Decenas de organizaciones podrían haberse visto afectadas tras la explotación de un fallo de seguridad de día cero en el software E-Business Suite (EBS) de Oracle desde el 9 de agosto de 2025, según han afirmado Google Threat Intelligence Group (GTIG) y Mandiant en un nuevo informe publicado el jueves.
«Todavía estamos evaluando el alcance de este incidente, pero creemos que ha afectado a docenas de organizaciones», afirmó John Hultquist, analista jefe de GTIG en Google Cloud, en una declaración compartida con The Hacker News. «Algunas campañas históricas de extorsión de datos de Cl0p han tenido cientos de víctimas. Por desgracia, las campañas a gran escala de día cero como esta se están convirtiendo en algo habitual en la ciberdelincuencia».
Se estima que esta actividad, que presenta algunas características asociadas al grupo de ransomware Cl0p, ha combinado múltiples vulnerabilidades distintas, incluida una falla de día cero identificada como CVE-2025-61882 (puntuación CVSS: 9,8), para violar las redes objetivo y extraer datos confidenciales. Google afirmó haber encontrado pruebas de actividades sospechosas adicionales que se remontan al 10 de julio de 2025, aunque se desconoce el éxito de estos esfuerzos. Desde entonces, Oracle ha publicado parches para solucionar la deficiencia.
Cl0p (también conocido como Graceful Spider), activo desde 2020, ha sido atribuido a la explotación masiva de varios zero-days en el dispositivo de transferencia de archivos heredado (FTA) de Accellion, GoAnywhere MFT, Progress MOVEit MFT y Cleo LexiCom a lo largo de los años. Aunque las campañas de phishing por correo electrónico llevadas a cabo por los actores de FIN11 han servido de precursor para el despliegue del ransomware Cl0p en el pasado, Google afirmó haber encontrado indicios de que el malware de cifrado de archivos era obra de un actor diferente.
La última oleada de ataques comenzó en serio el 29 de septiembre de 2025, cuando los autores de la amenaza pusieron en marcha una campaña de correo electrónico de gran volumen dirigida a ejecutivos de empresas desde cientos de cuentas de terceros comprometidas pertenecientes a organizaciones no relacionadas. Se dice que las credenciales de estas cuentas se compraron en foros clandestinos, presumiblemente a través de la compra de registros de malware infostealer.
Los mensajes de correo electrónico afirmaban que el actor había violado su aplicación Oracle EBS y había filtrado datos confidenciales, exigiendo que pagaran una cantidad no especificada como rescate a cambio de no filtrar la información robada. Hasta la fecha, ninguna de las víctimas de la campaña ha aparecido en la lista del sitio web de filtración de datos Cl0p, un comportamiento que concuerda con los ataques anteriores de Cl0p, en los que los actores esperaban varias semanas antes de publicarlos.
Los ataques en sí mismos aprovechan una combinación de falsificación de solicitudes del lado del servidor (SSRF), inyección de retorno de carro y avance de línea (CRLF), omisión de autenticación e inyección de plantillas XSL para obtener la ejecución remota de código en el servidor Oracle EBS de destino y configurar un shell inverso.
- GOLDVEIN.JAVA, una variante Java de un descargador llamado GOLDVEIN (un malware de PowerShell detectado por primera vez en diciembre de 2024 en relación con la campaña de explotación de múltiples productos de software Cleo) que puede recibir una carga útil de segunda fase desde un servidor de comando y control (C2).
- Un cargador codificado en Base64 llamado SAGEGIFT, diseñado específicamente para servidores Oracle WebLogic, que se utiliza para lanzar SAGELEAF, un dropper en memoria que luego se utiliza para instalar SAGEWAVE, un filtro de servlet Java malicioso que permite la instalación de un archivo ZIP cifrado que contiene un malware desconocido de siguiente fase. (Sin embargo, la carga útil principal tiene algunos solapamientos con un módulo cli presente en una puerta trasera FIN11 conocida como GOLDTOMB).
No hay comentarios:
Publicar un comentario