Ünlü CL0P fidye yazılımı grubunun Oracle E-Business Suite (EBS) ortamlarını hedef alan büyük ölçekli bir gasp kampanyası başlatmasıyla siber güvenlik ortamı yeni ve önemli bir tehditle karşı karşıya.
29 Eylül 2025’ten itibaren güvenlik araştırmacıları, tehdit aktörlerinin CL0P gasp markasıyla bağlantılı olduklarını iddia ettiği ve çok sayıda kuruluştaki yöneticileri hedef alan yüksek hacimli bir e-posta kampanyası başlattığı karmaşık bir operasyonu izlemeye başladı.
Kampanya, grubun yaygın olarak kullanılan kurumsal uygulamalardaki sıfır gün güvenlik açıklarından yararlanmaya yönelik başarılı operasyonel modelinin bir devamını temsil ediyor.
Tehdit aktörleri, Oracle EBS ortamlarında sıfır gün güvenlik açığı olan CVE-2025-61882 gibi görünen bir güvenlik açığından yararlanıyor ve yararlanma etkinlikleri potansiyel olarak 10 Temmuz 2025’e kadar uzanıyor.
Oracle ilk olarak 2 Ekim 2025’te saldırganların Temmuz 2025’te yamalanan güvenlik açıklarından yararlanmış olabileceğini ancak daha sonra aktif istismarı keşfettikten sonra güvenlik açığını gidermek için 4 Ekim’de acil durum yamaları yayınladığını bildirdi.
Kampanya, etkilenen birçok kuruluştan başarılı veri sızdırmayla birlikte, EBS müşteri ortamlarını hedef alan aylarca süren izinsiz giriş faaliyetini takip ediyor.
Google Cloud analistleri, tehdit aktörleri tarafından kullanılan ve Oracle EBS sunucularının karmaşık bir güvenlik açığı zinciri aracılığıyla istismar edilmesiyle başlayan, karmaşık, çok aşamalı saldırı metodolojisini belirledi.
Saldırganlar, şirket yöneticilerine şantaj amaçlı e-postalar göndermek için muhtemelen yer altı forumlarında satılan bilgi hırsızlığı yapan kötü amaçlı yazılım günlüklerinden kaynaklanan, ele geçirilmiş üçüncü taraf e-posta hesaplarını kullandı.
Bu e-postalar iletişim adreslerini içeriyordu [email protected] Ve [email protected]En az Mayıs 2025’ten beri CL0P veri sızıntısı sitesiyle ilişkilendirilen.
Teknik analiz, Google Tehdit İstihbarat Grubu’nun, grubun şantaj iddialarını doğrulamak için mağdur EBS ortamlarından meşru dosya listeleri sağladığına dair kanıtları, Ağustos 2025 ortasına kadar uzanan verilerle belgelediğini ortaya koyuyor.
Tehdit aktörleri, taleplerin yalnızca mağdurla ilk temastan sonra sağlandığı tipik modern şantaj operasyonu modellerini takip ederek, belirli miktarlar ve yöntemler açıklanmamış olsa da, mağdur olduğu iddia edilen kişilerin ödeme karşılığında çalınan verilerin serbest bırakılmasını önleyebileceklerini belirtti.
Çok Aşamalı Java İmplant Çerçevesi Dağıtımı
CL0P operasyonunun karmaşıklığı, Oracle EBS uzlaşması için özel olarak tasarlanmış çok aşamalı bir Java implant çerçevesinin devreye alınmasıyla açıkça ortaya çıkıyor.
Birincil saldırı vektörü, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine izin veren SyncServlet bileşeninin kötüye kullanılmasını içerir.
Tehdit aktörleri saldırıları POST istekleriyle başlatır. /OA_HTML/SyncServletdaha sonra EBS veritabanında kötü amaçlı şablonlar oluşturmak için XDO Şablon Yöneticisi işlevinden yararlanılıyor.
Yararlanma zinciri, veritabanlarında yeni şablonlar olarak depolanan yüklerle gelişmiş teknik yetenekler sergiliyor. XDO_TEMPLATES_B veritabanı tablosu.
Şablon adları tutarlı bir şekilde “TMP” veya “DEF” önekleriyle başlar ve TemplateType sırasıyla “XSL-TEXT” veya “XML” olarak ayarlanır.
Kötü amaçlı XSL verisi yapısı şu formatı izler: –
.webp)
Çerçeve iki ana yük zinciri içerir: “TLSv3.1” el sıkışmaları olarak gizlenen, saldırgan tarafından kontrol edilen komut ve kontrol sunucularına bağlantılar kuran bir Java varyantı indiricisi olan GOLDVEIN.JAVA ve birden fazla iç içe geçmiş Java yükünden oluşan SAGE enfeksiyon zinciri.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
