声称与臭名昭著的Cl0p网络犯罪组织有关联。

GTIG和Mandiant研究人员将这些攻击描述为利用数百个受损账户的大规模电子邮件活动，其中包括先前与名为FIN11的营利性威胁组织相关的账户。这个长期运作的网络犯罪团伙以部署勒索软件和进行勒索而闻名。

研究人员还发现了一些表明与Cl0p存在联系的证据。具体而言，攻击者在发送给目标组织的电子邮件中提供的联系信息与Cl0p泄露网站上列出的联系地址相符。

Mandiant和GTIG表示他们正处于调查的早期阶段，无法确认黑客的说法是否属实。

“关键需要注意的是，虽然这些策略与勒索动机一致，且攻击者明确声称存在这种联系，但GTIG目前没有足够证据来明确评估这些说法的真实性，“Mandiant首席技术官Charles Carmakal表示。

Carmakal补充道：“在出于经济动机的网络犯罪领域，归因通常很复杂，攻击者经常模仿Clop等知名组织以增加对受害者的影响力和压力。”

如果确认Cl0p或FIN11黑客是这些攻击的幕后黑手，这并不令人意外。两个组织都以通过易受攻击的软件（通常通过利用零日漏洞）针对许多组织发起攻击活动而闻名。

Cl0p去年声称在利用Cleo文件传输工具中的零日漏洞后，从数十个组织窃取了数据。该组织此前通过利用MOVEit Transfer文件传输软件中的零日漏洞，成功从数千个组织窃取了数千万用户的信息。

此外，Cl0p被指责在2023年的一次攻击中利用了Fortra GoAnywhere托管文件传输产品的零日漏洞，该攻击影响了数十个组织。

几年前，FIN11组织背后曾有一个类似的活动，涉及从使用Accellion文件传输服务的数十个组织窃取敏感数据。该活动也涉及利用零日漏洞。

在过去分析的一些活动中，研究人员发现了Cl0p和FIN11之间的联系。

SecurityWeek已联系Oracle寻求评论，如果公司回应将更新本文。