По данным отчета, подготовленного Google Threat Intelligence Group и Mandiant в четверг, известная группа вирусов-вымогателей Clop начала атаковать клиентов Oracle E-Business Suite три месяца назад и уже 9 августа начала использовать уязвимость нулевого дня, поражающую корпоративную платформу, для кражи огромных объемов данных у жертв .
«Мы всё ещё оцениваем масштабы этого инцидента, но полагаем, что он затронул десятки организаций. Некоторые исторические кампании по вымогательству данных Clop унесли жизни сотен жертв», — заявил Джон Халтквист, главный аналитик GTIG. «К сожалению, подобные масштабные кампании с использованием уязвимостей нулевого дня становятся обычным явлением в киберпреступности».
Новая хронология, предоставленная компанией Google, занимающейся реагированием на инциденты, и специалистами по безопасности, подтверждает, что вредоносная деятельность в отношении клиентов Oracle E-Business Suite началась почти за три месяца до того, как 29 сентября Клоп разослал руководителям организаций-жертв вымогательские электронные письма с требованием выплатить компенсацию.
Компания Oracle раскрыла информацию о критической уязвимости нулевого дня — CVE-2025-61882 — в субботу, через два дня после того, как она сообщила, что ее клиенты получали электронные письма с вымогательством после эксплуатации уязвимостей, которые она ранее выявила и устранила в июльском обновлении безопасности.
Ранее на этой неделе исследователи watchTowr сообщили, что масштабная серия атак на самом деле включала по меньшей мере пять отдельных дефектов, включая уязвимость нулевого дня, которые были объединены вместе для обеспечения удаленного выполнения кода с предварительной аутентификацией.
Исследователи из watchTowr воспроизвели полную цепочку эксплойта после получения доказательства концепции и опубликовали блок-схему, иллюстрирующую, как злоумышленники объединяют в цепочку несколько уязвимостей.
«В настоящее время неясно, какие конкретные уязвимости или цепочки эксплойтов соответствуют CVE-2025-61882, однако GTIG оценивает, что серверы Oracle EBS, обновленные с помощью исправления, выпущенного 4 октября, вероятно, больше не уязвимы для известных цепочек эксплойтов», — говорится в отчете Google.
Исследователи выявили подозрительный трафик, который может указывать на ранние попытки эксплуатации уязвимости до июльского обновления безопасности Oracle, но Google не подтвердила точный характер этой активности.
Многие клиенты остаются уязвимыми и потенциально уязвимыми для атак. 6 октября сканирование Shadowserver выявило 576 потенциально уязвимых экземпляров Oracle E-Business Suite, большинство из которых находились в США.
По данным Halcyon, требования Clop о выкупе достигли 50 миллионов долларов. «Мы уже видели требования на семи- и восьмизначные суммы», — рассказала CyberScoop Синтия Кайзер, старший вице-президент центра исследований программ-вымогателей Halcyon.
Расследование деятельности Clop подчеркивает скрытный характер деятельности этой группы, включая использование многоэтапного вредоносного ПО без файлов, предназначенного для обхода обнаружения на основе файлов. Другие важные детали остаются неизвестными, а киберпреступники из других группировок усложняют анализ необоснованными заявлениями.
Компания Mandiant заявила, что 3 октября обнаружила артефакты, которые совпадают с эксплойтом, опубликованным в группе Telegram под названием «Scattered LAPSUS$ Hunters». Тем не менее, Google не собрала достаточно доказательств, чтобы однозначно связать вредоносную активность в июле 2025 года с этим эксплойтом.
«На данный момент GTIG не считает, что в этой эксплуатации были замешаны лица, связанные с UNC6240 (также известные как «Охотники за блеском»)», — говорится в отчете Google.
Хотя многочисленные улики указывают на то, что за атаками стоит Clop, в Google заявили, что, возможно, в этом замешаны и другие вредоносные группировки.
Clop успешно проникла в системы множества поставщиков технологий, в частности, в сервисы передачи файлов, что позволило ей похитить данные многих клиентов. В 2023 году группа добилась массового проникновения в среды MOVEit , в результате чего были раскрыты данные более 2300 организаций, что сделало эту кибератаку самой масштабной и значимой в этом году.
«Мы всё ещё оцениваем масштабы этого инцидента, но полагаем, что он затронул десятки организаций. Некоторые исторические кампании по вымогательству данных Clop унесли жизни сотен жертв», — заявил Джон Халтквист, главный аналитик GTIG. «К сожалению, подобные масштабные кампании с использованием уязвимостей нулевого дня становятся обычным явлением в киберпреступности».
Новая хронология, предоставленная компанией Google, занимающейся реагированием на инциденты, и специалистами по безопасности, подтверждает, что вредоносная деятельность в отношении клиентов Oracle E-Business Suite началась почти за три месяца до того, как 29 сентября Клоп разослал руководителям организаций-жертв вымогательские электронные письма с требованием выплатить компенсацию.
Компания Oracle раскрыла информацию о критической уязвимости нулевого дня — CVE-2025-61882 — в субботу, через два дня после того, как она сообщила, что ее клиенты получали электронные письма с вымогательством после эксплуатации уязвимостей, которые она ранее выявила и устранила в июльском обновлении безопасности.
Ранее на этой неделе исследователи watchTowr сообщили, что масштабная серия атак на самом деле включала по меньшей мере пять отдельных дефектов, включая уязвимость нулевого дня, которые были объединены вместе для обеспечения удаленного выполнения кода с предварительной аутентификацией.
Исследователи из watchTowr воспроизвели полную цепочку эксплойта после получения доказательства концепции и опубликовали блок-схему, иллюстрирующую, как злоумышленники объединяют в цепочку несколько уязвимостей.
«В настоящее время неясно, какие конкретные уязвимости или цепочки эксплойтов соответствуют CVE-2025-61882, однако GTIG оценивает, что серверы Oracle EBS, обновленные с помощью исправления, выпущенного 4 октября, вероятно, больше не уязвимы для известных цепочек эксплойтов», — говорится в отчете Google.
Исследователи выявили подозрительный трафик, который может указывать на ранние попытки эксплуатации уязвимости до июльского обновления безопасности Oracle, но Google не подтвердила точный характер этой активности.
Многие клиенты остаются уязвимыми и потенциально уязвимыми для атак. 6 октября сканирование Shadowserver выявило 576 потенциально уязвимых экземпляров Oracle E-Business Suite, большинство из которых находились в США.
По данным Halcyon, требования Clop о выкупе достигли 50 миллионов долларов. «Мы уже видели требования на семи- и восьмизначные суммы», — рассказала CyberScoop Синтия Кайзер, старший вице-президент центра исследований программ-вымогателей Halcyon.
Расследование деятельности Clop подчеркивает скрытный характер деятельности этой группы, включая использование многоэтапного вредоносного ПО без файлов, предназначенного для обхода обнаружения на основе файлов. Другие важные детали остаются неизвестными, а киберпреступники из других группировок усложняют анализ необоснованными заявлениями.
Компания Mandiant заявила, что 3 октября обнаружила артефакты, которые совпадают с эксплойтом, опубликованным в группе Telegram под названием «Scattered LAPSUS$ Hunters». Тем не менее, Google не собрала достаточно доказательств, чтобы однозначно связать вредоносную активность в июле 2025 года с этим эксплойтом.
«На данный момент GTIG не считает, что в этой эксплуатации были замешаны лица, связанные с UNC6240 (также известные как «Охотники за блеском»)», — говорится в отчете Google.
Хотя многочисленные улики указывают на то, что за атаками стоит Clop, в Google заявили, что, возможно, в этом замешаны и другие вредоносные группировки.
Clop успешно проникла в системы множества поставщиков технологий, в частности, в сервисы передачи файлов, что позволило ей похитить данные многих клиентов. В 2023 году группа добилась массового проникновения в среды MOVEit , в результате чего были раскрыты данные более 2300 организаций, что сделало эту кибератаку самой масштабной и значимой в этом году.
