⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Dezenas de organizações podem ter sido afetadas após a exploração de dia zero de uma falha de segurança no software E-Business Suite (EBS) da Oracle desde 9 de agosto de 2025, disseram Google Threat Intelligence Group (GTIG) e Mandiant em um novo relatório divulgado quinta-feira.
“Ainda estamos avaliando o escopo deste incidente, mas acreditamos que ele afetou dezenas de organizações”, disse John Hultquist, analista-chefe do GTIG no Google Cloud, em comunicado compartilhado com o The Hacker News. “Algumas campanhas históricas de extorsão de dados do Cl0p tiveram centenas de vítimas. Infelizmente, campanhas de dia zero em grande escala como esta estão se tornando uma característica regular do crime cibernético.”
A atividade, que apresenta algumas características associadas à equipe do ransomware Cl0p, é avaliada como tendo formado várias vulnerabilidades distintas, incluindo uma falha de dia zero rastreada como CVE-2025-61882 (pontuação CVSS: 9,8), para violar redes alvo e exfiltrar dados confidenciais. O Google disse que encontrou evidências de atividades suspeitas adicionais que datam de 10 de julho de 2025, embora o sucesso desses esforços permaneça desconhecido. Desde então, a Oracle emitiu patches para resolver a deficiência.
Cl0p (também conhecido como Graceful Spider), ativo desde 2020, foi atribuído à exploração em massa de vários zero-days no dispositivo de transferência de arquivos legado Accellion (FTA), GoAnywhere MFT, Progress MOVEit MFT e Cleo LexiCom ao longo dos anos. Embora as campanhas de phishing por e-mail realizadas pelos atores do FIN11 tenham atuado como precursoras da implantação do ransomware Cl0p no passado, o Google disse que encontrou sinais de que o malware de criptografia de arquivos era um ator diferente.
A última onda de ataques começou para valer em 29 de setembro de 2025, quando os atores da ameaça lançaram uma campanha de e-mail de alto volume dirigida a executivos de empresas a partir de centenas de contas de terceiros comprometidas pertencentes a organizações não relacionadas. Diz-se que as credenciais dessas contas foram adquiridas em fóruns clandestinos, presumivelmente por meio da compra de registros de malware infostealer.
As mensagens de e-mail alegavam que o ator havia violado seu aplicativo Oracle EBS e exfiltrado dados confidenciais, exigindo que pagassem uma quantia não especificada como resgate em troca de não vazar as informações roubadas. Até o momento, nenhuma das vítimas da campanha foi listada no site de vazamento de dados Cl0p – um comportamento que é consistente com ataques anteriores do Cl0p, onde os atores esperaram várias semanas antes de publicá-los.
Os próprios ataques aproveitam uma combinação de Server-Side Request Forgery (SSRF), injeção de Carriage-Return Line-Feed (CRLF), desvio de autenticação e injeção de modelo XSL, para obter execução remota de código no servidor Oracle EBS de destino e configurar um shell reverso.
Por volta de agosto de 2025, o Google disse ter observado um agente de ameaça explorando uma vulnerabilidade no componente “/OA_HTML/SyncServlet” para obter execução remota de código e, por fim, acionar uma carga XSL por meio da funcionalidade Template Preview. Duas cadeias diferentes de cargas Java foram encontradas incorporadas nas cargas XSL -
GOLDVEIN.JAVA, uma variante Java de um downloader chamado GOLDVEIN (um malware PowerShell detectado pela primeira vez em dezembro de 2024 em conexão com a campanha de exploração de vários produtos de software Cleo) que pode receber uma carga útil de segundo estágio de um servidor de comando e controle (C2).
Um carregador codificado em Base64 chamado SAGEGIFT personalizado projetado para servidores Oracle WebLogic que é usado para iniciar o SAGELEAF, um conta-gotas na memória que é então usado para instalar o SAGEWAVE, um filtro de servlet Java malicioso que permite a instalação de um arquivo ZIP criptografado contendo um malware desconhecido de próximo estágio. (A carga útil principal, no entanto, tem algumas sobreposições com um módulo cli presente em um backdoor FIN11 conhecido como GOLDTOMB.)
O ator da ameaça também foi observado executando vários comandos de reconhecimento da conta EBS “applmgr”, bem como executando comandos de um processo bash iniciado a partir de um processo Java executando GOLDVEIN.JAVA.
Curiosamente, alguns dos artefatos observados em julho de 2025 como parte dos esforços de resposta a incidentes se sobrepõem a uma exploração vazada em um grupo do Telegram chamado Scattered LAPSUS$ Hunters em 3 de outubro de 2025. No entanto, o Google disse que não tem evidências suficientes para sugerir qualquer envolvimento da equipe do crime cibernético na campanha.
O nível de investimento na campanha sugere que os agentes da ameaça responsáveis pela intrusão inicial provavelmente dedicaram recursos significativos à investigação pré-ataque, apontou o GTIG.
A gigante da tecnologia disse que não está atribuindo formalmente a onda de ataques a um grupo de ameaças rastreado, embora tenha apontado o uso da marca Cl0p como notável. Dito isto, acredita-se que o autor da ameaça tenha uma associação com o Cl0p. Ele também observou que as ferramentas pós-exploração apresentam sobreposições com malware (ou seja, GOLDVEIN e GOLDTOMB) usado em
“Ainda estamos avaliando o escopo deste incidente, mas acreditamos que ele afetou dezenas de organizações”, disse John Hultquist, analista-chefe do GTIG no Google Cloud, em comunicado compartilhado com o The Hacker News. “Algumas campanhas históricas de extorsão de dados do Cl0p tiveram centenas de vítimas. Infelizmente, campanhas de dia zero em grande escala como esta estão se tornando uma característica regular do crime cibernético.”
A atividade, que apresenta algumas características associadas à equipe do ransomware Cl0p, é avaliada como tendo formado várias vulnerabilidades distintas, incluindo uma falha de dia zero rastreada como CVE-2025-61882 (pontuação CVSS: 9,8), para violar redes alvo e exfiltrar dados confidenciais. O Google disse que encontrou evidências de atividades suspeitas adicionais que datam de 10 de julho de 2025, embora o sucesso desses esforços permaneça desconhecido. Desde então, a Oracle emitiu patches para resolver a deficiência.
Cl0p (também conhecido como Graceful Spider), ativo desde 2020, foi atribuído à exploração em massa de vários zero-days no dispositivo de transferência de arquivos legado Accellion (FTA), GoAnywhere MFT, Progress MOVEit MFT e Cleo LexiCom ao longo dos anos. Embora as campanhas de phishing por e-mail realizadas pelos atores do FIN11 tenham atuado como precursoras da implantação do ransomware Cl0p no passado, o Google disse que encontrou sinais de que o malware de criptografia de arquivos era um ator diferente.
A última onda de ataques começou para valer em 29 de setembro de 2025, quando os atores da ameaça lançaram uma campanha de e-mail de alto volume dirigida a executivos de empresas a partir de centenas de contas de terceiros comprometidas pertencentes a organizações não relacionadas. Diz-se que as credenciais dessas contas foram adquiridas em fóruns clandestinos, presumivelmente por meio da compra de registros de malware infostealer.
As mensagens de e-mail alegavam que o ator havia violado seu aplicativo Oracle EBS e exfiltrado dados confidenciais, exigindo que pagassem uma quantia não especificada como resgate em troca de não vazar as informações roubadas. Até o momento, nenhuma das vítimas da campanha foi listada no site de vazamento de dados Cl0p – um comportamento que é consistente com ataques anteriores do Cl0p, onde os atores esperaram várias semanas antes de publicá-los.
Os próprios ataques aproveitam uma combinação de Server-Side Request Forgery (SSRF), injeção de Carriage-Return Line-Feed (CRLF), desvio de autenticação e injeção de modelo XSL, para obter execução remota de código no servidor Oracle EBS de destino e configurar um shell reverso.
Por volta de agosto de 2025, o Google disse ter observado um agente de ameaça explorando uma vulnerabilidade no componente “/OA_HTML/SyncServlet” para obter execução remota de código e, por fim, acionar uma carga XSL por meio da funcionalidade Template Preview. Duas cadeias diferentes de cargas Java foram encontradas incorporadas nas cargas XSL -
GOLDVEIN.JAVA, uma variante Java de um downloader chamado GOLDVEIN (um malware PowerShell detectado pela primeira vez em dezembro de 2024 em conexão com a campanha de exploração de vários produtos de software Cleo) que pode receber uma carga útil de segundo estágio de um servidor de comando e controle (C2).
Um carregador codificado em Base64 chamado SAGEGIFT personalizado projetado para servidores Oracle WebLogic que é usado para iniciar o SAGELEAF, um conta-gotas na memória que é então usado para instalar o SAGEWAVE, um filtro de servlet Java malicioso que permite a instalação de um arquivo ZIP criptografado contendo um malware desconhecido de próximo estágio. (A carga útil principal, no entanto, tem algumas sobreposições com um módulo cli presente em um backdoor FIN11 conhecido como GOLDTOMB.)
O ator da ameaça também foi observado executando vários comandos de reconhecimento da conta EBS “applmgr”, bem como executando comandos de um processo bash iniciado a partir de um processo Java executando GOLDVEIN.JAVA.
Curiosamente, alguns dos artefatos observados em julho de 2025 como parte dos esforços de resposta a incidentes se sobrepõem a uma exploração vazada em um grupo do Telegram chamado Scattered LAPSUS$ Hunters em 3 de outubro de 2025. No entanto, o Google disse que não tem evidências suficientes para sugerir qualquer envolvimento da equipe do crime cibernético na campanha.
O nível de investimento na campanha sugere que os agentes da ameaça responsáveis pela intrusão inicial provavelmente dedicaram recursos significativos à investigação pré-ataque, apontou o GTIG.
A gigante da tecnologia disse que não está atribuindo formalmente a onda de ataques a um grupo de ameaças rastreado, embora tenha apontado o uso da marca Cl0p como notável. Dito isto, acredita-se que o autor da ameaça tenha uma associação com o Cl0p. Ele também observou que as ferramentas pós-exploração apresentam sobreposições com malware (ou seja, GOLDVEIN e GOLDTOMB) usado em
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #vinculados #ao #cl0p #violam #dezenas #de #organizações #por #meio #de #falha #no #software #oracle
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário