СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.10.2025
#ИБ

Clop использовала zero-day в Oracle EBS для целевого вымогательства топ‑менеджеров

Clop использовала zero-day в Oracle EBS для целевого вымогательства топменеджеров

Google совместно с GTIG и Mandiant раскрыли масштабную кампанию вымогательства, проведённую группой Clop с использованием ранее неизвестной уязвимости zero-day в Oracle E-Business Suite. Эксплуатация началась за несколько недель до выхода исправления от Oracle и достигла апогея 29 сентября 2025 года.

Ключевые факты

  • Атака сочетала эксплуатацию zero-day уязвимости и крупномасштабную рассылку вымогательских писем.
  • Целевой аудиторией в первую очередь были руководители организаций, использующие Oracle E-Business Suite (EBS).
  • Clop получила доступ к конфиденциальным данным и угрожала их раскрытием для усиления давления и повышения вероятности получения выкупа.
  • Эксплуатация началась за несколько недель до того, как Oracle выпустила патч для устранения уязвимости.

Суть уязвимости и методы атаки

По информации исследователей, природа уязвимости в Oracle E-Business Suite позволяла злоумышленникам получить доступ к конфиденциальным данным внутри систем EBS. Clop использовала эту возможность в сочетании с таргетированной e-mail кампанией, направленной на топ-менеджмент, чтобы ускорить принятие решений об оплате выкупа.

«Комбинация эксплойта zero-day и целевых кампаний по электронной почте подчёркивает эволюцию киберугроз, где злоумышленники максимально используют окно до выхода исправления», — отмечают специалисты Google, GTIG и Mandiant.

Почему именно руководители?

Атаки на руководителей высокого уровня преследуют следующие цели:

  • Создать психологическое давление и срочность принятия решения;
  • Повысить вероятность быстрой выплаты, чтобы избежать публичного раскрытия данных;
  • Действовать через связные каналы, где решения о выплате могут приниматься быстрее, чем в IT-подразделениях.

Рекомендации для организаций, использующих Oracle EBS

  • Немедленно применить официальное исправление от Oracle, как только оно доступно.
  • Если патч пока не установлен — изолировать уязвимые компоненты и ограничить доступ к ним.
  • Провести ротацию учетных данных и пересмотр привилегированных доступов.
  • Усилить мониторинг логов и сетевого трафика на предмет индикаторов компрометации.
  • Обучить руководителей и ключевых сотрудников распознавать фишинговые и шантажные письма; внедрить процедуры верификации критичных запросов.
  • При подозрениях на взлом подключить команду инцидент-реcпонса и, при необходимости, уведомить регуляторов и партнеров.

Вывод

Сценарий, в котором злоумышленники эксплуатируют zero-day в сочетании с целевыми e-mail атаками на топ-менеджмент, демонстрирует возросшую гибкость и оперативность киберпреступных групп. Организациям, использующим Oracle E-Business Suite, следует рассматривать такие инциденты как сигнал к срочному пересмотру мер безопасности и оперативному применению всех доступных средств защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: