Google совместно с GTIG и Mandiant раскрыли масштабную кампанию вымогательства, проведённую группой Clop с использованием ранее неизвестной уязвимости zero-day в Oracle E-Business Suite. Эксплуатация началась за несколько недель до выхода исправления от Oracle и достигла апогея 29 сентября 2025 года.
Ключевые факты
- Атака сочетала эксплуатацию zero-day уязвимости и крупномасштабную рассылку вымогательских писем.
- Целевой аудиторией в первую очередь были руководители организаций, использующие Oracle E-Business Suite (EBS).
- Clop получила доступ к конфиденциальным данным и угрожала их раскрытием для усиления давления и повышения вероятности получения выкупа.
- Эксплуатация началась за несколько недель до того, как Oracle выпустила патч для устранения уязвимости.
Суть уязвимости и методы атаки
По информации исследователей, природа уязвимости в Oracle E-Business Suite позволяла злоумышленникам получить доступ к конфиденциальным данным внутри систем EBS. Clop использовала эту возможность в сочетании с таргетированной e-mail кампанией, направленной на топ-менеджмент, чтобы ускорить принятие решений об оплате выкупа.
«Комбинация эксплойта zero-day и целевых кампаний по электронной почте подчёркивает эволюцию киберугроз, где злоумышленники максимально используют окно до выхода исправления», — отмечают специалисты Google, GTIG и Mandiant.
Почему именно руководители?
Атаки на руководителей высокого уровня преследуют следующие цели:
- Создать психологическое давление и срочность принятия решения;
- Повысить вероятность быстрой выплаты, чтобы избежать публичного раскрытия данных;
- Действовать через связные каналы, где решения о выплате могут приниматься быстрее, чем в IT-подразделениях.
Рекомендации для организаций, использующих Oracle EBS
- Немедленно применить официальное исправление от Oracle, как только оно доступно.
- Если патч пока не установлен — изолировать уязвимые компоненты и ограничить доступ к ним.
- Провести ротацию учетных данных и пересмотр привилегированных доступов.
- Усилить мониторинг логов и сетевого трафика на предмет индикаторов компрометации.
- Обучить руководителей и ключевых сотрудников распознавать фишинговые и шантажные письма; внедрить процедуры верификации критичных запросов.
- При подозрениях на взлом подключить команду инцидент-реcпонса и, при необходимости, уведомить регуляторов и партнеров.
Вывод
Сценарий, в котором злоумышленники эксплуатируют zero-day в сочетании с целевыми e-mail атаками на топ-менеджмент, демонстрирует возросшую гибкость и оперативность киберпреступных групп. Организациям, использующим Oracle E-Business Suite, следует рассматривать такие инциденты как сигнал к срочному пересмотру мер безопасности и оперативному применению всех доступных средств защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Clop использовала zero-day в Oracle EBS для целевого вымогательства топ‑менеджеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.