Google Tehdit İstihbarat Grubu (GTIG) ve siber güvenlik firması Mandiant tarafından yürütülen incelemeye göre, saldırının arkasında daha önce dünya genelinde fidye yazılım saldırılarıyla gündeme gelen CL0P isimli siber suç grubuyla bağlantılı bir tehdit aktörü bulunuyor.
Analizde, 29 Eylül itibarıyla bu grubun, çok sayıda kuruluştaki üst düzey yöneticilere e-posta yoluyla şantaj girişiminde bulunduğu ve Oracle’ın E-Business Suite (EBS) platformlarından çalındığını ileri sürdüğü verileri kullanarak tehdit mesajları gönderdiği belirtildi.
"En güncel güvenlik yamalarını uygulayın"
Oracle, 2 Ekim’de yaptığı açıklamada, saldırganların Temmuz 2025’te yamalanan bazı güvenlik açıklarını istismar etmiş olabileceğini bildirdi. Şirket, tüm müşterilerine en güncel güvenlik yamalarını uygulamaları yönünde çağrıda bulundu.
Ardından 4 Ekim’de ikinci bir duyuru yayımlayan Oracle, söz konusu açıkların yeniden istismar edilmemesi için acil yamaların yüklenmesi gerektiğini vurguladı.
Sızma aylardır devam ediyor
Google’ın raporuna göre, saldırı 10 Temmuz’a kadar uzanan bir dizi şüpheli etkinlikle bağlantılı. Analiz, tehdit aktörlerinin Oracle EBS altyapılarını hedef alan aylar süren gizli sızma faaliyetleri yürüttüğünü ortaya koydu.
Bazı vakalarda saldırganların, erişim sağladıkları sistemlerden önemli miktarda kurumsal veriyi dışarı sızdırmayı başardıkları belirlendi.
Siber güvenlik uzmanları, bu tür saldırıların özellikle büyük ölçekli kurumsal sistemlerde yama yönetimi eksikliğinden kaynaklandığını vurguluyor. Uzmanlara göre, Oracle EBS kullanıcılarının kritik güvenlik yamalarını derhal uygulaması olası veri kayıplarını önlemek açısından büyük önem taşıyor.