Mỹ: Hàng chục doanh nghiệp bị đánh cắp dữ liệu do lỗ hổng của Oracle

Ảnh minh họa. (Nguồn: Security week)

Các chuyên gia an ninh mạng của Google vừa cảnh báo về một chiến dịch tấn công quy mô lớn do nhóm tin tặc Clop thực hiện, nhắm vào phần mềm Oracle E-Business Suite, dẫn đến việc dữ liệu của hàng chục tổ chức bị đánh cắp.

Đây được xem là dấu hiệu đầu tiên cho thấy phạm vi của chiến dịch có thể lan rộng toàn cầu.

Theo Google, nhóm Clop đã lợi dụng lỗ hổng bảo mật nghiêm trọng (zero-day) trong Oracle E-Business Suite, nền tảng phần mềm doanh nghiệp dùng để quản lý dữ liệu khách hàng, tài chính và nhân sự...

Oracle đã buộc phải phát hành bản vá khẩn cấp để ngăn chặn việc khai thác đang diễn ra.

Lỗ hổng này được định danh là CVE-2025-61882, có điểm mức độ nghiêm trọng 9.8/10, cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực, chỉ bằng cách truy cập qua giao thức HTTP.

Một khi khai thác thành công, tin tặc có thể chiếm quyền kiểm soát hoàn toàn Concurrent Processing (Xử lý đồng thời) của hệ thống Oracle E-Business Suite.

Theo các nhà phân tích, chiến dịch tấn công đã bắt đầu từ ngày 10/7/2025, tức ba tháng trước khi các tổ chức đầu tiên phát hiện dấu hiệu xâm nhập vào đầu tháng 10.

Sau đó, các giám đốc điều hành tại nhiều công ty Mỹ đã nhận được thư điện tử tống tiền, trong đó tin tặc tuyên bố đang nắm giữ các tệp dữ liệu nhạy cảm bị đánh cắp từ hệ thống của họ.

Google cho biết nhóm Clop là chủ mưu chính của chiến dịch. Nhóm này từng đứng sau hàng loạt vụ tấn công bằng mã độc đòi tiền chuộc ransomware quy mô lớn, khai thác lỗ hổng zero-day trong các công cụ truyền tệp như MOVEit, Cleo và GoAnywhere.

Một số chỉ dấu kỹ thuật cũng cho thấy mối liên hệ giữa chiến dịch này và nhóm FIN11, một tập đoàn tội phạm mạng có động cơ tài chính, cùng với Scattered Lapsus$ Hunters.

Ông Charles Carmakal, Giám đốc công nghệ (CTO) của Mandiant-Google Cloud, xác nhận rằng các email tống tiền được gửi đi từ hàng trăm tài khoản email bị xâm nhập, trong đó có ít nhất một tài khoản từng liên quan đến hoạt động của FIN11.

Ban đầu, Giám đốc An ninh của Oracle, Rob Duhart, đăng tải một thông báo cho rằng các lỗ hổng đã được khắc phục từ tháng 7, hàm ý rằng các cuộc tấn công đã chấm dứt tuy nhiên thông báo này đã được gỡ bỏ sau đó.

Chỉ vài ngày sau, Oracle buộc phải thừa nhận tin tặc vẫn đang khai thác phần mềm của họ để đánh cắp dữ liệu cá nhân và tài liệu doanh nghiệp. Oracle ngay lập tức phát hành bản vá khẩn cấp mới, xác nhận sự tồn tại của zero-day.

Google đã công bố các địa chỉ email, chỉ dấu xâm nhập (IoCs) và hướng dẫn kỹ thuật giúp các chuyên gia an ninh mạng kiểm tra hệ thống Oracle của mình có bị xâm nhập hay không.

Oracle khẳng định dữ liệu thanh toán của khách hàng không bị ảnh hưởng, song giới chuyên môn cảnh báo rằng dữ liệu nhân sự và thông tin điều hành có thể đã bị rò rỉ.

Các chuyên gia bảo mật khuyến cáo các doanh nghiệp cập nhật ngay bản vá mới nhất của Oracle E-Business Suite; giám sát nhật ký truy cập HTTP và các hoạt động bất thường liên quan đến Concurrent Processing cũng như Thực hiện kiểm tra hệ thống (forensic audit) nếu nghi ngờ bị xâm nhập.

Chiến dịch tấn công này một lần nữa cho thấy rủi ro ngày càng lớn từ các lỗ hổng zero-day trong phần mềm doanh nghiệp, đồng thời nhấn mạnh sự cần thiết của quy trình vá lỗi nhanh chóng và giám sát chủ động trong bối cảnh tội phạm mạng ngày càng tinh vi./.

(TTXVN/Vietnam+)