Grote Extortiecampagne Onthuld door Google Threat Intelligence en Mandiant
Een samenwerking tussen het Google Threat Intelligence Group (GTIG) en Mandiant heeft een uitgebreide extortiecampagne aan het licht gebracht, waarbij gebruik wordt gemaakt van een zero-day kwetsbaarheid in de Oracle E-Business Suite (EBS). De aanvallers, die zichzelf associëren met het bekende merk CL0P, hebben maandenlange stille intrusies en gegevensdiefstal uitgevoerd. Sinds 29 september 2025 versturen ze massaal dreigende e-mails naar leidinggevenden in verschillende sectoren om betalingen af te dwingen. Oracle heeft inmiddels noodpatches vrijgegeven en dringt aan op onmiddellijke toepassing.
Wat is er gebeurd en waarom is het belangrijk?
Hoofdaanvalsweg: Exploitatie van CVE-2025-61882 (CVSS 9.8) en gevaarlijke ketens in EBS-componenten die aan het internet zijn blootgesteld.
Tijdlijn: Vroege tekenen van activiteit werden waargenomen vanaf juli 2025; consistente exploitatie begon in augustus, met extortie die op 29 september van start ging.
Doelwit: De Oracle EBS, een cruciaal ERP-systeem voor financiën, inkoop, HR en operaties. Het compromitteren van EBS vermindert of voorkomt laterale bewegingen, aangezien gevoelige gegevens hier al aanwezig zijn.
Aanvalsmodus: De aanvallers versturen extortie-e-mails vanuit gecompromitteerde derde partijaccounts, met echte lijsten van gestolen EBS-bestanden om geloofwaardigheid te geven.
CL0P-identiteit: De infrastructuur en technieken doen denken aan eerdere campagnes die aan dit ecosysteem en FIN11 zijn gekoppeld, Hoewel er nog geen formele toewijzing is.
Toegang verkrijgen: twee ketens tegen EBS
UiServlet (voor juli / na juli met mislukte pogingen): Aanvragen naar
/OA_HTML/configurator/UiServletcombineren SSRF, CRLF-injectie, autorisatie-omzeiling en XSL-injectie voor RCE (Remote Code Execution).SyncServlet (augustus en later, niet geauthentiseerd): Aanvallen op
/OA_HTML/SyncServletmaken niet-geauthentiseerde RCE mogelijk via de XDO Template Manager. De aanval wordt uitgevoerd door het creëren van een kwaadaardige XDO-template in de database.
Wat gebeurt er na de toegang?
Een Java downloader, genaamd GOLDVEIN.JAVA, maakt verbinding met het Command & Control (C2)-netwerk om verdere kwaadwillige payloads te downloaden. De aanvallers hebben ook verschillende technieken ontwikkeld, waaronder stealthy fileless tactieken, wat het detecteren door traditionele beveiligingssystemen bemoeilijkt.
Extorsie met een drukmanier
De dreigmails bevatten geen specifieke bedragen of betalingsinformatie; in plaats daarvan vragen ze om contact via CL0P-ecosysteem-geassocieerde e-mailadressen. De aanvallers tonen bewijsmateriaal om de toegang te legitimeren en wachten om slachtoffers onder druk te zetten zonder onmiddellijke publicatie van slachtoffers.
Waarom deze zaak het risico verhoogt
ERP als “kluis”: De aanvallers maximaliseren het rendement door zich te richten op EBS, waar kritische gegevens al zijn opgeslagen.
“Fileless” technieken: Java payloads in geheugen en verborgen exit kanalen maken het moeilijk voor SIEM en antivirus om de bedreiging te detecteren.
Schaal en herhaling: CL0P/FIN11 hebben bewezen dat ze in staat zijn om deze strategie te herhalen: zero-day exploitatie → massale exploitatie → uitgestelde extorsie.
Acties die nu moeten worden ondernomen
Patching: Pas onmiddellijk de vrijgegeven noodpatches toe en zorg ervoor dat Oracle EBS up-to-date is.
Auditing: Onderzoek recent aangemaakte XDO-templates in de relevante database tabellen.
Internetverbindingen blokkeren: Beperk alle niet-essentiële uitgaande verbindingen.
Monitoring intensiveren: Implementeer WAF/IDS met specifieke regels voor verdachte toegangspunten.
Forensisch onderzoek: Voer geheugenforensisch onderzoek uit op verdacht geachte Java-processen.
Voorbereiden op extorsie: Ontwikkel juridische en communicatieroutekaarten.
Sleutelelementen voor CIO/CISO
Inventaris van blootstelling: Welke EBS-instanties zijn publiek toegankelijk?
Segmentatie en nul-uitgang: Zorg ervoor dat EBS geen ongecontroleerde toegang tot internet heeft.
Governance: Implementeer beleid voor templates en plugins, en voer regelmatig controles uit.
Oefeningen: Simuleer een extorsiemail en doorloop de beslissingen in een gecontroleerde omgeving.
Deze onthullingen benadrukken de noodzaak voor voortdurende beveiliging en proactieve maatregelen in de huidige cyberdreigingslandschap.