Blog de nuage RSS
Suivre
Oracle E-Business Suite Zero-Day exploité dans une campagne d'extorsion généralisée
Le groupe Google Threat Intelligence et Mandiant suivent une vaste campagne d'extorsion menée par un acteur se réclamant de la marque CL0P. Cette campagne, débutée le 29 septembre 2025, consiste à envoyer un grand volume d'e-mails à des dirigeants, alléguant le vol de données de leurs environnements Oracle E-Business Suite (EBS). Oracle a publié des correctifs d'urgence et conseillé aux clients d'appliquer des mises à jour critiques, car les acteurs de la menace pourraient avoir exploité des vulnérabilités corrigées en juillet 2025. L'analyse suggère que la campagne a fait suite à des mois d'intrusion, l'exploitation remontant potentiellement au 9 août 2025, à l'aide d'une vulnérabilité zero-day. Les attaquants ont exfiltré des données importantes de certaines organisations. Le site de fuite de données CL0P, créé en 2020, a été utilisé pour des opérations d'extorsion, y compris celles impliquant des ransomwares et l'exploitation massive de vulnérabilités zero-day dans les systèmes de transfert de fichiers gérés. Cette dernière campagne contre Oracle EBS poursuit leur modèle opérationnel réussi d'exploitation massive suivie d'extorsion. L'acteur de la menace a utilisé des comptes tiers compromis pour sa campagne d'e-mails, s'approvisionnant en identifiants sur des forums clandestins. Les e-mails d'extorsion comprenaient des adresses de contact spécifiques liées au site de fuite de données CL0P et fournissaient des listes de fichiers légitimes comme preuve d'exfiltration de données. Bien que les demandes n'aient pas été spécifiées, elles sont typiques de l'extorsion moderne, les détails étant fournis après contact avec la victime. Aucune victime de cette campagne n'est encore apparue sur le site de fuite de données CL0P, ce qui est cohérent avec les pratiques passées consistant à attendre plusieurs semaines. Une activité d'exploitation ciblant les serveurs Oracle EBS a été identifiée avant la campagne d'extorsion, avec une exploitation potentielle de zero-day survenant dès juillet 2025. L'analyse technique détaille un cadre d'implant Java multi-étapes et une activité d'exploitation antérieure, fournissant des conseils et des indicateurs de compromission pour les défenseurs.