Potwierdzono, iż niedawna kampania kradzieży danych i wymuszeń wymierzona w klientów Oracle E-Business Suite jest dziełem znanej grupy ransomware Cl0p, o której pisaliśmy już kilka razy.
Ataki na klientów Oracle E-Business Suite (EBS) wyszły na jaw w zeszłym tygodniu, kiedy Google Threat Intelligence Group (GTIG) i Mandiant ostrzegły, iż kadra kierownicza wielu organizacji korzystających z produktu do planowania zasobów przedsiębiorstwa otrzymywała e-maile z próbami wymuszenia okupu.
Wiadomości mailowe, pochodzące najwyraźniej od grupy Cl0p, informowały odbiorców o kradzieży poufnych danych z ich instancji Oracle EBS i wzywały do kontaktu z administratorem, pod którego podszywali się cyberprzestępcy.
Analitycy z GTIG i Mandiant, którzy odkryli, iż e-maile pochodziły z przejętych kont, wcześniej powiązanych z cyberprzestępczą grupą FIN11, początkowo nie mogli potwierdzić, iż za atakami stoi Cl0p, teraz jednak udostępnili taką informację.
Nie jest to zaskakujące, biorąc pod uwagę, iż Cl0p przeprowadził wcześniej kilka podobnych kampanii, w tym ataki na produkty do przesyłania plików Cleo, MOVEit i Fortra, wykorzystując luki typu zero-day.
Charles Carmakal, dyrektor techniczny Mandiant, wyjaśnił SecurityWeek, iż hakerzy ukradli dane klientów EBS w sierpniu i zaczęli wysyłać e-maile z żądaniem okupu pod koniec września.
O ile Oracle początkowo twierdziło, iż niedawna kampania kradzieży danych EBS obejmowała wykorzystanie nieokreślonych luk w zabezpieczeniach załatanych w lipcu, w sobotę dyrektor ds. bezpieczeństwa giganta systemu Rob Duhart potwierdził, iż atakujący użyli również luki typu zero-day.
Podatność jest śledzona jako CVE-2025-61882 i może zostać wykorzystana do zdalnego wykonania kodu przez nieuwierzytelnionego atakującego.
Luka, która dotyczy wersji Oracle E-Business Suite 12.2.3-12.2.14, otrzymała ocenę „krytyczną” z wynikiem CVSS wynoszącym 9,8. Dotyczy komponentu BI Publishing Integration w Oracle Concurrent Processing.
Oracle udostępniło poprawki i wskaźniki naruszenia (IoC), które mogą być pomocne przy wykrywaniu potencjalnych ataków.
Mandiant potwierdził, iż ataki Cl0p wykorzystywały luki w zabezpieczeniach załatane w lipcu wraz z luką CVE-2025-61882.
Oczekuje się, iż inni cyberprzestępcy dodadzą luki użyte w tej kampanii do swojego arsenału.
„Biorąc pod uwagę masową eksploatację luk typu zero-day, która już miała miejsce (oraz eksploatację typu n-day, która prawdopodobnie będzie kontynuowana przez innych cyberprzestępców), niezależnie od momentu zastosowania poprawki, organizacje powinny sprawdzić, czy nie zostały już zainfekowane” – ostrzegł Carmakal.
Grupy cyberprzestępcze Scattered Spider i ShinyHunters, które niedawno ogłosiły zakończenie działalności, ale według badaczy przez cały czas działają, również mogą być zaangażowane w atak na Oracle. Hakerzy utworzyli nowy kanał w Telegramie i opublikowali to, co prawdopodobnie jest exploitami EBS użytymi w ataku.
