RSS Cloud Blog
Folgen
Oracle E-Business Suite Zero-Day in groß angelegter Erpressungskampagne ausgenutzt
Die Google Threat Intelligence Group und Mandiant verfolgen eine groß angelegte Erpressungskampagne eines Akteurs, der sich mit der Marke CL0P in Verbindung bringt. Diese Kampagne, die am 29. September 2025 begann, beinhaltet den Versand großer Mengen von E-Mails an Führungskräfte, in denen Datenabfluss aus ihren Oracle E-Business Suite (EBS)-Umgebungen behauptet wird. Oracle hat Notfall-Patches herausgegeben und Kunden geraten, kritische Updates zu installieren, da die Bedrohungsakteure möglicherweise Schwachstellen ausgenutzt haben, die im Juli 2025 gepatcht wurden. Die Analyse deutet darauf hin, dass die Kampagne auf monatelange Eindringversuche folgte, wobei die Ausnutzung möglicherweise bis zum 9. August 2025 zurückreicht und eine Zero-Day-Schwachstelle ausnutzt. Die Angreifer haben bei einigen Organisationen erhebliche Daten exfiltriert. Die CL0P-Datenleckseite, die 2020 eingerichtet wurde, wurde für Erpressungsoperationen genutzt, einschließlich solcher, die Ransomware und Massenausnutzung von Zero-Day-Schwachstellen in Managed File Transfer-Systemen umfassen. Diese jüngste Kampagne gegen Oracle EBS setzt ihr erfolgreiches operatives Modell der Massenausnutzung gefolgt von Erpressung fort. Der Bedrohungsakteur nutzte kompromittierte Konten von Drittanbietern für seine E-Mail-Kampagne und bezog Anmeldeinformationen aus Untergrundforen. Die Erpresser-E-Mails enthielten spezifische Kontaktadressen, die mit der CL0P-Datenleckseite verknüpft waren, und lieferten legitime Dateilisten als Beweis für den Datenabfluss. Obwohl die Forderungen nicht spezifiziert wurden, sind sie typisch für moderne Erpressungen, wobei Details nach Kontaktaufnahme mit dem Opfer bereitgestellt werden. Bisher sind keine Opfer dieser Kampagne auf der CL0P-Datenleckseite aufgetaucht, was mit früheren Praktiken übereinstimmt, mehrere Wochen zu warten. Vor der Erpressungskampagne wurde eine Ausnutzungstätigkeit gegen Oracle EBS-Server identifiziert, wobei eine potenzielle Zero-Day-Ausnutzung bereits im Juli 2025 stattfand. Die technische Analyse beschreibt ein mehrstufiges Java-Implantat-Framework und frühere Ausnutzungsaktivitäten und liefert Anleitungen und Kompromittierungsindikatoren für Verteidiger.