近日,美国知名新闻机构《华盛顿邮报》遭遇了一次毁灭性的网络安全事件。黑客利用其内ERP系统(Oracle EBS套件)中一个零日漏洞 成功窃取了近万名(9720名)现任及前任员工与承包商的高度敏感个人身份信息 (PII) 和财务数据。
攻击复盘:从潜伏到勒索
根据《华盛顿邮报》向受害者披露的通知函,此次攻击的时间线揭示了零日漏洞利用的典型特征:
潜伏渗透(7月10日-8月22日):威胁行为者在此期间利用了Oracle EBS 套件中的一个未知漏洞(现已追踪为CVE-2025-61884),侵入了《华盛顿邮报》的网络,并持续窃取数据。
主动勒索(9月29日):在长达数周的潜伏后,攻击者主动联系了《华盛顿邮报》,声称已访问其Oracle EBS应用,并试图进行勒索。
滞后的漏洞披露:极具讽刺意味的是,在《华盛顿邮报》收到勒索信并启动紧急调查后,Oracle (甲骨文) 公司才正式宣布“在其E-Business Suite软件中发现了一个先前未知的、影响广泛的漏洞”。这意味着《华盛顿邮报》是在毫不知情的情况下遭遇了零日漏洞攻击。
核心ERP沦陷:高价值数据悉数失窃
此次事件的重灾区是Oracle EBS系统。作为广泛使用的大型企业资源规划 (ERP) 平台,该系统统一管理着企业的人力资源、财务和供应链等核心功能,堪称企业的“数据中枢”。
调查于10月27日结束,确认被泄露的数据“含金量”极高,包括:
员工全名
银行帐号及路由号码
社会安全号码 (SSN)
税务及身份证号码
这些数据的泄露使近万名受害者面临严重的身份盗窃和金融欺诈风险。《华盛顿邮报》已向受害者提供了 12个月的IDX身份保护服务。
“ERP杀手”受害者包括哈佛大学、美国航空以及日立旗下公司
尽管官方通知中未点名攻击者,但安全界普遍将此次攻击指向了臭名昭著的Clop勒索软件团伙。
该团伙以利用大型企业软件(如GoAnywhere, MOVEit)的零日漏洞发起“供应链”式攻击而闻名,堪称ERP杀手。此次针对Oracle EBS的攻击活动是一场波及全球的广泛战役,其他已确认的受害者还包括哈佛大学、美国航空子公司Envoy Air以及日立旗下的GlobalLogic。Clop的暗网泄露网站上还列出了更多疑似受害组织。
值得注意的是,就在今年6月,《华盛顿邮报》刚宣布其数名记者的电子邮件帐户在另一起网络攻击中被盗,该攻击被归咎于外国政府支持的黑客。虽然两起事件在时间上相近,但目前没有证据表明它们之间存在关联。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
