Google: Clop acessou “quantidade significativa” de dados no Oracle EBS Explo – Against Invaders – Notícias de CyberSecurity para humanos.

Google: Clop acessou "quantidade significativa" de dados no Oracle EBS Explo - Against Invaders - Notícias de CyberSecurity para humanos.

O grupo de ransomware Clop provavelmente começou a atacar instâncias do Oracle E-Business Suite (EBS) já em 9 de agosto, exfiltrando com sucesso uma “quantidade significativa” de dados, revelaram novos insights do Google Threat Intelligence Group (GTIG) e da Mandiant.

Um indivíduo ou grupo de pessoas que alegam estar trabalhando com o ransomware Clop foi observado enviando e-mails de extorsão para executivos de várias organizações desde 29 de setembro.

O Google observou que a campanha de extorsão seguiu meses de atividade de intrusão pelo agente da ameaça e a exploração do CVE-2025-61882 de dia zero começou antes que os patches estivessem disponíveis.

Semelhanças e Sobreposição com as Atividades do Clop

GTIG análise, publicado em 9 de outubro, destacou vários indicadores de que Clop, também rastreado como FIN11, estava por trás da campanha de extorsão.

Os endereços de contato listados nos e-mails de extorsão enviados aos executivos, [emailprotected] e [emailprotected], estão listados no site de vazamento de dados do Clop (DLS) desde pelo menos maio de 2025.

Para fundamentar suas alegações, o agente da ameaça forneceu listagens de arquivos legítimos de ambientes EBS da vítima para várias organizações com dados que datam de meados de agosto de 2025.

“Até o momento, o GTIG não observou vítimas desta campanha no Clop DLS. Isso é consistente com campanhas anteriores envolvendo a marca Clop, onde os atores normalmente esperavam várias semanas antes de postar os dados das vítimas”, observaram os pesquisadores.

Além disso, a maioria das supostas vítimas da campanha Oracle EBS parece estar associada a incidentes de extorsão de roubo de dados decorrentes da exploração de sistemas de transferência gerenciada de arquivos (MFT). Essas explorações são frequentemente atribuídas ao Clop e a clusters de ameaças suspeitos do Clop.

As ferramentas de pós-exploração usadas na campanha também mostram “semelhanças lógicas” com o malware usado em outra campanha suspeita do Clop.

Isso inclui o uso do carregador baseado em Java na memória GOLDVEIN. JAVA que busca uma carga útil de segundo estágio.

Esta abordagem tem semelhanças com a suspeita de exploração do Clop do Vulnerabilidade Cleo MFT no final de 2024, que envolveu a implantação do downloader GOLDVEIN e do backdoor GOLDTOMB.

“No entanto, também observamos evidências de que o ransomware Clop e o Clop DLS não foram usados exclusivamente pelo FIN11, impedindo nossa capacidade de atribuir com base apenas nesse fator”, acrescentou o GTIG.

Como a campanha do Oracle EBS se desenrolou

A campanha seguiu meses de atividade de intrusão direcionada a ambientes de clientes do EBS, desde 10 de julho de 2025.

Embora o GTIG não tenha conseguido confirmar a natureza exata dessa atividade inicial, ele disse que é plausível que essa tenha sido uma tentativa inicial de exploração dos servidores Oracle EBS.

Depois que a Oracle lançou uma atualização crítica de patch em julho de 2025, que abordou nove falhas que afetam o EBS, a Mandiant observou tentativas de exploração mais prováveis. O GTIG disse que não pode confirmar se ambos os conjuntos de atividades foram conduzidos pelo mesmo agente de ameaça.

Oráculo Clientes avisados em 2 de outubro que os hackers estavam explorando vulnerabilidades não corrigidas que foram abordadas na atualização crítica de patch de julho.

Os agentes de ameaças começaram a explorar o CVE-2025-61882 de dia zero contra clientes do Oracle EBS já em 9 de agosto de 2025, semanas antes de um patch ser disponibilizado.

CVE-2025-61882 é uma falha de execução remota de código (RCE) não autenticada que afeta as versões 12.2.3-12.2.14 do Oracle EBS. Um patch de emergência para a falha foi lançado pela Oracle em 4 de outubro.

O GTIG avaliou que os servidores Oracle EBS atualizados por meio do patch provavelmente não são mais vulneráveis a cadeias de exploração conhecidas.

Recomendações de segurança para clientes do Oracle EBS

O GTIG estabeleceu uma série de ações para as organizações enfrentarem as ameaças aos seus ambientes Oracle EBS.

  • Priorize a aplicação de patches do Oracle EBS lançados em 4 de outubro
  • Procure modelos maliciosos, pois o agente da ameaça armazena cargas diretamente no banco de dados do EBS
  • Bloqueie todo o tráfego de saída não essencial dos servidores do EBS para a Internet, pois isso pode interromper a cadeia de ataque, mesmo que um servidor seja comprometido
  • Monitore e analise logs de rede em busca de indicadores de comprometimento
  • Use a análise forense de memória de processos Java associados ao aplicativo EBS para revelar códigos maliciosos ou artefatos não presentes no disco

Crédito da imagem: Stefan_Sutka / Shutterstock.com

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.