Google Tehdit İstihbarat Grubu (GTIG) ve siber güvenlik şirketi Mandiant tarafından yürütülen ortak analizde, Oracle altyapılarını hedef alan bir siber saldırı zinciri tespit edildi. Saldırının Oracle’ın kurumsal yazılım platformu E-Business Suite (EBS) üzerinden gerçekleştiği belirtildi.
Analize göre, saldırının arkasında daha önce küresel ölçekte fidye yazılım saldırılarıyla gündeme gelen CL0P bağlantılı bir tehdit aktörü yer alıyor. 29 Eylül itibarıyla, bu aktörün bazı kuruluşlardaki üst düzey yöneticilere e-posta yoluyla tehdit mesajları gönderdiği ve çalındığı iddia edilen veriler üzerinden şantaj girişiminde bulunduğu bildirildi.
Oracle: Temmuz’daki açıklar kullanılmış olabilir
Oracle, 2 Ekim’de yaptığı açıklamada, saldırganların Temmuz 2025’te yamalanan bazı güvenlik açıklarını kullanmış olabileceğini duyurdu. Açıklamada, bu açıkların istismar edilmesinin önüne geçmek için tüm müşterilere en güncel güvenlik yamalarını uygulamaları yönünde çağrıda bulunuldu.
4 Ekim’de yayımlanan ikinci açıklamada ise, saldırıların yeniden gerçekleşmemesi adına acil yamaların yüklenmesinin kritik önem taşıdığı vurgulandı.
Sızma faaliyetleri aylara yayılmış olabilir
Google’ın yayımladığı teknik rapora göre, saldırı 10 Temmuz’a kadar uzanan bir dizi şüpheli etkinlikle bağlantılı. Bulgular, tehdit aktörlerinin Oracle EBS sistemlerine yönelik uzun süreli, dikkatli ve gizli sızma faaliyetleri yürüttüğünü ortaya koydu.
Bazı durumlarda saldırganların, erişim sağladıkları sistemlerden ciddi miktarda veri çıkardıkları belirlendi. Sızdırılan veri içeriği ve miktarı hakkında net bilgi verilmezken, saldırının etkisinin farklı sektörlerde hissedilebileceği değerlendiriliyor.
Uzmanlardan güncel yama uyarısı
Siber güvenlik uzmanları, bu tür saldırıların çoğunlukla büyük ölçekli kurumsal sistemlerde güncel yama eksikliğinden kaynaklandığını belirtti. Uzmanlar, Oracle EBS kullanıcılarına yönelik olarak güvenlik yamalarının gecikmeden uygulanmasının, olası veri sızıntılarının önüne geçmek için kritik bir adım olduğunu ifade etti.
Saldırının kapsamı araştırılıyor
Saldırıdan etkilenen kuruluşların tam listesi paylaşılmadı. Saldırının hedef aldığı sistemlerin yaygınlığı nedeniyle, etki alanının oldukça geniş olabileceği öngörülüyor. Soruşturma süreci devam ederken, kurumsal altyapı sağlayıcıları ve kullanıcıların sistemlerini denetlemeleri ve olağan dışı erişim kayıtlarını kontrol etmeleri tavsiye edildi.