Oracle E-Business Suite: Уязви... Заметка
RSS Блог об облаках

Oracle E-Business Suite: Уязвимость нулевого дня используется в масштабной кампании вымогательства

Группа Google Threat Intelligence и Mandiant отслеживают крупную кампанию вымогательства со стороны злоумышленника, заявляющего о своей принадлежности к бренду CL0P. Эта кампания, начавшаяся 29 сентября 2025 года, включает рассылку большого количества электронных писем руководителям с утверждениями о краже данных из их сред Oracle E-Business Suite (EBS). Oracle выпустила экстренные исправления и рекомендовала клиентам применить критические обновления, поскольку злоумышленники могли использовать уязвимости, исправленные в июле 2025 года. Анализ предполагает, что кампания последовала за месяцами вторжений, причем эксплуатация потенциально началась 9 августа 2025 года с использованием уязвимости нулевого дня. Злоумышленники извлекли значительные объемы данных из некоторых организаций. Сайт утечек данных CL0P, созданный в 2020 году, использовался для операций вымогательства, в том числе связанных с программами-вымогателями и массовой эксплуатацией уязвимостей нулевого дня в системах передачи файлов. Эта последняя кампания против Oracle EBS продолжает их успешную операционную модель массовой эксплуатации с последующим вымогательством. Злоумышленник использовал скомпрометированные учетные записи третьих сторон для своей кампании по электронной почте, получая учетные данные с подпольных форумов. Письма с вымогательством включали конкретные контактные адреса, связанные с сайтом утечек данных CL0P, и предоставляли легитимные списки файлов в качестве доказательства извлечения данных. Хотя требования не были указаны, они типичны для современного вымогательства, с деталями, предоставляемыми после контакта с жертвой. Жертвы этой кампании еще не появились на сайте утечек данных CL0P, что соответствует прошлой практике ожидания нескольких недель. Активность эксплуатации, нацеленная на серверы Oracle EBS, была выявлена до кампании вымогательства, при этом потенциальная эксплуатация уязвимости нулевого дня произошла уже в июле 2025 года. Технический анализ подробно описывает многоступенчатый фреймворк Java-импланта и более раннюю активность эксплуатации, предоставляя рекомендации и индикаторы компрометации для защитников.
CdXz5zHNQW_UnvcNxSLYM.png