Google Tehdit İstihbaratı Grubu (GTIG) ve Mandiant, Perşembe günü yayınlanan yeni bir raporda, Oracle’ın E-Business Suite (EBS) yazılımındaki bir güvenlik kusurunun 9 Ağustos 2025’ten bu yana sıfır gün istismar edilmesinin ardından düzinelerce kuruluşun etkilenmiş olabileceğini söyledi.
Google Cloud GTIG baş analisti John Hultquist, The Hacker News ile paylaştığı açıklamada, “Hala bu olayın kapsamını değerlendiriyoruz ancak düzinelerce kuruluşu etkilediğine inanıyoruz.” dedi. “Bazı tarihi Cl0p veri gaspı kampanyalarının yüzlerce kurbanı oldu. Ne yazık ki bunun gibi büyük ölçekli sıfır gün kampanyaları siber suçların olağan bir özelliği haline geliyor.”
Cl0p fidye yazılımı ekibiyle ilişkili bazı özellikleri taşıyan etkinliğin, hedef ağları ihlal etmek ve hassas verileri sızdırmak için CVE-2025-61882 (CVSS puanı: 9,8) olarak takip edilen sıfır gün kusuru da dahil olmak üzere çok sayıda farklı güvenlik açığını bir araya getirdiği değerlendiriliyor. Google, 10 Temmuz 2025’e kadar uzanan ek şüpheli faaliyetlere dair kanıtlar bulduğunu ancak bu çabaların ne kadar başarılı olduğunun bilinmediğini söyledi. Oracle o zamandan beri bu eksikliği gidermek için yamalar yayınladı.
2020’den bu yana aktif olan Cl0p (diğer adıyla Graceful Spider), Accellion eski dosya aktarım cihazı (FTA), GoAnywhere MFT, Progress MOVEit MFT ve Cleo LexiCom’da yıllar içinde birkaç sıfır günün toplu olarak kullanılmasına bağlanıyor. FIN11 aktörleri tarafından gerçekleştirilen kimlik avı e-posta kampanyaları geçmişte Cl0p fidye yazılımı dağıtımının öncüsü olarak hareket etse de Google, dosya şifreleyen kötü amaçlı yazılımın farklı bir aktör olduğuna dair işaretler bulduğunu söyledi.
En son saldırı dalgası ciddi anlamda 29 Eylül 2025’te, tehdit aktörlerinin ilgisiz kuruluşlara ait yüzlerce ele geçirilmiş üçüncü taraf hesaptan şirket yöneticilerini hedef alan yüksek hacimli bir e-posta kampanyası başlatmasıyla başladı. Bu hesaplara ait kimlik bilgilerinin, muhtemelen bilgi hırsızı kötü amaçlı yazılım günlüklerinin satın alınması yoluyla yer altı forumlarından satın alındığı söyleniyor.
E-posta mesajları, aktörün Oracle EBS uygulamasını ihlal ettiğini ve hassas verileri sızdırdığını, çalınan bilgilerin sızdırılmaması karşılığında fidye olarak belirtilmeyen bir miktar ödemesini talep ettiğini iddia ediyordu. Bugüne kadar kampanyanın kurbanlarından hiçbiri Cl0p veri sızıntısı sitesinde listelenmedi; bu, aktörlerin bunları yayınlamadan önce birkaç hafta beklediği önceki Cl0p saldırılarıyla tutarlı bir davranış.
Saldırıların kendisi, hedef Oracle EBS sunucusunda uzaktan kod yürütme elde etmek ve bir ters kabuk oluşturmak için Sunucu Tarafı İstek Sahteciliği (SSRF), Taşıyıcı-Dönüş Satır Beslemesi (CRLF) enjeksiyonu, kimlik doğrulama atlama ve XSL şablon enjeksiyonunun bir kombinasyonundan yararlanır.
Ağustos 2025 civarında Google, uzaktan kod yürütmeyi gerçekleştirmek ve sonuçta Şablon Önizleme işlevi aracılığıyla bir XSL yükünü tetiklemek için “/OA_HTML/SyncServlet” bileşenindeki bir güvenlik açığından yararlanan bir tehdit aktörünün gözlemlendiğini söyledi. XSL veri yüklerine gömülü iki farklı Java veri yükü zinciri bulundu:
- GOLDVEIN.JAVA, GOLDVEIN (birden fazla Cleo yazılım ürününün istismar kampanyasıyla bağlantılı olarak ilk kez Aralık 2024’te tespit edilen bir PowerShell kötü amaçlı yazılımı) adlı bir indiricinin Java çeşididir ve bir komuta ve kontrol (C2) sunucusundan ikinci aşama yükünü alabilmektedir.
- Oracle WebLogic sunucuları için özel olarak tasarlanmış, SAGEGIFT adı verilen Base64 kodlu bir yükleyici, daha sonra bilinmeyen bir sonraki aşama kötü amaçlı yazılım içeren şifrelenmiş bir ZIP arşivinin kurulumuna izin veren kötü amaçlı bir Java sunucu uygulaması filtresi olan SAGEWAVE’i yüklemek için kullanılan bir bellek içi damlalık olan SAGELEAF’i başlatmak için kullanılır. (Ancak ana veri yükü, GOLDTOMB olarak bilinen FIN11 arka kapısında bulunan bir cli modülüyle bazı örtüşmelere sahiptir.)
Tehdit aktörünün ayrıca EBS’nin “applmgr” hesabından çeşitli keşif komutları yürüttüğü ve GOLDVEIN.JAVA çalıştıran bir Java işleminden başlatılan bir bash işleminden komutlar çalıştırdığı da gözlemlendi.
İlginç bir şekilde, olaya müdahale çabaları kapsamında Temmuz 2025’te gözlemlenen bazı eserler, 3 Ekim 2025’te Scattered LAPSUS$ Hunters adlı Telegram grubunda sızdırılan bir istismarla örtüşüyor. Ancak Google, siber suç ekibinin kampanyaya herhangi bir katılımını önermek için yeterli kanıta sahip olmadığını söyledi.
GTIG, kampanyaya yapılan yatırımın düzeyinin, ilk saldırıdan sorumlu olan tehdit aktörlerinin büyük olasılıkla saldırı öncesi araştırmalara önemli miktarda kaynak ayırdığını gösterdiğini belirtti.
Teknoloji devi, saldırı çılgınlığını resmi olarak takip edilen bir tehdit grubuna atfetmediğini ancak Cl0p markasının kullanımının dikkate değer olduğunu belirtti. Bununla birlikte tehdit aktörünün Cl0p ile bağlantısı olduğuna inanılıyor. Ayrıca, istismar sonrası kullanılan araçların daha önceki şüpheli bir FIN11 kampanyasında kullanılan kötü amaçlı yazılımlarla (örn. GOLDVEIN ve GOLDTOMB) örtüştüğünü ve son gasp e-postalarını göndermek için kullanılan ihlal edilmiş hesaplardan birinin daha önce FIN11 tarafından kullanıldığını belirtti.
“Yaygın olarak kullanılan bir kurumsal uygulamada sıfır gün güvenlik açığından yararlanma modeli ve ardından haftalar sonra büyük ölçekli, markalı bir gasp kampanyası, tarihsel olarak FIN11’e atfedilen ve diğer tehdit aktörlerinin de ilgisini çekebilecek stratejik faydalara sahip olan bir faaliyetin ayırt edici özelliğidir” dedi.
“Hassas verileri depolayan halka açık uygulamaları ve cihazları hedeflemek, tehdit aktörlerinin yanal harekete zaman ve kaynak ayırmalarına gerek olmadığı göz önüne alındığında, veri hırsızlığı operasyonlarının verimliliğini muhtemelen artıracaktır.”