2025 оны 9 сараас эхлэн Cl0p нэртэй ransomware бүлэглэл Oracle E-Business Suite (EBS) системийн урьд нь илрээгүй Zero-Day эмзэг байдлыг ашиглан дэлхийн олон байгууллагын систем рүү нэвтэрч, их хэмжээний өгөгдлийг хулгайлсан байна. Халдлага нь санхүү, үйлдвэрлэл, автомотив, электрон худалдаа, үйлчилгээний салбарын томоохон компаниудад нөлөөлсөн бөгөөд дотоод баримт, хэрэглэгчийн мэдээлэл, нэвтрэх эрх зэрэг үнэ цэнэтэй мэдээлэл алдагдсан байна.

Cl0p нь Oracle E-Business Suite-ийн хоёр төрлийн zero-day эмзэг байдлыг (CVE-2025-61882 CVSS оноо 9.8, CVE-2025-61884 CVSS оноо 7.5) ашигласан бөгөөд эдгээр нь хоёулаа EBS-ийн үндсэн бүрэлдэхүүн хэсгүүдэд баталгаажуулалтгүй нэвтрэх боломжийг олгодог. Эдгээр эмзэг байдал нь Oracle EBS-ийн 12.2.3-аас 12.2.14 хүртэлх хувилбаруудад агуулагдаж байна.

Халдлагын бүлэг нь нийт 103 байгууллагыг халдлагад өртсөн гэж жагсаасан бөгөөд тэдгээрийн 77 хохирогчийн өгөгдлүүд торрент болон магнит холбоосуудаар аль хэдийн тараагдсан байна. Мөн шинээр 29 хохирогчийг өөрсдийн цахим хуудсанд нэмж байршуулсан бөгөөд тэдгээрийн ихэнхи нь АНУ-д байрлалтай компаниуд байна.

Oracle E-Business Suite(EBS)-ыг ашигладаг байгууллагуудад Google Threat Intelligence Group болон Mandiant-аас дараах зөвлөмжийг хэрэгжүүлэхийг санал болгосон байна. Үүнд:

       1. Oracle компаниас 2025 оны 10 сарын 04-ны өдөр аюулгүй байдлын шинэчлэлтийг хийх нь халдагч этгээд эмзэг байдлыг (CVE-2025-61882) ашиглан анхны хандалт хийхээс сэргийлнэ.

   2. Халдагч этгээдүүд халдлагад ашиглаж буй payload-г Oracle EBS-ийн өгөгдлийн санд хадгалж ашиглаж байгаа тул администраторууд яаралтай XDO_TEMPLATES_B болон XDO_LOBS нэр бүхий хүснэгт үүссэн эсэхийг шалгах шаардлагатай

SELECT * FROM XDO_TEMPLATES_B ORDER BY CREATION_DATE DESC; SELECT * FROM XDO_LOBS ORDER BY CREATION_DATE DESC;

Халдлагын payload нь гадагш C&C серверлүүгээ хандалт хийж дараагийн алхамаа хийх тул EBS серверээс гадагш интернет рүү явж буй шаардлагагүй хандалтуудыг хаах, хянах

            Oracle EBS дээрх Zero-Day халдлага нь сүүлийн жилүүдийн хувьд хамгийн том энтерпрайз түвшний эмзэг байдлын ашиглалтын тохиолдлуудын нэг боллоо. Халдлагад ашиглагдсан PoC файлууд нь интернетэд алдагдсан нь нөхцөл байдлыг улам хүндрүүлж зөвхөн Cl0p бус бусад бүлэглэлүүд ч ашиглах боломжтой болж, халдлагын цар хүрээг нэмэгдүүлэх эрсдэл үүсэж байна. Иймд Oracle E-Business Suite(EBS)-г ашигладаг байгууллагууд дээр дурдсан зөвлөмжийг хэрэгжүүлэхийг санал болгож байна.

Source:

Google Threat Intelligence

https://socradar.io/cl0p-oracle-ebs-zeroday-campaign/