Осенью 2025 года началась масштабная кампания цифрового шантажа, нацеленная на корпоративные системы Oracle. Группа злоумышленников, использующая бренд CL0P, воспользовалась уязвимостями в Oracle E-Business Suite (EBS), чтобы похитить конфиденциальные данные и требовать выкуп за их неразглашение.
Описание
Кампания стала развитием успешной для киберпреступников модели: эксплуатация нулевых уязвимостей в популярном корпоративном программном обеспечении, массовая кража данных и отсроченный запуск шантажа. Это позволяет злоумышленникам максимально расширить масштабы атаки, оставаясь незамеченными.
Хронология атаки
Активность злоумышленников началась задолго до официальных уведомлений. Исследователи из Mandiant зафиксировали подозрительные действия, нацеленные на серверы Oracle EBS, еще 10 июля 2025 года. Затем, 9 августа, была зафиксирована эксплуатация уязвимости, которая, вероятно, являлась нулевой (CVE-2025-61882), поскольку патч для нее стал доступен лишь в октябре.
Поворотным моментом стало 29 сентября, когда началась массовая рассылка писем-угроз руководителям компаний. Сообщения отправлялись со скомпрометированных учетных записей третьих лиц, что добавляло им легитимности в глазах спам-фильтров. В письмах утверждалось, что злоумышленники получили доступ к Oracle EBS и похитили документы. Для подтверждения своих слов они предоставляли выдержки из реальных файловых систем жертв.
Oracle отреагировала выпуском экстренного патча 4 октября, настоятельно рекомендовав клиентам немедленно его установить. Компания также подтвердила, что злоумышленники, вероятно, использовали уязвимости, устраненные еще в июльском обновлении, но не примененные многими организациями.
Технический анализ: многоступенчатые атаки
Атака отличалась сложностью и многоэтапностью. Исследователи выделили несколько векторов эксплуатации, нацеленных на разные компоненты EBS, включая UiServlet и SyncServlet.
Эксплуатация уязвимости в SyncServlet, начавшаяся в августе, позволяла выполнять команды на сервере без аутентификации. Злоумышленники использовали функционал менеджера шаблонов XDO для внедрения вредоносной полезной нагрузки напрямую в базу данных. Полезная нагрузка, написанная на Java, представляла собой многослойную структуру для скрытного выполнения кода.
Были идентифицированы две основные цепочки вредоносных программ. Первая, GOLDVEIN.JAVA, действует как загрузчик, который связывается с контролируемым злоумышленниками сервером для получения следующей стадии атаки. Эта программа является Java-версией известного загрузчика, ранее использовавшегося в атаках на продукты компании Cleo.
Вторая цепочка, обозначенная как SAGE*, представляет собой сложную последовательность враждебных Java-полезных нагрузок, которые в итоге устанавливают в систему фильтр сервлетов. Этот фильтр позволяет злоумышленникам удаленно развертывать дополнительные шифрованные модули, обеспечивая себе постоянный доступ.
После успешного проникновения в систему злоумышленники проводили разведку, выполняя стандартные команды для сбора информации о сети и системе, а также пытались установить обратные соединения для удаленного управления.
Причастность FIN11 и будущие угрозы
Хотя формальная атрибуция данной кампании к конкретной группе пока не завершена, исследователи отмечают значительные совпадения с методами известной группировки FIN11. Использование бренда CL0P, конкретных контактных адресов и логические связи в инструментарии после проникновения указывают на возможную причастность этой группы или связанных с ней кластеров.
Модель атаки, примененная в этой кампании, доказала свою эффективность. Эксплуатация уязвимостей в общедоступных корпоративных приложениях, хранящих критически важные данные, позволяет избежать трудоемкого перемещения по сети и быстро похищать большие объемы информации. Отсрочка начала шантажа дает злоумышленникам время для максимального расширения масштабов атаки.
Учитывая успешность этого подхода, можно ожидать, что киберпреступные группы и впредь будут инвестировать ресурсы в поиск и приобретение нулевых уязвимостей в похожих корпоративных системах. Для защищающихся сторон это означает, что поддержание актуальности систем и оперативное применение заплаток остаются важнейшими мерами безопасности. Организациям, использующим Oracle EBS, критически необходимо установить последние обновления и проверить свои системы на наличие признаков компрометации.
Индикаторы компрометации
IPv4
- 161.97.99.49
- 200.107.207.26
IPv4 Port Combinations
- 104.194.11.200:443
- 162.55.17.215:443
Emails
YARA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | rule G_Downloader_GOLDVEIN_JAVA_1 { meta: author = "Google Threat Intelligence Group (GTIG)" strings: $chunk1 = "175,121,73" base64 $chunk2 = "249,254,255" base64 $chunk3 = "235,176,29" base64 $chunk4 = "242,61,32" base64 $chunk5 = "189,66,134" base64 $str1 = "java.net.Socket(h,443)" base64 $str2 = "TLSv3.1" base64 $decoded1 = "[175,121,73,249,254,255,235,176,29,242,61,32,189,66,134,102,56,208,18,10,132,242,223,202,90,97,118,3,83,136,84,213]" $decoded2 = "java.net.Socket(h,443)" $decoded3 = "TLSv3.1" condition: (3 of ($chunk*) and all of ($str*)) or all of ($decoded*) } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | rule G_Dropper_SAGEGIFT_1 { meta: author = "Google Threat Intelligence Group (GTIG)" strings: $str1 = "ServletRequestImpl" base64 $str2 = "getServletRequest" base64 $str3 = "ServletResponseImpl" base64 $str4 = "dc=cl.getDeclaredMethod('defineClass',[cb,ci,ci])" base64 $decoded1 = "ServletRequestImpl" $decoded2 = "getServletRequest" $decoded3 = "ServletResponseImpl" $decoded4 = "dc=cl.getDeclaredMethod('defineClass',[cb,ci,ci])" condition: all of ($str*) or all of ($decoded*) } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | rule G_Dropper_SAGELEAF_1 { meta: author = "Google Threat Intelligence Group (GTIG)" strings: $log1 = "n1=%d n2=%d" $log2 = "ctx.l=%d" $log3 = "Filter=" fullword $pat = "/help/*" $s1 = "weblogic.t3.srvr.ServerRuntime" $s2 = "gzipDecompress" $s3 = "BASE64Decoder" $s4 = "getDeclaredMethod" condition: 2 of ($log*) and 5 of them } |
1 2 3 4 5 6 7 8 9 10 11 12 13 | rule G_Launcher_SAGEWAVE_1 { meta: author = "Google Threat Intelligence Group (GTIG)" strings: $s1 = "Log4jConfigQpgsubFilter" $s2 = ".Cli" fullword $s3 = "httpReq" fullword $s4 = "AES/CBC/NoPadding" $s5 = "javax/servlet/FilterChain" $s6 = "java/lang/reflect/Method" condition: 4 of ($s*) and filesize < 1MB } |
