Tientallen organisaties zijn mogelijk getroffen door de zero-day exploitatie van een beveiligingslek in de E-Business Suite (EBS)-software van Oracle sinds 9 augustus 2025, aldus Google Threat Intelligence Group (GTIG) en Mandiant in een nieuw rapport dat donderdag is vrijgegeven.
“We beoordelen nog steeds de omvang van dit incident, maar we denken dat het tientallen organisaties heeft getroffen”, zei John Hultquist, hoofdanalist van GTIG bij Google Cloud, in een verklaring gedeeld met The Hacker News. “Sommige historische Cl0p-gegevensafpersingscampagnes hebben honderden slachtoffers gehad. Helaas worden grootschalige zero-day-campagnes als deze een vast onderdeel van cybercriminaliteit.”
Er wordt aangenomen dat de activiteit, die enkele kenmerken vertoont die verband houden met de Cl0p-ransomwareploeg, meerdere afzonderlijke kwetsbaarheden heeft samengevoegd, waaronder een zero-day-fout die wordt bijgehouden als CVE-2025-61882 (CVSS-score: 9,8), om doelnetwerken te doorbreken en gevoelige gegevens te exfiltreren. Google zei dat het bewijs heeft gevonden van aanvullende verdachte activiteiten die teruggaan tot 10 juli 2025, hoewel het onbekend blijft hoe succesvol deze inspanningen waren. Oracle heeft sindsdien patches uitgebracht om de tekortkoming te verhelpen.
Cl0p (ook bekend als Graceful Spider), actief sinds 2020, wordt toegeschreven aan de massale exploitatie van verschillende zero-days in Accellion legacy file transfer appliance (FTA), GoAnywhere MFT, Progress MOVEit MFT en Cleo LexiCom door de jaren heen. Hoewel phishing-e-mailcampagnes van de FIN11-actoren in het verleden als voorloper hebben gefungeerd voor de inzet van Cl0p-ransomware, zei Google dat het tekenen heeft gevonden dat de bestandsversleutelende malware een andere actor is.
De laatste aanvalsgolf begon pas echt op 29 september 2025, toen de bedreigingsactoren een grootschalige e-mailcampagne startten gericht op bedrijfsleiders van honderden gecompromitteerde accounts van derden die toebehoorden aan niet-gerelateerde organisaties. De inloggegevens voor deze accounts zouden zijn gekocht op ondergrondse forums, vermoedelijk door de aankoop van infostealer-malwarelogboeken.
In de e-mailberichten werd beweerd dat de acteur hun Oracle EBS-applicatie had geschonden en gevoelige gegevens had geëxfiltreerd, waarbij hij eiste dat ze een onbepaald bedrag als losgeld zouden betalen in ruil voor het niet lekken van de gestolen informatie. Tot op heden is geen van de slachtoffers van de campagne vermeld op de Cl0p-dataleksite – een gedrag dat consistent is met eerdere Cl0p-aanvallen waarbij de actoren enkele weken wachtten voordat ze deze plaatsten.
De aanvallen zelf maken gebruik van een combinatie van Server-Side Request Forgery (SSRF), Carriage-Return Line-Feed (CRLF)-injectie, authenticatie-bypass en XSL-sjablooninjectie, om externe code-uitvoering op de doel-Oracle EBS-server te verkrijgen en een omgekeerde shell op te zetten.
Ergens rond augustus 2025 zei Google dat het een bedreigingsacteur had waargenomen die misbruik maakte van een kwetsbaarheid in de component “/OA_HTML/SyncServlet” om code op afstand uit te voeren en uiteindelijk een XSL-payload te activeren via de Template Preview-functionaliteit. Er zijn twee verschillende ketens van Java-payloads gevonden die zijn ingebed in de XSL-payloads:
- GOLDVEIN.JAVA, een Java-variant van een downloader genaamd GOLDVEIN (een PowerShell-malware die voor het eerst werd gedetecteerd in december 2024 in verband met de exploitatiecampagne van meerdere Cleo-softwareproducten) die een tweede fase-payload kan ontvangen van een command-and-control (C2) server.
- Een Base64-gecodeerde lader genaamd SAGEGIFT, speciaal ontworpen voor Oracle WebLogic-servers en die wordt gebruikt om SAGELEAF te starten, een in-memory dropper die vervolgens wordt gebruikt om SAGEWAVE te installeren, een kwaadaardig Java-servletfilter dat de installatie mogelijk maakt van een gecodeerd ZIP-archief met daarin een onbekende next-stage malware. (De hoofdlading heeft echter enkele overlappingen met een cli-module die aanwezig is in een FIN11-achterdeur die bekend staat als GOLDTOMB.)
Er is ook waargenomen dat de bedreigingsactor verschillende verkenningsopdrachten uitvoerde vanuit het EBS-account “applmgr”, evenals opdrachten uitvoerde vanuit een bash-proces dat werd gelanceerd vanuit een Java-proces waarop GOLDVEIN.JAVA werd uitgevoerd.
Interessant is dat sommige van de artefacten die in juli 2025 zijn waargenomen als onderdeel van incidentresponsinspanningen overlappen met een exploit die op 3 oktober 2025 is gelekt in een Telegram-groep genaamd Scattered LAPSUS$ Hunters. Google zegt echter niet over voldoende bewijs te beschikken om enige betrokkenheid van de cybercriminaliteitsploeg bij de campagne te suggereren.
Het investeringsniveau in de campagne suggereert dat de bedreigingsactoren die verantwoordelijk zijn voor de initiële inbraak waarschijnlijk aanzienlijke middelen hebben besteed aan onderzoek voorafgaand aan de aanval, benadrukt GTIG.
De technologiegigant zei dat het de aanval niet formeel toeschrijft aan een getraceerde dreigingsgroep, hoewel het gebruik van het merk Cl0p als opmerkelijk werd aangemerkt. Dat gezegd hebbende, wordt aangenomen dat de bedreigingsacteur een associatie heeft met Cl0p. Het merkte ook op dat de post-exploitatietools overlap vertonen met malware (dwz GOLDVEIN en GOLDTOMB) die werd gebruikt in een eerdere vermoedelijke FIN11-campagne, en dat een van de gehackte accounts die werd gebruikt om de recente afpersings-e-mails te verzenden, eerder door FIN11 werd gebruikt.
“Het patroon van het exploiteren van een zero-day-kwetsbaarheid in een veelgebruikte bedrijfsapplicatie, gevolgd door een grootschalige afpersingscampagne weken later, is een kenmerk van de activiteit die historisch aan FIN11 wordt toegeschreven en die strategische voordelen heeft die ook andere bedreigingsactoren kunnen aanspreken”, aldus het rapport.
“Het richten op publieke toepassingen en apparaten die gevoelige gegevens opslaan, vergroot waarschijnlijk de efficiëntie van gegevensdiefstaloperaties, aangezien de bedreigingsactoren geen tijd en middelen hoeven te besteden aan zijwaartse beweging.”
