Cl0P -naher Bedrohungsakteur nutzte Zero-Day-Sicherheitslücke in Oracle E-Business Suite.
Die Google Threat Intelligence Group (GTIG) und Mandiant haben neue Erkenntnisse über die aktive, groß angelegte Erpressungskampagne veröffentlicht, die unter der Marke des Bedrohungsakteurs Cl0P läuft und auf Oracle E-Business Suite (EBS) abzielt.
Die Analyse der GTIG ergab, dass der oder die Täter mehrere unterschiedliche Schwachstellen erfolgreich miteinander verknüpft haben – laut externer Analyse bis zu fünf, darunter eine Zero-Day-Schwachstelle (wahrscheinlich CVE-2025-61882). So konnten sie eine nicht authentifizierte Remote-Code-Ausführung (RCE) erwirken und große Mengen an Kundendaten stehlen. Die ersten Exploit-Versuche haben womöglich bereits am 10. Juli 2025 begonnen, also fast drei Monate, bevor der Angriff entdeckt wurde.
Darüber hinaus nutzt die Kampagne hochentwickelte, mehrstufige, dateilose Malware (GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF und SAGEWAVE), um die dateibasierte Erkennung zu umgehen – ein entscheidendes neues Detail. Laut den Experten von GTIG deutet dieser Aufwand darauf hin, dass die für den ursprünglichen Angriff verantwortlichen Akteure vorab erhebliche Ressourcen in eine umfangreiche Recherche investiert haben.
John Hultquist, Chefanalyst der Google Threat Intelligence Group – Google Cloud, erläutert den potenziellen Umfang dieser Operation: „Wir sind noch dabei, das Ausmaß dieses Vorfalls zu bewerten, rechnen jedoch damit, dass Dutzende von Organisationen betroffen sind. Frühere CL0P-Erpressungskampagnen hatten Hunderte von Opfern. Leider sehen wir im Bereich Cyberkriminalität immer häufiger groß angelegte Zero-Day-Kampagnen wie diese.“
