Hàng chục tổ chức có thể đã bị ảnh hưởng sau cuộc tấn công khai thác zero-day một lỗ hổng bảo mật trong phần mềm E-Business Suite (EBS) của Oracle kể từ ngày 9 tháng 8 năm 2025, theo báo cáo mới được Google Threat Intelligence Group (GTIG) và Mandiant công bố hôm thứ Năm.
"Chúng tôi vẫn đang đánh giá phạm vi của sự cố này, nhưng chúng tôi tin rằng nó đã ảnh hưởng đến hàng chục tổ chức," John Hultquist, nhà phân tích trưởng của GTIG tại Google Cloud, cho biết trong một tuyên bố chia sẻ với The Hacker News. "Một số chiến dịch tống tiền dữ liệu lịch sử của Cl0p đã có hàng trăm nạn nhân. Thật không may, các chiến dịch zero-day quy mô lớn như thế này đang trở thành một đặc điểm thường xuyên của tội phạm mạng."
Hoạt động này, mang một số đặc điểm liên quan đến nhóm ransomware Cl0p, được đánh giá là đã kết hợp nhiều lỗ hổng riêng biệt, bao gồm một lỗ hổng zero-day được theo dõi là CVE-2025-61882 (điểm CVSS: 9.8), để xâm nhập mạng mục tiêu và đánh cắp dữ liệu nhạy cảm. Google cho biết họ đã tìm thấy bằng chứng về hoạt động đáng ngờ bổ sung từ ngày 10 tháng 7 năm 2025, mặc dù mức độ thành công của những nỗ lực này vẫn chưa được xác định. Oracle kể từ đó đã phát hành các bản vá để khắc phục thiếu sót này.
Cl0p (còn gọi là Graceful Spider), hoạt động từ năm 2020, đã được cho là nguyên nhân của việc khai thác hàng loạt một số zero-day trong Accellion legacy file transfer appliance (FTA), GoAnywhere MFT, Progress MOVEit MFT, và Cleo LexiCom trong những năm qua. Mặc dù các chiến dịch email lừa đảo do các tác nhân FIN11 thực hiện đã từng đóng vai trò là tiền thân cho việc triển khai ransomware Cl0p trong quá khứ, Google cho biết họ đã tìm thấy dấu hiệu cho thấy phần mềm độc hại mã hóa tập tin này là của một tác nhân khác.
Làn sóng tấn công mới nhất bắt đầu nghiêm túc vào ngày 29 tháng 9 năm 2025, khi các tác nhân đe dọa khởi động một chiến dịch email khối lượng lớn nhắm vào các giám đốc điều hành công ty từ hàng trăm tài khoản bên thứ ba bị xâm nhập thuộc về các tổ chức không liên quan. Thông tin đăng nhập cho các tài khoản này được cho là đã được mua trên các diễn đàn ngầm, có lẽ thông qua việc mua các nhật ký phần mềm độc hại infostealer.
Các tin nhắn email tuyên bố rằng tác nhân đã xâm nhập ứng dụng Oracle EBS của họ và đánh cắp dữ liệu nhạy cảm, yêu cầu họ trả một khoản tiền chuộc không xác định để đổi lấy việc không rò rỉ thông tin bị đánh cắp. Cho đến nay, không có nạn nhân nào của chiến dịch được liệt kê trên trang rò rỉ dữ liệu của Cl0p – một hành vi nhất quán với các cuộc tấn công Cl0p trước đây, nơi các tác nhân đợi vài tuần trước khi đăng tải.
Các cuộc tấn công này tận dụng sự kết hợp của Server-Side Request Forgery (SSRF), Carriage-Return Line-Feed (CRLF) injection, authentication bypass và XSL template injection, để đạt được remote code execution trên máy chủ Oracle EBS mục tiêu và thiết lập một reverse shell.
Khoảng tháng 8 năm 2025, Google cho biết họ đã quan sát một tác nhân đe dọa khai thác một lỗ hổng trong thành phần "/OA_HTML/SyncServlet" để đạt được remote code execution và cuối cùng kích hoạt một XSL payload thông qua chức năng Template Preview. Hai chuỗi Java payload khác nhau đã được tìm thấy nhúng trong các XSL payload -
- GOLDVEIN.JAVA, một biến thể Java của một downloader có tên GOLDVEIN (một PowerShell malware được phát hiện lần đầu vào tháng 12 năm 2024 liên quan đến chiến dịch khai thác nhiều sản phẩm phần mềm Cleo) có thể nhận một second-stage payload từ một command-and-control (C2) server.
- Một loader được mã hóa Base64 có tên SAGEGIFT được thiết kế tùy chỉnh cho các máy chủ Oracle WebLogic được sử dụng để khởi chạy SAGELEAF, một in-memory dropper sau đó được sử dụng để cài đặt SAGEWAVE, một Java servlet filter độc hại cho phép cài đặt một kho lưu trữ ZIP được mã hóa chứa một next-stage malware chưa xác định. (Tuy nhiên, main payload có một số điểm trùng lặp với một mô-đun cli có trong một backdoor của FIN11 được gọi là GOLDTOMB.)
Tác nhân đe dọa cũng đã được quan sát thực thi các lệnh reconnaissance khác nhau từ tài khoản EBS "applmgr," cũng như chạy các lệnh từ một tiến trình bash được khởi chạy từ một tiến trình Java đang chạy GOLDVEIN.JAVA.
Điều thú vị là, một số artifact được quan sát vào tháng 7 năm 2025 như một phần của nỗ lực phản ứng sự cố trùng lặp với một exploit bị rò rỉ trong một nhóm Telegram có tên Scattered LAPSUS$ Hunters vào ngày 3 tháng 10 năm 2025. Tuy nhiên, Google cho biết họ không có đủ bằng chứng để gợi ý bất kỳ sự liên quan nào của nhóm tội phạm mạng này trong chiến dịch.
Mức độ đầu tư vào chiến dịch cho thấy các tác nhân đe dọa chịu trách nhiệm cho việc xâm nhập ban đầu có thể đã dành nguồn lực đáng kể cho nghiên cứu trước tấn công, GTIG đã chỉ ra.
Gã khổng lồ công nghệ cho biết họ không chính thức gán các cuộc tấn công này cho một nhóm đe dọa được theo dõi, mặc dù họ chỉ ra việc sử dụng thương hiệu Cl0p là đáng chú ý. Điều đó nói lên rằng, người ta tin rằng tác nhân đe dọa có mối liên hệ với Cl0p. Nó cũng lưu ý rằng các công cụ post-exploitation cho thấy sự trùng lặp với phần mềm độc hại (tức là GOLDVEIN và GOLDTOMB) được sử dụng trong một chiến dịch FIN11 bị nghi ngờ trước đây, và một trong những tài khoản bị xâm nhập được sử dụng để gửi các email tống tiền gần đây đã được FIN11 sử dụng trước đó.
"Mô hình khai thác một zero-day trong một ứng dụng doanh nghiệp được sử dụng rộng rãi, tiếp theo là một chiến dịch tống tiền có thương hiệu, quy mô lớn vài tuần sau đó, là một đặc điểm của hoạt động được gán cho FIN11 trong lịch sử, có những lợi ích chiến lược mà các tác nhân đe dọa khác cũng có thể quan tâm," báo cáo cho biết.
"Nhắm mục tiêu vào các ứng dụng và thiết bị công khai lưu trữ dữ liệu nhạy cảm có khả năng tăng hiệu quả của các hoạt động đánh cắp dữ liệu, vì các tác nhân đe dọa không cần dành thời gian và tài nguyên cho lateral movement."
